App安全合规的思考（一）：APP安全认证的工作流程梳理

前言

关于App安全合规的监管要求很多地方都可以找到，这里就不一一赘述了。本文的重点内容是通过对监管机构发出来的通报进行统计。

想要看监管走向，首先就要了解现在都有哪些监管机构：

App违法违规收集使用个人信息治理工作组（App治理小组）

工业和信息化部信息通信管理局（工信部）

国家移动互联网应用安全管理中心（病毒中心）

地方通管局（如广东省通管局、天津通管局等）

地方网安（主要关注公司所属地的，当然也不排除有跨地域通报的情况呀）

可能还有些没提到的，欢迎大家补充

1 通报情况

App治理小组发布的问题详情是监管机构里列举的很清晰的了，所以下文大部分以app治理小组通报的问题为基础进行统计。

1.1 基本情况

2019-2020年，App治理小组共发布通报3次，涉及应用软件17个分类共计173款，实用工具、金融理财、学习教育类的App占绝大多数。

2019年至今今，工信部共发布12批次通报，涉及应用软件819款。关于问题类型，这里引用知乎上史宇航发表的一篇文章的统计：

注：上图来源于知乎用户发表在知乎上的文章《对比可视化：App专项治理工作组检查》。

照猫画虎把工信部的也列个表

1.2 现状总结

1. 不给权限不让用、违规收集个人信息、违规使用个人信息、超范围收集个人信息依旧是普遍存在的问题。
问题小项：同意隐私政策前应用自身收集个人信息的情况（13、15）、同意隐私政策前第三方SDK收集个人信息情况（11）、因用户不同意某权限而拒绝提供业务功能（26）。
个人信息收集问题会在part4 个人信息收集方面踩过的坑 里详细讲解，这里简单说下：很多app的是否可以通过统一收口部门的开发解决、第三方SDK可以关注下官网有一些是给出了解决方案的。

2. 获取敏感个人信息、敏感权限时，未同步告知其使用目的（1、5）的问题一直居首位。

建议：业务认真查找敏感个人信息收集和敏感权限获取触发点，整理目的并找合规法务角色给出文案。现在部分应用商店就做的很好，上传app时就强制填写权限获取目的并在触发时弹窗提示。

3. 首次运行app无隐私弹窗、默认隐私勾选（16）、隐私政策访问难阅读难的问题逐渐减少了。
还需关注的问题：即使又弹窗登录时的登录即同意也不行！！！梳理好所有登录、注册的入口检查是否统一。
4. 未逐一列出嵌入的第三方SDK收集使用个人信息的目的、类型的问题依旧很多，但是目前已经看到很多App列了第三方SDK列表，并且很多常用的第三方SDK也给出了安全合规指南。
问题小项：SDK梳理全了吗？收集哪些信息、有什么使用目的是否列全了？

5. 收集某项个人信息的频度超出业务功能实际需要问题（24）仍需要重视，此问题可能需要深入测试加上对频度没有一个唯一的标准，所以被检测出来的在少数，通过近期发布的个人信息安全测评规范征求意见稿中也对App在不同场景下收集个人信息的频率着重强调，并且给了部分参考。
6. App通过欺诈、诱骗、误导方式收集个人信息在上边两个图中也是存在的，但猜测人工成本比较高可能命中率没有那么高，但是在个人信息安全测评规范征求意见稿也用一页的附录进行上述行为的举例，可以看出此项也可能是后续检查的方向。

1.3 其他猜测

除了上述监管机构的检查项，猜测可能后续检查重点还可能包括以下问题：

静默权限/个人信息获取问题

App个人信息获取使用问题

数据接口安全问题（如数据冗余、前端“脱敏”等)

2 有意思的不合规理由(千万不要存在侥幸心理)

app治理小组查的真的很细致，给大家分享一些检测出来的不合规理由，有一些都不知道是怎么查到的，也欢迎大家讨论。

• 未提供有效的注销用户账号功能：根据所提供的注销方式，向官方邮箱发送邮件进行注销，超过15日未收到回复。（要有人定期查看啊）

• 收集使用个人信息的目的、方式和范围发生变化时，未以更新隐私政策等方式通知用户：更新后新增了定制化课单功能，将收集用户的课程记录，但未以任何方式告知用户。（这个真是不知道怎么被查到的）

• 征得用户同意前就开始收集用户的网页点击记录；

• 未提供有效的更正、删除个人信息及注销用户账号功能：向隐私政策中说明的个人信息保护邮箱发送邮件，直接被系统退信；（留的联系方式要自测下是否可以跑的通）

• 为注销用户账号设置不合理条件：需提交用户联系方式、注册时间、注册所在地、登录过的设备型号、充值证明等信息，才允许注销；

• 用户撤销位置权限授权，明确表示不同意收集该类个人信息后，仍通过其他途径收集用户地理位置等个人信息并发送至第三方服务器；

• 未建立并公布有效的个人信息安全投诉、举报渠道：在线反馈问题显示“客服不在线，系统将自动断开会话”的提示信息；每隔15分钟拨打客服电话，均提示“坐席忙，继续等待请按1，结束请挂机”。