政策一直是推动网络安全服务发展的第一动力。针对APP隐私问题频发以及诸多权限滥用问题,在2019年,国家互联网信息办公室、工业和信息化部、公安部、市场监管总局联合开展了APP专项治理工作,重点针对调查APP违法违规收集个人信息行为,相继推出了一系列政策法规对APP个人信息收集检查提供参考依据,也随之衍生出了移动应用个人信息安全测评专项服务。
2019年移动APP涉及法律法规
跟个人信息收集检测直接相关的是第七条和第十二条,配合《App违法违规收集使用个人信息自评估指南》,这三点政策配合《网络安全法》和《消费者权益保护法》是APP运营方和安全服务检测方重要参考依据。
法律政策解读
对于APP个人信息收集检测的问题,目前多以针对认定方法对隐私政策进行解读,但通过《信息安全技术移动互联网应用(App)收集个人信息基本规范(草案)》发现,其实还应该对APP的最少信息收集和最小权限获取进行对比检测,以下分析解读仅供参考,如有不足之处,烦请各位赐教。
2.1基于《APP违法违规收集使用个人信息行为认定方法》检测
重点讲了六大方面,如下:
Ø 未公开收集使用规则
Ø 未明示收集使用个人信息的目的、方式和范围
Ø 未经用户同意收集使用个人信息
Ø 违反必要原则,收集与其提供的服务无关的个人信息
Ø 未经同意向他人提供个人信息
Ø 未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息
每个方面都有详细的检测项,但是缺乏具体的检测标准和步骤,结合《App违法违规收集使用个人信息自评估指南》现整理出一下测评要点并对平时测试时遇到的问题做出总结,总共10大评估项,43项评估点,仅做参考。
2.1.1隐私政策的独立性、易读性
此评估项主要是针对隐私政策的有无,单独成文,易于访问和易于阅读做出检测,一般APP运营方有意整改的话一般不会出现问题。
2.1.2各项业务功能及所收集个人信息类型
此评估项主要针对各项业务功能及所收集个人信息类型详细列举和对个人敏感信息类型的敏感标识,提醒的是部分APP的隐私政策提及个人敏感信息类型,但未对个人敏感信息进行显著标识。
3.个人信息处理规则及用户权益保障
第三大评估项主要针对个人信息处理规则及用户权益保障,提醒部分APP的隐私政策未对app运营者的详细情况、个人信息存储期限进行详细描述,而且隐私政策中可能提及采用SSL加密保证信息传输,但实际APP抓包发现仍为明文传输,这点可以重点检测。
4.隐私政策等文件中设置不合理条款
第四大评估项单独成项,主要针对不合理条款,检测任务较大。此项要说明一点的是部分APP在隐私政策中提及承担应有责任,但是用户使用手册等文件中可能包含详细的免责声明,检查时对用户协议、服务协议、使用手册进行详细阅读。
5.明确收集个人信息的目的、方式和范围
第五大评估项主要针对收集个人信息的目的、方式和范围,此评估项一般隐私政策会提及相关内容,但要检测实际app操作时通过需要抓包对数据传输和cookie等信息进行详细查看。编号20测试项提及的是app内部系统权限功能模块,虽然多数app无相关模板。
6.未经同意向他人提供个人信息
第六大评估项主要是未经同意向他人提供个人信息,隐私政策中多半会提及相关内容,但是要关注实际app客户端和服务器端是否向第三方明文传输个人信息。
7.强制捆绑授权,未经用户自主选择同意收集个人信息
第七大评估项主要测试是否存在捆绑授权行为,这里新增一项收集不可变更的唯一标识,依据是《移动互联App收集个人信息规范》的管理要求,为什么添加是因为部分app实际允许未收集mac地址、手机序列号等,但是隐私政策中提及的收集设备信息包含唯一设备标识符、序列号等。
8.收集个人信息满足的必要要求
第八大评估项主要针对收集个人信息满足的必要要求,这里提一句的是必要信息是指基本业务功能相关,缺少该信息无法实现基本业务功能,另外targetSdkVersion主要是针对权限获取的问题,小于23涉及到默认授权过多的问题,可通过通过 buildTools里的aapt工具查看。
9.支持账户注销、删除和更正
第九大评估项主要是app要支持账户注销、删除和更正功能。部分app没有账户注销,且再删除注销后未及时实现后台服务器数据的同步,可通过实际删除再重新注册的方式测试。
10.及时反馈用户申诉
第43项评估点单独拿出来作为一大项是参考自评估指南,这个评估项一般app设置客服电话和反馈邮箱,但存在未设置明显的投诉举报渠道和反馈不及时的现象,最好的方式应该是设置申诉模块,可以查看申诉流程进展
2.2基于《移动互联网应用(App)收集个人信息规范》检测
草案重点讲三点,如下:
Ø APP收集个人信息基本要求(技术、管理)
Ø 常用服务类型的最少信息收集
Ø 常用服务类型的最小权限获取
2.2.1APP收集个人信息基本要求(技术、管理)
这里大部分在上边介绍的个人信息收集检测的10大项基本都包含细化了,这里技术方面的g和h项是要求app应优先在用户终端中存储、使用收集的个人信息,应以最低合理频率向后台发送个人信息,安卓用户的终端一般是需要获得超级权限后在date/date下的查看个人信息收集,发送收集个人信息频率的话需要访谈app运营商实际业务需求设置最低频率。
这里的对于个人信息收集的管理要求和技术要求比较笼统,可作为app安全测试的个人信息收集检测项。
2.2.2 常见服务类型的最小信息收集
最少信息:保障某一服务类型正常运行所需的个人信息,一旦缺少将导致该类服务无法实现或无法正常运行的个人信息,以及法律法规等规范性文件要求必须收集的个人信息。
常见服务类型有21种:
以A.6新闻资讯类为例
它所允许的个人信息收集主要有:发布信息用户的手机号、账号、操作事件、操作类型、网络源地址和目标地址、网络源端口、客户端硬件特征、用户发布信息记录和对公众账号信息发布的***号。
然后我们举例查看手机某新闻资讯类APP收集的行为信息有哪些:
App注册时收集手机号和账号信息,标红部分是新闻资讯类APP非必须收集信息,其余访问网络等相关信息理论上是被APP允许的,检查过程中和app运营方商定尽可能减少信息收集,仅收集业务必须信息即可。
2.2.3常用服务类型的最小权限获取
最小权限范围:保障某一服务类型正常运行所必需的最少系统权限
服务类型最小权限范围列表
以某新闻资讯类为例,它所允许的做少权限范围为无,也就是说理论上不应该允许任何权限,通过Androidkiller等工具查看获取权限如下:
App获得网络状态等相关权限无可厚非,毕竟要连接互联网,但是标红权限一般多为禁止权限。还是那句话,检查过程中和app运营方商定尽可能减少权限获取,仅获取业务必须最小权限即可。
总结
基于《APP违法违规收集使用个人信息行为认定方法》和《信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)》,app个人信息收集检测已成为APP行业重点关注项目之一,我们在关注隐私条款内容的合规性同时,也应该对App收集使用的个人行为信息和权限信息等多种维度进行检测和遏制App强制授权、过度索权、超范围收集个人信息现象,积极配合网信办、工信部联合多个部门开展的APP专项治理工作。
来源:freebuf.com 2020-02-26 13:48:07 by: 爱上卿Ooo
请登录后发表评论
注册