重磅｜國(guó)信辦秘字〔2021〕14號(hào)規(guī)定2021年5月1日起施行，通付盾云提供免費(fèi)自檢自查服務(wù)

隨著移動(dòng)互聯(lián)網(wǎng)快速發(fā)展，各類應(yīng)用程序迅速普及，在促進(jìn)經(jīng)濟(jì)社會(huì)發(fā)展、服務(wù)民生等方面發(fā)揮了重要作用。與此同時(shí)對(duì)個(gè)人信息保護(hù)也帶來(lái)了巨大挑戰(zhàn)。近年來(lái)，我國(guó)越來(lái)越重視個(gè)人信息保護(hù)，個(gè)人信息保護(hù)力度不斷加強(qiáng)，相關(guān)政策、規(guī)范相繼出臺(tái)。

4月26日，工信部在其官網(wǎng)對(duì)外發(fā)布《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序個(gè)人信息保護(hù)管理暫行規(guī)定(征求意見(jiàn)稿)》?！兑庖?jiàn)稿》共計(jì)20條規(guī)定，界定了適用范圍和監(jiān)管主體。確立了“知情同意”、“最小必要”兩項(xiàng)重要原則。根據(jù)《意見(jiàn)稿》要求，在我國(guó)境內(nèi)開(kāi)展App個(gè)人信息處理活動(dòng)的，應(yīng)當(dāng)以清晰易懂的語(yǔ)言告知用戶個(gè)人信息處理規(guī)則，根據(jù) “最小必要”原則規(guī)定，從事App個(gè)人信息處理活動(dòng)的，應(yīng)當(dāng)具有明確、合理的目的，并遵循最小必要原則，不得從事超出用戶同意范圍或者與服務(wù)場(chǎng)景無(wú)關(guān)的個(gè)人信息處理活動(dòng)。

圖1 《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序個(gè)人信息保護(hù)管理暫行規(guī)定(征求意見(jiàn)稿)》

3月22日國(guó)家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、國(guó)家市場(chǎng)監(jiān)督管理總局四部門聯(lián)合發(fā)布《常見(jiàn)類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》（以下簡(jiǎn)稱《規(guī)定》），旨在落實(shí)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》關(guān)于個(gè)人信息收集合法、正當(dāng)、必要的原則，規(guī)范移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（App）個(gè)人信息收集行為，保障公民個(gè)人信息安全?！兑?guī)定》明確了地圖導(dǎo)航、網(wǎng)絡(luò)約車、即時(shí)通信、網(wǎng)絡(luò)購(gòu)物等39類常見(jiàn)類型移動(dòng)應(yīng)用程序必要個(gè)人信息范圍，并要求其運(yùn)營(yíng)者不得因用戶不同意提供非必要個(gè)人信息，而拒絕用戶使用App基本功能服務(wù)。

《規(guī)定》于2021年5月1日起施行。

圖2 《常見(jiàn)類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》

通付盾憑借自身在移動(dòng)安全領(lǐng)域與隱私保護(hù)領(lǐng)域研發(fā)服務(wù)實(shí)力，提供通付盾云權(quán)限檢測(cè)服務(wù)，助力移動(dòng)應(yīng)用個(gè)人信息信息收集規(guī)范化。

通付盾北斗團(tuán)隊(duì)（負(fù)責(zé)安全合規(guī)產(chǎn)品）于2013年成立，8年來(lái)專注于移動(dòng)應(yīng)用全生命周期的安全研究，積累了豐富的移動(dòng)應(yīng)用安全實(shí)戰(zhàn)經(jīng)驗(yàn)，不斷保持技術(shù)研發(fā)與創(chuàng)新，致力于為企業(yè)提供移動(dòng)應(yīng)用全生命周期安全工程解決方案。自研了符號(hào)執(zhí)行、動(dòng)態(tài)沙箱、大數(shù)據(jù)分析、VMP虛擬機(jī)保護(hù)、iPA動(dòng)態(tài)殼保護(hù)等多個(gè)核心技術(shù)。團(tuán)隊(duì)所研發(fā)產(chǎn)品已服務(wù)于上千家各行業(yè)客戶，深入到政府、軍工、能源、金融、運(yùn)營(yíng)商、教育、醫(yī)療、傳媒、交通、互聯(lián)網(wǎng)等行業(yè)，為數(shù)十億級(jí)移動(dòng)終端提供了移動(dòng)應(yīng)用安全保障。其中移動(dòng)應(yīng)用安全合規(guī)檢測(cè)成功服務(wù)國(guó)測(cè)、軍測(cè)、公安和工信部，實(shí)現(xiàn)國(guó)家級(jí)測(cè)評(píng)機(jī)構(gòu)全覆蓋。

通付盾北斗團(tuán)隊(duì)（負(fù)責(zé)安全合規(guī)產(chǎn)品）以四部委聯(lián)合發(fā)布的《規(guī)定》為重點(diǎn)依據(jù)，參考國(guó)家發(fā)布的移動(dòng)互聯(lián)網(wǎng)安全管理的其他相關(guān)政策文件，經(jīng)過(guò)深入研究分析，對(duì)39類移動(dòng)應(yīng)用的權(quán)限檢測(cè)制定了一套完整可施行的檢測(cè)標(biāo)準(zhǔn)。

具體應(yīng)用類型及最低權(quán)限要求整理如下：

1 地圖導(dǎo)航

2 網(wǎng)絡(luò)約車

3 即時(shí)通信

4 網(wǎng)絡(luò)社區(qū)

5 網(wǎng)絡(luò)支付

6 網(wǎng)上購(gòu)物

7 餐飲外賣

8 郵件快件寄遞

9 交通票務(wù)

10 婚戀相親

11 求職招聘

12 網(wǎng)絡(luò)借貸

13 房屋租售

14 二手車交易

15 問(wèn)診掛號(hào)

16 旅游服務(wù)

17 酒店服務(wù)

18 網(wǎng)絡(luò)游戲

19 學(xué)習(xí)教育

20 本地生活

21 女性健康

22 用車服務(wù)

23 投資理財(cái)

24 手機(jī)銀行

25 郵箱云盤

26 遠(yuǎn)程會(huì)議

27 網(wǎng)絡(luò)直播

28 在線影音

29 短視頻

30 新聞資訊

31 運(yùn)動(dòng)健身

32 瀏覽器

33 輸入法

34 安全管理

35 電子圖書(shū)

36 拍攝美化

37 應(yīng)用商店

38 實(shí)用工具

39 演出票務(wù)

通付盾云權(quán)限檢測(cè)服務(wù)依托于先進(jìn)的動(dòng)靜雙結(jié)合檢測(cè)引擎技術(shù)，結(jié)合云真機(jī)檢測(cè)平臺(tái)，依據(jù)檢測(cè)標(biāo)準(zhǔn)，對(duì)各類應(yīng)用進(jìn)行全面檢測(cè)，提供專業(yè)的檢測(cè)報(bào)告。權(quán)限檢測(cè)服務(wù)采用了基于以程序分析為核心的靜態(tài)分析引擎和以動(dòng)態(tài)運(yùn)行沙盒為核心的動(dòng)態(tài)檢測(cè)引擎，針對(duì)App使用全過(guò)程進(jìn)行權(quán)限檢測(cè)，依據(jù)權(quán)限檢測(cè)標(biāo)準(zhǔn)，主動(dòng)發(fā)現(xiàn)App存在的未經(jīng)授權(quán)擅自收集、過(guò)度和非必要收集、頻繁索權(quán)和強(qiáng)制收集、隱瞞第三方SDK收集行為、私自共享給第三方等違規(guī)采集個(gè)人信息使用問(wèn)題，從而幫助用戶快速、準(zhǔn)確地檢測(cè)App中存在的敏感權(quán)限調(diào)用及過(guò)度個(gè)人信息收集。

檢測(cè)流程

圖3 權(quán)限檢測(cè)流程示意圖

用戶僅需將待檢測(cè)應(yīng)用提交至通付盾云權(quán)限檢測(cè)服務(wù)，平臺(tái)將實(shí)時(shí)監(jiān)測(cè)應(yīng)用真機(jī)環(huán)境自動(dòng)化運(yùn)行過(guò)程，對(duì)運(yùn)行過(guò)程中權(quán)限申請(qǐng)和調(diào)用情況詳細(xì)記錄，依據(jù)檢測(cè)標(biāo)準(zhǔn)對(duì)權(quán)限申請(qǐng)和調(diào)用情況進(jìn)行智能分析，出具詳細(xì)分析報(bào)告。

通付盾云權(quán)限檢測(cè)服務(wù)可提供應(yīng)用檢測(cè)詳請(qǐng)分析及檢測(cè)報(bào)告下載。檢測(cè)詳情分析包括檢測(cè)結(jié)果總覽、超規(guī)權(quán)限調(diào)用詳情、權(quán)限調(diào)用流程記錄等。

1）權(quán)限檢測(cè)結(jié)果總覽：對(duì)超規(guī)權(quán)限、超規(guī)行為、應(yīng)用風(fēng)險(xiǎn)、第三方SDK的檢測(cè)結(jié)果做匯總及詳細(xì)說(shuō)明。

圖4 超規(guī)權(quán)限檢測(cè)結(jié)果總覽

2）超規(guī)權(quán)限調(diào)用詳情:詳細(xì)記錄了調(diào)用的權(quán)限類型、頁(yè)面信息、調(diào)用API、調(diào)用類等信息。

圖5 超規(guī)權(quán)限調(diào)用詳情

3）權(quán)限調(diào)用流程記錄：詳細(xì)跟蹤記錄了真機(jī)檢測(cè)的整個(gè)執(zhí)行過(guò)程。

圖6 權(quán)限調(diào)用流程記錄

典型案例

如以下某款學(xué)習(xí)教育類應(yīng)用軟件，依據(jù)《規(guī)定》，（十九）學(xué)習(xí)教育類，基本功能服務(wù)為“在線輔導(dǎo)、網(wǎng)絡(luò)課堂等”必要信息為：注冊(cè)用戶移動(dòng)電話號(hào)碼。

通過(guò)權(quán)限檢測(cè)發(fā)現(xiàn)其在實(shí)際使用場(chǎng)景中除獲取手機(jī)號(hào)碼外，申請(qǐng)及調(diào)用的用戶權(quán)限包括獲取位置信息、允許安裝和卸載文件系統(tǒng)、讀取底層日志、撥打電話等。嚴(yán)重超出了《規(guī)定》要求的隱私權(quán)限范圍。

圖7 權(quán)限檢測(cè)結(jié)果

通付盾作為國(guó)家信息安全技術(shù)應(yīng)用創(chuàng)新聯(lián)盟成員單位、國(guó)家網(wǎng)絡(luò)與信息安全通報(bào)機(jī)制技術(shù)支持單位、國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心優(yōu)秀技術(shù)支持單位、中國(guó)國(guó)家信息安全漏洞庫(kù)（CNNVD）技術(shù)支撐單位、中國(guó)反網(wǎng)絡(luò)病毒聯(lián)盟（ANVA）白名單工作組成員單位，將繼續(xù)不斷加強(qiáng)自身網(wǎng)絡(luò)安全技術(shù)創(chuàng)新能力，持續(xù)為企業(yè)履行保護(hù)用戶個(gè)人信息的責(zé)任和義務(wù)方面作出貢獻(xiàn)。

今日起，通付盾App權(quán)限檢測(cè)面向所有用戶免費(fèi)開(kāi)放！

免責(zé)聲明：市場(chǎng)有風(fēng)險(xiǎn)，選擇需謹(jǐn)慎！此文僅供參考，不作買賣依據(jù)。

關(guān)鍵詞：