开发者社区> mPaaS小助手> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

《个保法》施行 | App 隐私合规检测双十一尝鲜仅需99元

简介: App 隐私合规检测,99元即可尝鲜。
+关注继续查看

封面图1104.png

即日起至11月30日,原价5k的 App 隐私合规检测(基础版)已降至99元,点击这里立即尝鲜。

  • 2019年11月开始,工信部对移动应用程序APP(以下简称APP)侵害用户权益行为开展专项整治行动。通过随机抽查、企业约谈、限期整改、全网下架等措施,打击移动应用程序(APP)违规收集个人信息、过度索权、频繁骚扰用户等一系列侵害用户权益的行为。
  • 2021年8月25日,工信部重点针对APP违规问题进行了“回头看”,对仍存在问题的APP(2021年第6、7批)进行了公开通报。各通信管理局按照工业和信息化部统筹部署,积极开展APP技术检测。
  • 2021年11月1日,《个人信息保护法》正式施行。

对于APP的开发和运营者来说,《个人信息保护法》规定的举证责任倒置原则和发生侵犯个人信息权益情况下的连带责任成了悬在头顶上的“达摩克里斯之剑”。如何准确把握个人信息处理的“三最”原则,即处理个人信息应当采取对个人权益影响最小的方式、收集范围应当限于实现处理目的最小的范围、保存期限应当为事先处理目的所必要的最短时间,以及如何妥善在用户界面履行“告知-同意”义务,从而在APP中得以以适当的方式呈现,已经成为能否做好APP隐私合规的重要因素。

640.png

01 APP运营者需关注的三个核心项

在日常检测、评估APP合规过程中发现,我们发现以下几项内容值得APP运营者特别关注:

隐私政策声明的个人信息获取范围应包含APP实际获得的全部系统权限

APP中的隐私政策不应该是孤立的法律文件,它是APP运营者履行《个人信息保护法》下的告知义务,向用户告知其会获取哪些个人信息、为何要获取这些个人信息、以及将如何使用、分享、保护、存储这些个人信息的重要媒介。

一般来说,如果某款APP获取了手机系统的某项具体系统权限,如摄像头、通讯录、麦克风等,那这款APP即已经具备了随时随地、无须用户同意甚至是介入即可通过这些系统权限收集相关个人信息的能力。

因此,在满足获取相关个人信息合理性、必要性的前提下,运营者应当在隐私政策中,以穷尽的方式列举该款APP所获取的全部系统权限,并通过准确、清楚的语言向用户充分披露获取这些系统权限的理由和目的。

APP应在用户做出明示同意之后才能够收集个人信息

“告知-同意”是《个人信息保护法》确立的一项基本原则,即APP只有在用户做出“明示的同意”之后,才能够从事相关用户个人信息收集行为。

但有不少APP在用户首次进入程序界面之后,用户点击同意隐私政策等一系列告知话术及法律条款之前,即会在后台读取收集系统剪贴板中的消息。如果当时用户系统剪贴板中正好存有用户或者其他第三方的个人信息,如手机号等,则APP即构成了在没有获得用户同意之前,收集个人信息的违法行为。

充分了解、披露SDK获取个人信息的行为

在设计开发APP时,会不可避免地使用第三方软件开发包(SDK)实现某些业务功能。例如,当需要在APP中展示地图时,会嵌入诸如高德等地图软件的SDK;当需要在APP实现推送功能时,会使用搜索引擎的相关SDK。市场上也存在着各种各样的SDK,来帮助运营者实现APP的快速开发。

对于这些SDK,运营者需要注意以下几点:

  1. 首先,要从正规公司处获得相关SDK,避免使用一些来路不明、功能不透明的SDK;
  2. 其次,在使用这些SDK前,必须仔细阅读这些SDK的使用条款和隐私政策,清楚地了解它们集成进自身APP后,会存在哪些个人信息收集行为,并在自己的APP隐私政策中给予充分的披露。这方面,建议大家参考《信息安全技术 移动互联网应用程序(App)SDK 安全指南》、《网络安全标准实践指南—移动互联网应用程序(App)中的第三方软件开发工具包(SDK)安全指引》等文件,遵照其中给出的具体指引和示例完善APP的隐私合规工作。

02 借助专业工具实现APP隐私合规

针对企业的APP隐私保护及合规需求,阿里云推出了“APP隐私合规检测”专项服务。

该服务依据国家相关法律法规及行业规范,结合静态检测、动态监测、场景检测技术,对APP隐私安全、个人数据收集和使用进行合规分析,包含隐私政策检测、敏感权限检测、数据采集使用检测等内容,包含详细的调用链路及业务场景定位,并能够根据企业具体需求提供一对一的专家服务,帮助企业及APP开发者识别安全风险,提供对应的整改建议,助力客户规避监管处罚及通过应用审核上架。

03 四项核心服务化解隐私合规新挑战

基于文本智能分析技术的隐私政策检测,避免漏检漏改

以国家颁布并执行的法律法规为检测标准,基于已获得多项专利的隐私政策文本智能分析技术,结合实际行为和法律法规,逐条对比隐私协议声明是否符合法律法规要求,权限、数据采集和应用行为是否与隐私声明一致,避免人工检测造成的漏检问题。

敏感权限、个人信息采集行为全链路识别,有效溯源

权限的获取是个人信息采集的前提,也是用户感知最明显和最易产生质疑的环节。基于静态检测及动态检测技术识别能力,以及丰富的SDK检测特征累积,逐一列举 APP 及第三方SDK中敏感权限调用和个人信息采集行为情况,并溯源代码调用具体定位。

定制化场景检测,满足特殊业务需求

对于某些需要使用更敏感权限的业务场景,支持定制化的场景检测,准确定位实际发生个人信息收集行为的调用链路,并通过结合动态运行时检测,对实际采集发生的业务场景进行定位,帮助用户第一时间找到对应的业务负责方推动治理修复;并可以根据用户自定义的测试用例,定制化检测业务采集个人信息的风险行为和频率 。

专业法务服务加持,化解合规条文解读有效性难题

依据国家相关法律法规、四部委工作组的相关检测依据,以及行业适用规定,结合隐私协议,对 APP 实际收集使用用户个人信息行为检测结果逐条分析解读,提供与法规对应的检测报告,以及整改建议。

04 覆盖自测、整改的丰富实践

某头部生活服务类APP

该APP由于违规收集个人信息,被监管公开通报要求整改。

经过检测发现,该APP存在未公开收集使用规则,未明示收集使用个人信息的目的、方式和范围,未经用户同意收集使用个人信息等问题。

客户根据检测报告进行整改后顺利通过工信部复核,且可正常更新APP。

某头部金融APP

由于合规需求,该客户在APP上线前需要做全面的合规自测。

经过检测发现,APP存在:

  1. 隐私政策同意前调用了敏感API,存在敏感函数调用的问题;
  2. APP未向用户发送隐私权政策弹窗,获得用户授权等问题。

客户根据检测报告整改后顺利发版,确保业务安全稳定的运转。


动态logo2.gif

目前,App 隐私合规检测已助力数若干 App 完成隐私合规自查及通报整改,帮助开发者通过审核。

为了能让更多的开发者完成合规自查,即日起至11月30日,原价 5k 的 App 隐私合规检测(基础版)已降至 99 元,点击这里立即尝鲜。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
《个保法》施行 | 阿里云APP隐私合规工具上线
2019年11月开始,工信部对移动应用程序APP(以下简称APP)侵害用户权益行为开展专项整治行动。通过随机抽查、企业约谈、限期整改、全网下架等措施,打击移动应用程序(APP)违规收集个人信息、过度索权、频繁骚扰用户等一系列侵害用户权益的行为。 2021年8月25日,工信部重点针对APP违规问题进行了“回头看”,对仍存在问题的APP(2021年第6、7批)进行了公开通报。各通信管理局按照工业和信息化部统筹部署,积极开展APP技术检测。 2021年11月1日,《个人信息保护法》正式施行。
238 0
干货| app自动化测试之Andriod微信小程序的自动化测试
随着微信小程序的功能和生态日益完善,很多公司的小程序项目页面结构越来越多,业务逻辑也越来越复杂。如何做好小程序的自动化测试就成为测试同学普遍面临的一大痛点难题。 ## 微信小程序 小程序内嵌于微信内部,页面包含 Native 原生元素和 Web 元素,相当于混合应用。并且,小程序 Web 部分是基于腾讯的 X5 内核开发的,也是特殊的 WebView。那么,对微信小程序进行自动化测试,包括操
66 0
干货|app自动化测试之Andriod WebView如何测试
Hybrid App(混合模式移动应用)是介于 Web-app、Native-app 之间的 app,本质上是 Native-app 中嵌入 WebView 组件,在 WebView 组件里可以访问 Web App。Hybrid App 在给用户良好交互体验的同时,还具备了 Web App 的跨平台、热更新机制等优势。 Android WebView 在 Android 平台上是一个特殊的
59 0
干货|app自动化测试之Appium WebView 技术原理
混合应用测试或微信小程序测试,都会涉及到 WebView 组件,这节内容将分析一下 WebView 的技术原理。首先通过日志分析查看 Appium 的运行过程。 ## WebView日志分析 要想查看 ChromeDriver 的日志,需要在 Capability 里开启 一个开关项 showChromedriverLog。让 Appium 运行测试用例时能够生成 ChromeDrive
85 0
干货|app自动化测试之Appium 原理 与 JsonWP 协议分析
想要使用 Appium 进行测试,那么就一定要先了解Appium的原理。Appium 不仅能够实现移动端的 JSONWP,并且延伸到了 Selenium 的 JSONWP,它能够控制不同移动设备的行为,例如通过会话安装和卸载 APP。 ## Appium 原理 ![](https://ceshiren.com/uploads/default/original/3X/4/3/435691a3
59 0
干货|app自动化测试之Appium 源码修改定制分析
Appium 是由 Node.js 来实现的 HTTP 服务,它并不是一套全新的框架,而是将现有的优秀的框架进行了集成,在 Selenium WebDriver 协议(JsonWireProtocol/Restful web service)的基础上增加了移动端的支持,使 Appium 满足多方面的需求。 官方提供更详细的 Appium 结构说明:https://appium.io/docs/e
97 0
干货|app自动化测试之Appium 源码分析
Appium 是由 Node.js 来实现的 HTTP 服务,它并不是一套全新的框架,而是将现有的优秀的框架进行了集成,在 Selenium WebDriver 协议(JsonWireProtocol/Restful web service)的基础上增加了移动端的支持,使 Appium 满足多方面的需求。 官方提供更详细的 Appium 结构说明:https://appium.io/docs/
82 0
干货|app自动化测试之Appium问题分析及定位
使用 Appium 进行测试时,会产生大量日志,一旦运行过程中遇到报错,可以通过 Appium 服务端的日志以及客户端的日志分析排查问题。 ## Appium Server日志-开启服务 通过命令行的方式启动 Appium Server,下面来分析一下启动日志,日志第一行显示了 Appium 版本信息和服务在本地的运行地址。 ``` $ appium -g appium.log [Appi
75 0
干货|app自动化测试之Capability 使用进阶
Capability 是一组键值对的集合(比如:"platformName": "Android")。Capability 主要用于通知 Appium 服务端建立 Session 需要的信息。客户端使用特定语言生成 Capabilities,最终会以 JSON 对象的形式发送给 Appium 服务端。 ## Appium底层架构 ![](https://ceshiren.com/uploa
52 0
121
文章
0
问答
来源圈子
更多
相关文档: 移动开发平台 mPaaS
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载