近日,工信部发布“关于App侵害用户权益整治“回头看”发现问题的通报”。在组织第三方检测机构对违规推送弹窗信息、App过度索取权限等问题进行重点抽测,共发现38款App存在问题。通知要求上述App应在10月20日前完成整改,逾期不整改或整改不到位的,将依法依规处置。
官方数据显示,截止到2022年6月,累计通报、下架违法违规App近3000款,有效遏制了App侵害用户权益的违规行为。
监管部门对于App违规的评定依据是什么的?根据监管部门发布的通报消息,对于App是否侵害用户权益,是依据《数据安全法》****《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》等法律和有关规定来判断。
这里提到四个法律和有关规定非常重要,尤其后面两个规定,是判定App是否侵害用户权益的重要法规细则标准。该两个规定是2019年12月和2021年5月,国家网信办会同工业和信息化部、公安部、市场监管总局联合发布。同时设立微信公众号等专门渠道受理App个人信息收集使用问题的投诉举报,组织专业技术力量开展App个人信息收集使用合规检测,对违规App综合采取通报、约谈、下架等措施督促整改。
App被明令禁止的行为
《App违法违规收集使用个人信息行为认定方法》为监督管理部门认定App违法违规收集使用个人信息行为提供参考,为App运营者自查自纠和网民社会监督提供指引。
本《规定》共六个要点,分别详细介绍了可被认定为“未公开收集使用规则”的行为,可被认定为“未明示收集使用个人信息的目的、方式和范围”的行为,可被认定为“未经用户同意收集使用个人信息”的行为,可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”的行为,可被认定为“未经同意向他人提供个人信息”的行为,以及可被认定为“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”的行为。
各类App允许的行为
《常见类型移动互联网应用程序必要个人信息范围规定》明确App运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用App基本功能服务,不同App的必要个人信息范围,与它们的基本功能服务密切相关。
该《规定》对常见App收集个人信息的必要限度作出了列举性规定,划清了红线。例如,网络约车类、即时通信类、网上购物类、餐饮外卖类等App的必要个人信息包含“注册用户移动电话号码”;邮件快件寄递类、交通票务类、网络借贷类、问诊挂号类、投资理财类等App要求提供相关用户的证件类型和号码;网络支付类、网络借贷类、手机银行类等App要求提供相关用户的银行卡号码。
值得注意的是,《规定》特别指出,13类App无需用户提供个人信息即可使用基本功能服务,包括女性健康类、网络直播类、在线影音类、短视频类、新闻资讯类、运动健身类、实用工具类等。
顶象端加固助力App安全合规
作为顶象防御云的一部分,顶象端加固支持安卓、iOS、H5、小程序等平台,独有云策略、业务安全情报和大数据建模的能力。能有效防御内存注入、Hook、调试、注入、多开、内存Dump、模拟器、二次打包和日志泄露等攻击威胁,防止App遭入侵、篡改、破解、二次打包等恶意侵害,其独有“蜜罐”功能、保护Android 16种数据和文件,提供7种加密形式,率先支持对iOS免源码加固。
顶象端加固为App提供安全加固、风险预警及全生命周期风控保障,满足个人信息保护及安全合规的各项要求。
全方位保障App安全
顶象端加固能够针对已有应用进行安全性检测,发现应用存在的风险漏洞并针对性进行修复整改,对敏感数据、代码混淆、代码完整性、内存数据等进行保护,从源头上避免系统漏洞对于应用本身造成的安全影响,保障App信息安全。
为App提供实时风险预警
基于防御云,顶象端加固能够为App提供移动应用运行进行安全监测,对移动应用运行时终端设备、运行环境、操作行为进行实时监测,帮助App建立运行时风险的监测、预警、阻断和溯源安全体系。
为App建立全生命周期防控体系
App 应用安全加固呈现常态化、泛边界化和专业化的趋势,这意味着企业自身简单的防护已经无法满足当前网络安全防护的新趋势,亟待建立更为全面的安全防御体系。顶象端加固从App的设计、开发、发布、维护等全生命周期环节解决移动应用在核心代码安全、逻辑安全、安全功能设计、数据传输链路安全等多个维度的问题,助力筑牢安全防线。
版权归原作者 顶象技术 所有, 如有侵权,请联系我们删除。