重磅|国信办秘字〔2021〕14号规定2021年5月1日起施行,通付盾云提供免费自检自查服务
2021-05-06 12:46:13 Author: www.4hou.com(查看原文) 阅读量:168 收藏

随着移动互联网快速发展,各类应用程序迅速普及,在促进经济社会发展、服务民生等方面发挥了重要作用。与此同时对个人信息保护也带来了巨大挑战。近年来,我国越来越重视个人信息保护,个人信息保护力度不断加强,相关政策、规范相继出台。

4月26日,工信部在其官网对外发布《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》。《意见稿》共计20条规定,界定了适用范围和监管主体。确立了“知情同意”、“最小必要”两项重要原则。根据《意见稿》要求,在我国境内开展App个人信息处理活动的,应当以清晰易懂的语言告知用户个人信息处理规则,根据 “最小必要”原则规定,从事App个人信息处理活动的,应当具有明确、合理的目的,并遵循最小必要原则,不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动。

图片1.png

图1 《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》

3月22日国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称《规定》),旨在落实《中华人民共和国网络安全法》关于个人信息收集合法、正当、必要的原则,规范移动互联网应用程序(App)个人信息收集行为,保障公民个人信息安全。《规定》明确了地图导航、网络约车、即时通信、网络购物等39类常见类型移动应用程序必要个人信息范围,并要求其运营者不得因用户不同意提供非必要个人信息,而拒绝用户使用App基本功能服务。

《规定》于2021年5月1日起施行。

图片2.png

图2 《常见类型移动互联网应用程序必要个人信息范围规定》

通付盾凭借自身在移动安全领域与隐私保护领域研发服务实力,提供通付盾云权限检测服务,助力移动应用个人信息信息收集规范化。

通付盾北斗团队(负责安全合规产品)于2013年成立,8年来专注于移动应用全生命周期的安全研究,积累了丰富的移动应用安全实战经验,不断保持技术研发与创新,致力于为企业提供移动应用全生命周期安全工程解决方案。自研了符号执行、动态沙箱、大数据分析、VMP虚拟机保护、iPA动态壳保护等多个核心技术。团队所研发产品已服务于上千家各行业客户,深入到政府、军工、能源、金融、运营商、教育、医疗、传媒、交通、互联网等行业,为数十亿级移动终端提供了移动应用安全保障。其中移动应用安全合规检测成功服务国测、军测、公安和工信部,实现国家级测评机构全覆盖。

通付盾北斗团队(负责安全合规产品)以四部委联合发布的《规定》为重点依据,参考国家发布的移动互联网安全管理的其他相关政策文件,经过深入研究分析,对39类移动应用的权限检测制定了一套完整可施行的检测标准。

具体应用类型及最低权限要求整理如下:

1. 地图导航

 图片3.png

2. 网络约车

 图片4.png

3. 即时通信

 图片5.png

4. 网络社区

 图片6.png

5. 网络支付

 图片7.png

6. 网上购物

 图片8.png

7. 餐饮外卖

 图片9.png

8. 邮件快件寄递

 图片10.png

9. 交通票务

 图片11.png

10.婚恋相亲

 图片12.png

11.求职招聘

 图片13.png

12. 网络借贷

 图片14.png

13. 房屋租售

 图片15.png

14. 二手车交易

 图片16.png

15. 问诊挂号

 图片17.png

16. 旅游服务

 图片18.png

17. 酒店服务

 图片19.png

18. 网络游戏

 图片20.png

19. 学习教育

 图片21.png

20. 本地生活

 图片22.png

21. 女性健康

 图片23.png

22. 用车服务

 图片24.png

23. 投资理财

 图片25.png

24. 手机银行

 图片26.png

25. 邮箱云盘

 图片27.png

26. 远程会议

 图片28.png

27. 网络直播

 图片29.png

28. 在线影音

 图片30.png

29. 短视频

 图片31.png

30. 新闻资讯

 图片32.png

31. 运动健身

 图片33.png

32. 浏览器

 图片34.png

33. 输入法

 图片35.png

34. 安全管理

 图片36.png

35. 电子图书

 图片37.png

36. 拍摄美化

 图片38.png

37. 应用商店

 图片39.png

38. 实用工具

 图片40.png

39. 演出票务

 图片41.png

通付盾云权限检测服务依托于先进的动静双结合检测引擎技术,结合云真机检测平台,依据检测标准,对各类应用进行全面检测,提供专业的检测报告。权限检测服务采用了基于以程序分析为核心的静态分析引擎和以动态运行沙盒为核心的动态检测引擎,针对App使用全过程进行权限检测,依据权限检测标准,主动发现App存在的未经授权擅自收集、过度和非必要收集、频繁索权和强制收集、隐瞒第三方SDK收集行为、私自共享给第三方等违规采集个人信息使用问题,从而帮助用户快速、准确地检测App中存在的敏感权限调用及过度个人信息收集。

检测流程

图片42.png 

图3 权限检测流程示意图

用户仅需将待检测应用提交至通付盾云权限检测服务,平台将实时监测应用真机环境自动化运行过程,对运行过程中权限申请和调用情况详细记录,依据检测标准对权限申请和调用情况进行智能分析,出具详细分析报告。

通付盾云权限检测服务可提供应用检测详请分析及检测报告下载。检测详情分析包括检测结果总览、超规权限调用详情、权限调用流程记录等。

1)权限检测结果总览:对超规权限、超规行为、应用风险、第三方SDK的检测结果做汇总及详细说明。

图片43.png

图4 超规权限检测结果总览

2)超规权限调用详情:详细记录了调用的权限类型、页面信息、调用API、调用类等信息。

图片44.png 

图5 超规权限调用详情

3)权限调用流程记录:详细跟踪记录了真机检测的整个执行过程。

图片45.png

图6 权限调用流程记录

典型案例

如以下某款学习教育类应用软件,依据《规定》,(十九)学习教育类,基本功能服务为“在线辅导、网络课堂等”必要信息为:注册用户移动电话号码。

通过权限检测发现其在实际使用场景中除获取手机号码外,申请及调用的用户权限包括获取位置信息、允许安装和卸载文件系统、读取底层日志、拨打电话等。严重超出了《规定》要求的隐私权限范围。

 图片46.png

图7 权限检测结果

通付盾作为国家信息安全技术应用创新联盟成员单位、国家网络与信息安全通报机制技术支持单位、国家计算机病毒应急处理中心优秀技术支持单位、中国国家信息安全漏洞库(CNNVD)技术支撑单位、中国反网络病毒联盟(ANVA)白名单工作组成员单位,将继续不断加强自身网络安全技术创新能力,持续为企业履行保护用户个人信息的责任和义务方面作出贡献。

今日起,通付盾App权限检测面向所有用户免费开放!

未注册用户

图片47.png 

扫描二维码,完成注册,即可体验通付盾App权限检测服务!

已注册用户操作使用方法可参见以下演示视频:

腾讯视频链接:https://v.qq.com/x/page/e3244ie31rs.html

如若转载,请注明原文地址


文章来源: https://www.4hou.com/posts/ZvR5
如有侵权请联系:admin#unsafe.sh