网云安全 #合规那些事儿

专栏作者：小眼睛

● 本系列文章，主要通过对监管单位通报的违规点进行分析，以便开发者能通过文章内的分析内容，尽可能的降低违规风险。

1 。

我们在安装某些App时，往往会被询问是否允许索取定位、发送通知、访问设备照片、通讯录、拨打电话等权限等。为了可以正常使用App，用户不得不选择“允许”或“接受”，这样用户的一些个人信息，乃至一些与使用App无关的个人信息也被App平台非法收集。

比如，与通讯功能无关的天气预报要求用户授权其使用通讯录，某银行应用收集用户婚史等敏感信息。

使用App难免需要用户信息，但不能超过必要限度。

尽管近几年相关部门不断查处各类违规App，细化各项隐私政策和规范，起到了一定的震慑作用，但是App超范围收集和使用个人信息等行为依然严重。

2 。

“超范围收集个人信息”如何定义？

我们可从以下几方面进行分析App是否涉嫌超范围索取权限：

App收集的个人信息与业务功能无关

多数情况下，App实际收集的个人信息类型与现有业务功能无关，这里的“无关”，是指该类信息并非实现现有业务功能所必需。

要求用户授权同意收集个人信息，拒绝授权后不提供任何业务功能

运营者因用户不同意提供非必要个人信息，而拒绝用户使用App基本功能服务。或捆绑多项业务功能征求用户同意，不同意则不提供任何单一服务。

未明示所收集的用户信息如何使用

即隐私政策中没有关于如何使用所收集用户信息的描述。

用户使用业务功能时，收集个人信息的频率严重超出其业务功能的实际需要

应用在使用期间，或静默状态，或应用处于后台时收集个人信息的频率超出实际需要，就属于收集频率不合规。比如，近日被上海消保委点名的某共享充电宝在用户点击时或每五分钟多次收集非必要的个人信息。

3 。

收集个人信息的“边界”在哪里，

什么样的行为又算是“越界”？

消费者要在下载和使用App时，一定要分清哪些是App需要的必要信息，哪些不是必要信息。

今年5月1日起施行的《常见类型移动互联网应用程序必要个人信息范围规定》规定明确了39种常见类型App的必要个人信息范围。

第五条常见类型App的必要个人信息范围：

（一）地图导航类，基本功能服务为“定位和导航”，必要个人信息为：位置信息、出发地、到达地。

（二）网络约车类，基本功能服务为“网络预约出租汽车服务、巡游出租汽车电召服务”，必要个人信息包括：

1.注册用户移动电话号码；

2.乘车人出发地、到达地、位置信息、行踪轨迹；

3.支付时间、支付金额、支付渠道等支付信息（网络预约出租汽车服务）。

（三）即时通信类，基本功能服务为“提供文字、图片、语音、视频等网络即时通信服务”，必要个人信息包括：

1.注册用户移动电话号码；

2.账号信息：账号、即时通信联系人账号列表。

（四）网络社区类，基本功能服务为“博客、论坛、社区等话题讨论、信息分享和关注互动”，必要个人信息为：注册用户移动电话号码。

（五）网络支付类，基本功能服务为“网络支付、提现、转账等功能”，必要个人信息包括：

1.注册用户移动电话号码；

2.注册用户姓名、证件类型和号码、证件有效期限、银行卡号码。

（六）网上购物类，基本功能服务为“购买商品”，必要个人信息包括：

1.注册用户移动电话号码；

2.收货人姓名（名称）、地址、联系电话；

3.支付时间、支付金额、支付渠道等支付信息。

（七）餐饮外卖类，基本功能服务为“餐饮购买及外送”，必要个人信息包括：

1.注册用户移动电话号码；

2.收货人姓名（名称）、地址、联系电话；

3.支付时间、支付金额、支付渠道等支付信息。

（八）邮件快件寄递类，基本功能服务为“信件、包裹、印刷品等物品寄递服务”，必要个人信息包括：

1.寄件人姓名、证件类型和号码等身份信息；

2.寄件人地址、联系电话；

3.收件人姓名（名称）、地址、联系电话；

4.寄递物品的名称、性质、数量。

（九）交通票务类，基本功能服务为“交通相关的票务服务及行程管理（如票务购买、改签、退票、行程管理等）”，必要个人信息包括：

1.注册用户移动电话号码；

2.旅客姓名、证件类型和号码、旅客类型。旅客类型通常包括儿童、成人、学生等；

3.旅客出发地、目的地、出发时间、车次/船次/航班号、席别/舱位等级、座位号（如有）、车牌号及车牌颜色（ETC服务)；

4.支付时间、支付金额、支付渠道等支付信息。

（十）婚恋相亲类，基本功能服务为“婚恋相亲”，必要个人信息包括：

1.注册用户移动电话号码；

2.婚恋相亲人的性别、年龄、婚姻状况。

（十一）求职招聘类，基本功能服务为“求职招聘信息交换”，必要个人信息包括：

1.注册用户移动电话号码；

2.求职者提供的简历。

（十二）网络借贷类，基本功能服务为“通过互联网平台实现的用于消费、日常生产经营周转等的个人申贷服务”，必要个人信息包括：

1.注册用户移动电话号码；

2.借款人姓名、证件类型和号码、证件有效期限、银行卡号码。

（十三）房屋租售类，基本功能服务为“个人房源信息发布、房屋出租或买卖”，必要个人信息包括：

1.注册用户移动电话号码；

2.房源基本信息：房屋地址、面积/户型、期望售价或租金。

（十四）二手车交易类，基本功能服务为“二手车买卖信息交换”，必要个人信息包括：

1.注册用户移动电话号码；

2.购买方姓名、证件类型和号码；

3.出售方姓名、证件类型和号码、车辆行驶证号、车辆识别号码。

（十五）问诊挂号类，基本功能服务为“在线咨询问诊、预约挂号”，必要个人信息包括：

1.注册用户移动电话号码；

2.挂号时需提供患者姓名、证件类型和号码、预约挂号的医院和科室；

3.问诊时需提供病情描述。

（十六）旅游服务类，基本功能服务为“旅游服务产品信息的发布与订购”，必要个人信息包括：

1.注册用户移动电话号码；

2.出行人旅游目的地、旅游时间；

3.出行人姓名、证件类型和号码、联系方式。

（十七）酒店服务类，基本功能服务为“酒店预订”，必要个人信息包括：

1.注册用户移动电话号码；

2.住宿人姓名和联系方式、入住和退房时间、入住酒店名称。

（十八）网络游戏类，基本功能服务为“提供网络游戏产品和服务”，必要个人信息为：注册用户移动电话号码。

（十九）学习教育类，基本功能服务为“在线辅导、网络课堂等”，必要个人信息为：注册用户移动电话号码。

（二十）本地生活类，基本功能服务为“家政维修、家居装修、二手闲置物品交易等日常生活服务”，必要个人信息为：注册用户移动电话号码。

（二十一）女性健康类，基本功能服务为“女性经期管理、备孕育儿、美容美体等健康管理服务”，无须个人信息，即可使用基本功能服务。

（二十二）用车服务类，基本功能服务为“共享单车、共享汽车、租赁汽车等服务”，必要个人信息包括：

1.注册用户移动电话号码；

2.使用共享汽车、租赁汽车服务用户的证件类型和号码，驾驶证件信息；

3.支付时间、支付金额、支付渠道等支付信息；

4.使用共享单车、分时租赁汽车服务用户的位置信息。

（二十三）投资理财类，基本功能服务为“股票、期货、基金、债券等相关投资理财服务”，必要个人信息包括：

1.注册用户移动电话号码；

2.投资理财用户姓名、证件类型和号码、证件有效期限、证件影印件；

3.投资理财用户资金账户、银行卡号码或支付账号。

（二十四）手机银行类，基本功能服务为“通过手机等移动智能终端设备进行银行账户管理、信息查询、转账汇款等服务”，必要个人信息包括：

1.注册用户移动电话号码；

2.用户姓名、证件类型和号码、证件有效期限、证件影印件、银行卡号码、银行预留移动电话号码；

3.转账时需提供收款人姓名、银行卡号码、开户银行信息。

（二十五）邮箱云盘类，基本功能服务为“邮箱、云盘等”，必要个人信息为：注册用户移动电话号码。

（二十六）远程会议类，基本功能服务为“通过网络提供音频或视频会议”，必要个人信息为：注册用户移动电话号码。

（二十七）网络直播类，基本功能服务为“向公众持续提供实时视频、音频、图文等形式信息浏览服务”，无须个人信息，即可使用基本功能服务。

（二十八）在线影音类，基本功能服务为“影视、音乐搜索和播放”，无须个人信息，即可使用基本功能服务。

（二十九）短视频类，基本功能服务为“不超过一定时长的视频搜索、播放”，无须个人信息，即可使用基本功能服务。

（三十）新闻资讯类，基本功能服务为“新闻资讯的浏览、搜索”，无须个人信息，即可使用基本功能服务。

（三十一）运动健身类，基本功能服务为“运动健身训练”，无须个人信息，即可使用基本功能服务。

（三十二）浏览器类，基本功能服务为“浏览互联网信息资源”，无须个人信息，即可使用基本功能服务。

（三十三）输入法类，基本功能服务为“文字、符号等输入”，无须个人信息，即可使用基本功能服务。

（三十四）安全管理类，基本功能服务为“查杀病毒、清理恶意插件、修复漏洞等”，无须个人信息，即可使用基本功能服务。

（三十五）电子图书类，基本功能服务为“电子图书搜索、阅读”，无须个人信息，即可使用基本功能服务。

（三十六）拍摄美化类，基本功能服务为“拍摄、美颜、滤镜等”，无须个人信息，即可使用基本功能服务。

（三十七）应用商店类，基本功能服务为“App搜索、下载”，无须个人信息，即可使用基本功能服务。

（三十八）实用工具类，基本功能服务为“日历、天气、词典翻译、计算器、遥控器、手电筒、指南针、时钟闹钟、文件传输、文件管理、壁纸铃声、截图录屏、录音、文档处理、智能家居助手、星座性格测试等”，无须个人信息，即可使用基本功能服务。

（三十九）演出票务类，基本功能服务为“演出购票”，必要个人信息包括：

1.注册用户移动电话号码；

2.观演场次、座位号（如有）；

3.支付时间、支付金额、支付渠道等支付信息。

即使App需要必要个人信息才能实现其功能和服务，我们也一定要清楚，“必要个人信息”一定是保障App业务功能正常运行所需要的最少够用的个人信息，App超范围收集个人信息是一种违法行为，应当向监管机关反映和举报。

根据网络安全法确立的规则，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。

4 。

软件开发者、机构

应该如何去做呢?

首先应当扩大数据拥有者的责任边界，增强用户隐私保护意识，尊法而行、合规经营，拒绝“越界”，其次严于律己，严格把控自有产品的合规性，保护用户的合法权益，树立行业标杆。

本期暂且说到这儿

下期我们接着聊

「App强制、频繁、过度索取权限」

欢迎关注

*本文版权归网云安全所有，未经许可不得转载或翻译。

推荐阅读

APP合规-超范围收集个人信息相关推荐

APP 合规讲堂 - 收集使用个人信息的目的、方式、范围发生变化时，是否以适当方式通知用户（五）
本期内容收集使用个人信息的目的.方式.范围发生变化时,是否以适当方式通知用户评估依据 1.<App 违法违规收集使用个人信息行为认定方法>第二条以下行为可被认定为 "未明示收 ...
网上银行App登录使用短信验证码，属不属于超范围收集用户信息？
网上银行App登录该不该用短信验证码? 全国信息安全标准化技术委员会日前公布<信息安全技术移动互联网应用(App)收集个人信息基本规范(草案)>,面向社会公开征求意见. 该标准明确了移动 ...
2021 - 45周（App合规自查）
App合规自查: (一)APP.SDK违规处理用户个人信息方面 1.违规收集个人信息.重点整治APP.SDK未告知用户收集个人信息的目的.方式.范围且未经用户同意,私自收集用户个人信息的行为. iOS ...
安卓APP合规测试方法“火”了
前天群里有人抛出app合规怎么测试,领导就抛出xx你去测试下app合规,然后这下群里就开始讨论,没有测试规范,没有测试标准怎么测试,有人讨论主动测试,寻找知识解决问题,走上加薪升职星光大道,有人说活多 ...
工信部学习类app_工信部整治APP侵权行为，私自收集个人信息等8类问题被点名...
中新经纬客户端11月4日电据工信部官方微博4日消息,工信部发布<关于开展APP侵害用户权益专项整治工作的通知>,<通知>指出,将对违规收集用户个人信息.违规使用用户个人信息. ...
酷狗音乐、艺龙旅行等42款APP被曝违规收集用户信息
7月6日消息,据广东省公安厅官方消息,近期,广东省公安机关持续开展2019年第二季度超范围收集用户信息APP清理整治工作,共监测发现1048款APP存在超范围收集用户信息行为. 其中,"酷狗 ...
Android 申请权限前简单封装弹框阐述申请理由工具类，应付app合规检查
近段时间浏览新闻经常会看到工信部通报某某app合规检查不合格,拒不整改,勒令全部下架这些信息,尤其是金融类app.个人信息的保护对用户确实是非常重要的,相信绝大多数行业工作者也感觉到了这些年国家对互联 ...
App合规讲堂（四）-APP是否逐一列出APP及第三方代码收集使用个人信息的目的、方式、范围等
本期内容 App是否逐一列出App及第三方代码收集使用个人信息的目的.方式.范围等评估依据 1.<App违法违规收集使用个人信息行为认定方法>第二条以下行为可被认定为"未明示收 ...
App信息保护合规审核（个人信息保护政策）
APP信息保护合规审核 APP信息保护合规审核用户信息收集.使用规则拨测应用敏感权限过度申请拨测 APP侵权行为 APP信息保护合规审核判定规则细读一.以下行为可被认定为"未公开收集使 ...
网络安全咨询合规-APP合规检测
一.APP安全检测主要内容: APP 安全检测主要面向主流手机操作系统上开发的移动应用.常见的检测方式包括** 漏洞扫描. 渗透测试. 代码审计. 安全加固. 安全配置检查 App 违法违规收集使用个 ...

APP合规-超范围收集个人信息

1 。

4 。

APP合规-超范围收集个人信息相关推荐

最新文章

热门文章