谷歌今起强制实施安卓APP隐私保护新政

安卓用户将能查看APP收集的隐私数据(及其目的和用途)。

谷歌将于本周三在安卓(Android)官方应用商店Google Play推出应用隐私政策。

用户在下载安装安卓应用时,页面将显示“隐私标签”,让用户一眼就能看到APP收集了哪些个人信息,并决定是否继续安装(下图):

当用户在Play商店中查找应用程序时,除了“关于此应用程序”和“评分和评论”等内容条目,将有一个名为“数据隐私和安全”的新条目,开发人员可以在其中解释他们收集了哪些(隐私)数据。谷歌去年展示了这个功能,今天终于开始在Play商店中全面强制实施。

值得注意的是,虽然该隐私政策声称用户从本周三开始就能够查看APP所收集的隐私信息,但该政策并不能保证开发人员及时、如实和完全地填写收集了哪些信息。

谷歌要求开发者提供所采集隐私信息的截止日期是7月20日。而且,APP收集哪些隐私数据的信息都是由开发者提供,除了道德和荣誉外,没有明确的审核机制来确保这些信息的真实性。以下是Google向开发人员发出的通知:

您独自负责在Google Play应用商店中您的应用详情中进行完整且准确的声明……当Google发现您的应用行为与您的声明之间存在差异时,我们可能会采取适当的措施,包括强制措施。

根据谷歌的隐私新政,开发人员将需要列出他们正在收集的数据、收集数据的原因以及与谁共享数据。在审核表单中,谷歌将隐私数据分为“位置”、“个人信息”、“财务信息”、“网络历史记录”、“联系人”等,不同隐私数据类型对应大量数据类型。

谷歌还要求开发人员阐明其数据安全措施,包括数据是否在传输过程中加密,以及用户是否可以随时要求删除其数据。

开发人员不仅需要声明他们收集的数据,还要声明他们与第三方共享了哪些用户数据,这有助于披露APP收集个人数据背后的真实目的。

最后,还有一个保护儿童隐私的“Google Play家庭政策”合规要求,这主要是面向美国COPPA和欧盟GDPR的一堆要求。

谷歌表示,开发人员还可以表明他们的应用程序是否“已经根据全球安全标准进行了独立验证”。谷歌自己有一个“移动应用安全评估”标准,开发者可以支付3000到6000美元让“谷歌授权实验室合作伙伴”根据这个标准对应用进行审计。此审核包括对应用程序加密实践的审查、已知漏洞检查、最低权限要求以及Github上列出的一系列其他测试(https://github.com/appdefensealliance/ASA/blob/main/MobileAppSecurityAssessment/MobileSecurityGuide.md)。

虽然谷歌的APP数据安全政策对缓解安卓应用生态中大量的恶意和诈骗应用很有意义(也有助于谷歌追溯攻击者),但该政策的实施可谓姗姗来迟,因为苹果公司早在2020年就推出了类似的“隐私标签”功能(下图):

根据往常经验,谷歌的隐私新政的实施过程可能需要一段时间。谷歌表示,少数“幸运的“安卓用户今天就能够开始查看APP的隐私数据收集信息,但可能还需要数周时间才能推广到所有安卓用户。

参考链接:

https://support.google.com/googleplay/android-developer/answer/10787469

前一篇应急响应日记 | 和APT黑客团伙斗智斗勇的一天
后一篇近八成企业安全主管对网络安全产品不满意