重磅｜國信辦秘字〔2021〕14號規(guī)定2021年5月1日起施行，通付盾云提供免費自檢自查服務

隨著移動互聯(lián)網(wǎng)快速發(fā)展，各類應用程序迅速普及，在促進經(jīng)濟社會發(fā)展、服務民生等方面發(fā)揮了重要作用。與此同時對個人信息保護也帶來了巨大挑戰(zhàn)。近年來，我國越來越重視個人信息保護，個人信息保護力度不斷加強，相關政策、規(guī)范相繼出臺。

4月26日，工信部在其官網(wǎng)對外發(fā)布《移動互聯(lián)網(wǎng)應用程序個人信息保護管理暫行規(guī)定(征求意見稿)》?！兑庖姼濉饭灿?0條規(guī)定，界定了適用范圍和監(jiān)管主體。確立了“知情同意”、“最小必要”兩項重要原則。根據(jù)《意見稿》要求，在我國境內(nèi)開展App個人信息處理活動的，應當以清晰易懂的語言告知用戶個人信息處理規(guī)則，根據(jù) “最小必要”原則規(guī)定，從事App個人信息處理活動的，應當具有明確、合理的目的，并遵循最小必要原則，不得從事超出用戶同意范圍或者與服務場景無關的個人信息處理活動。

圖1 《移動互聯(lián)網(wǎng)應用程序個人信息保護管理暫行規(guī)定(征求意見稿)》

3月22日國家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、國家市場監(jiān)督管理總局四部門聯(lián)合發(fā)布《常見類型移動互聯(lián)網(wǎng)應用程序必要個人信息范圍規(guī)定》（以下簡稱《規(guī)定》），旨在落實《中華人民共和國網(wǎng)絡安全法》關于個人信息收集合法、正當、必要的原則，規(guī)范移動互聯(lián)網(wǎng)應用程序（App）個人信息收集行為，保障公民個人信息安全?！兑?guī)定》明確了地圖導航、網(wǎng)絡約車、即時通信、網(wǎng)絡購物等39類常見類型移動應用程序必要個人信息范圍，并要求其運營者不得因用戶不同意提供非必要個人信息，而拒絕用戶使用App基本功能服務。

《規(guī)定》于2021年5月1日起施行。

圖2 《常見類型移動互聯(lián)網(wǎng)應用程序必要個人信息范圍規(guī)定》

通付盾憑借自身在移動安全領域與隱私保護領域研發(fā)服務實力，提供通付盾云權限檢測服務，助力移動應用個人信息信息收集規(guī)范化。

通付盾北斗團隊（負責安全合規(guī)產(chǎn)品）于2013年成立，8年來專注于移動應用全生命周期的安全研究，積累了豐富的移動應用安全實戰(zhàn)經(jīng)驗，不斷保持技術研發(fā)與創(chuàng)新，致力于為企業(yè)提供移動應用全生命周期安全工程解決方案。自研了符號執(zhí)行、動態(tài)沙箱、大數(shù)據(jù)分析、VMP虛擬機保護、iPA動態(tài)殼保護等多個核心技術。團隊所研發(fā)產(chǎn)品已服務于上千家各行業(yè)客戶，深入到政府、軍工、能源、金融、運營商、教育、醫(yī)療、傳媒、交通、互聯(lián)網(wǎng)等行業(yè)，為數(shù)十億級移動終端提供了移動應用安全保障。其中移動應用安全合規(guī)檢測成功服務國測、軍測、公安和工信部，實現(xiàn)國家級測評機構全覆蓋。

通付盾北斗團隊（負責安全合規(guī)產(chǎn)品）以四部委聯(lián)合發(fā)布的《規(guī)定》為重點依據(jù)，參考國家發(fā)布的移動互聯(lián)網(wǎng)安全管理的其他相關政策文件，經(jīng)過深入研究分析，對39類移動應用的權限檢測制定了一套完整可施行的檢測標準。

具體應用類型及最低權限要求整理如下：

1 地圖導航

2 網(wǎng)絡約車

3 即時通信

4 網(wǎng)絡社區(qū)

5 網(wǎng)絡支付

6 網(wǎng)上購物

7 餐飲外賣

8 郵件快件寄遞

9 交通票務

10 婚戀相親

11 求職招聘

12 網(wǎng)絡借貸

13 房屋租售

14 二手車交易

15 問診掛號

16 旅游服務

17 酒店服務

18 網(wǎng)絡游戲

19 學習教育

20 本地生活

21 女性健康

22 用車服務

23 投資理財

24 手機銀行

25 郵箱云盤

26 遠程會議

27 網(wǎng)絡直播

28 在線影音

29 短視頻

30 新聞資訊

31 運動健身

32 瀏覽器

33 輸入法

34 安全管理

35 電子圖書

36 拍攝美化

37 應用商店

38 實用工具

39 演出票務

通付盾云權限檢測服務依托于先進的動靜雙結合檢測引擎技術，結合云真機檢測平臺，依據(jù)檢測標準，對各類應用進行全面檢測，提供專業(yè)的檢測報告。權限檢測服務采用了基于以程序分析為核心的靜態(tài)分析引擎和以動態(tài)運行沙盒為核心的動態(tài)檢測引擎，針對App使用全過程進行權限檢測，依據(jù)權限檢測標準，主動發(fā)現(xiàn)App存在的未經(jīng)授權擅自收集、過度和非必要收集、頻繁索權和強制收集、隱瞞第三方SDK收集行為、私自共享給第三方等違規(guī)采集個人信息使用問題，從而幫助用戶快速、準確地檢測App中存在的敏感權限調(diào)用及過度個人信息收集。

檢測流程

圖3 權限檢測流程示意圖

用戶僅需將待檢測應用提交至通付盾云權限檢測服務，平臺將實時監(jiān)測應用真機環(huán)境自動化運行過程，對運行過程中權限申請和調(diào)用情況詳細記錄，依據(jù)檢測標準對權限申請和調(diào)用情況進行智能分析，出具詳細分析報告。

通付盾云權限檢測服務可提供應用檢測詳請分析及檢測報告下載。檢測詳情分析包括檢測結果總覽、超規(guī)權限調(diào)用詳情、權限調(diào)用流程記錄等。

1）權限檢測結果總覽：對超規(guī)權限、超規(guī)行為、應用風險、第三方SDK的檢測結果做匯總及詳細說明。

圖4 超規(guī)權限檢測結果總覽

2）超規(guī)權限調(diào)用詳情:詳細記錄了調(diào)用的權限類型、頁面信息、調(diào)用API、調(diào)用類等信息。

圖5 超規(guī)權限調(diào)用詳情

3）權限調(diào)用流程記錄：詳細跟蹤記錄了真機檢測的整個執(zhí)行過程。

圖6 權限調(diào)用流程記錄

典型案例

如以下某款學習教育類應用軟件，依據(jù)《規(guī)定》，（十九）學習教育類，基本功能服務為“在線輔導、網(wǎng)絡課堂等”必要信息為：注冊用戶移動電話號碼。

通過權限檢測發(fā)現(xiàn)其在實際使用場景中除獲取手機號碼外，申請及調(diào)用的用戶權限包括獲取位置信息、允許安裝和卸載文件系統(tǒng)、讀取底層日志、撥打電話等。嚴重超出了《規(guī)定》要求的隱私權限范圍。

圖7 權限檢測結果

通付盾作為國家信息安全技術應用創(chuàng)新聯(lián)盟成員單位、國家網(wǎng)絡與信息安全通報機制技術支持單位、國家計算機病毒應急處理中心優(yōu)秀技術支持單位、中國國家信息安全漏洞庫（CNNVD）技術支撐單位、中國反網(wǎng)絡病毒聯(lián)盟（ANVA）白名單工作組成員單位，將繼續(xù)不斷加強自身網(wǎng)絡安全技術創(chuàng)新能力，持續(xù)為企業(yè)履行保護用戶個人信息的責任和義務方面作出貢獻。

今日起，通付盾App權限檢測面向所有用戶免費開放！

免責聲明：市場有風險，選擇需謹慎！此文僅供參考，不作買賣依據(jù)。

關鍵詞：