4月15日,GB/T 41391-2022《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》(以下简称《基本要求》)正式发布。《基本要求》是移动互联网应用程序(App)个人信息保护方面的首个国家标准,引起了社会各界的高度关注。
近年来,移动互联网应用程序(App)得到广泛应用,App超范围收集、捆绑授权、强制索权、私自调用权限上传个人信息等现象普遍存在,违法违规收集使用个人信息的问题突出。《基本要求》根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规,在《信息安全技术 个人信息安全规范》(GB/T 35273-2020)的基础上,给出了App收集个人信息应符合的基本要求,同时给出了常见服务类型App必要个人信息的使用要求,旨在规范 App 个人信息收集行为,最大程度地保障个人信息权益。
关键词:北京信息安全公司有哪些;北京网络安全公司有哪些;信息安全公司排名;十大网络安全公司;十大网络安全公司排名;个人信息安全的重要性;
一览全解
App个人信息收集七大基本要求
1. 最小必要原则
《基本要求》指出,App收集个人信息应具有明确目的并与目的直接相关,应确保所收集的个人信息在最小范围、产生最小影响,且该行为应严格控制在业务功能期间。
2. 必要个人信息
《基本要求》给出了39种常见类型App必要个人信息范围和使用要求。当App类型不属于常见服务类型时,应划分基本业务功能,将保障基本业务功能运行的信息列为必要个人信息。
3. 特定类型个人信息
《基本要求》明确了日历信息、应用程序列表、设备信息、短信信息、通话记录信息、通讯录信息、位置信息、生物识别信息、录音及拍摄录像信息、传感器信息、相册信息、存储文件信息等特定类型个人信息的收集要求。
4. 告知同意
《基本要求》提出App收集个人信息应满足以下四个方面的告知同意要求:App基本业务功能与必要个人信息的告知同意,敏感个人信息告知同意,多种服务类型告知同意,以及用户拒绝或撤回同意。
5. 系统权限
《基本要求》详细规定了App收集个人信息的权限申请要求、权限使用要求。同时在附录中给出了可收集个人信息权限范围,以及与常见服务类型相关程度较低的安卓系统权限。
6. 第三方收集管理
《基本要求》详细规定了当App接入第三方应用或嵌入第三方SDK时,第三方应用和SDK收集个人信息应满足的要求。
7. 其他要求
《基本要求》对App定向推送、读取公共储存区、后台运行、关联启动等行为进行了规定,App不得欺骗误导用户、获取权限时应给出显著提示,应参考有关国家标准规划和建设App个人信息保护措施。
关键词:北京信息安全公司有哪些;北京网络安全公司有哪些;信息安全公司排名;十大网络安全公司;十大网络安全公司排名;个人信息安全的重要性;
保驾护航
个人信息安全防护系统八大能力
网御星云紧密围绕《基本要求》等相关标准,结合法律法规和监管要求,针对移动应用及SDK中出现的个人信息非法收集、滥用、泄露等严重问题,重磅推出“网御星云移动个人信息安全防护系统”。系统针对移动应用的基本信息、行为信息、权限信息、场景信息、SDK信息、通讯分析、个人信息使用情况、隐私政策规范性等进行自动化合规检测分析,模拟手机运行过程中所存在的隐私违规操作,出具专业的移动应用个人隐私合规检测报告。可帮助监管机构快速、精准、有效地提供行政执法依据,协助测评机构出具专业的个人隐私合规检测报告,助力移动应用开发企业进行APP个人隐私合规性分析。
产品优势:
1. 基本信息检测
通过静态检测,获取APP基本信息,包括:应用名称、APP包名、版本信息、文件大小、文件MD5、签名信息等。
2. 场景分析
系统支持隐私同意前行为分析和应用前台行为分析,自动化模拟用户同意隐私之前APP的所有行为操作,以及APP在实际使用场景下,应用运行触发的行为。精准定位APP或者SDK是否存在未经用户同意私自收集使用个人信息的行为。
3. 应用权限分析
通过沙箱模型、虚拟机等方式将移动应用(APP)安装到虚拟环境中,在对应用配置文件、资源文件深度解析的同时,对应用的权限,触发的用户行为进行深入解构,自动化识别应用是否违规收集用户信息。
4. 第三方SDK分析
监听SDK的各类行为动作,根据业务实质及隐私政策声明判断SDK是否合规,深度采集SDK的收集使用个人信息、数据读写操作、私自向第三方服务传输数据等行为,并结合国家相关标准规范进行业务及隐私政策的合规性检查,精准定位问题。
5. 通讯行为分析
监听应用的通讯行为,深度采集APP在通讯过程中是否有违规传输采集数据,是否私自向境外传送数据,结合国家标准规范自动分析应用在通讯过程中的违规行为。
6. 个人信息使用情况分析
深度采集应用使用个人信息情况,依据《信息安全技术 个人信息安全规范》《基本要求》等相关标准,判别APP收集使用个人信息的合规性。
7. 隐私合规风险检测
通过对隐私政策文件+法律法规+行业标准的解读,结合自动化检测技术,提炼出可实现的自动化隐私风险检测点,进行自动化测评,精准定位违规风险代码,快速有效辨别APP存在的违规风险。
8. APP隐私政策合理性检测与分析
通过自动化或人机结合方式深度检测分析,对隐私政策内容、个人信息收集与使用、用户权利保障等方面进行全面高效的精准分析,判断APP合规性,输出全面的隐私合规报告。
关键词:北京信息安全公司有哪些;北京网络安全公司有哪些;信息安全公司排名;十大网络安全公司;十大网络安全公司排名;个人信息安全的重要性;
产品可应用于:
移动应用开发企业
对企业内部应用进行合规性分析,一键进行深度隐私合规检测,提供详细分析过程,无需专业支持即可完成深度详细的检测报告。
监管机构
快速、精准、有效地为监管机构提供行政执法依据,利用APP检查数据支撑,轻松上手,一键出具报告。
测评机构
深度测评,可检测到函数的调用堆栈信息,并提供截图,出具专业的隐私测评报告,为测评机构提供APP合规检测数据支撑。
自动模拟、全面监测、规范标准、精准定位,网御星云移动个人信息安全防护系统从APP运营者和监管部门角度出发,严格按照国家标准规范,对移动应用进行全面合规检查,为企业和机构提供面向移动应用程序的全方位合规评估服务。
关键词:北京信息安全公司有哪些;北京网络安全公司有哪些;信息安全公司排名;十大网络安全公司;十大网络安全公司排名;个人信息安全的重要性;
免责声明:科技狗对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。 本网站转载图片、文字之类版权申明,本网站无法鉴别所上传图片或文字的知识版权,如果侵犯,请及时通知我们,本网站将在第一时间及时删除:yzl_300@126.com
