【提醒】这250款应用被通报,好多你正在使用
日期:2023年01月05日 阅:117
依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》《App违法违规收集使用个人信息行为认定方法》等法律法规,按照工业和信息化部《关于开展纵深推进App侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号)等工作部署,12月多个地方通报应用总共250款,具体的分布如下:
1.近期通报概述
1)12月7日,安徽省通信管理局通报15款侵害用户权益App;2)12月17日,浙江省通信管理局通报47款侵害用户权益App;3)12月28日,四川省和重庆市通信管理局联合通报15款侵害用户权益的App;4)12月28日,浙江省网信办查处173款侵犯个人信息合法权益的违法违规App;5)12月30日,北京市通信管理局通报29款侵害用户权益和安全隐患的App。
2.重点问题分布
多个地方通报的共性问题主要集中在隐私保护部分,主要包括:违法收集/使用个人信息,App强制、频繁、过度索取权限,App频繁自启动和关联启动等。1)安徽省通信管理局通报App所涉问题集中在①违规收集个人信息,②App强制、频繁、过度索取权限,③App频繁自启动和关联启动;2)浙江省通信管理局通报App所涉问题集中在①违规收集/使用个人信息,②App强制、频繁、过度索取权限,③App频繁自启动和关联启动,④强制用户使用定向推送功能;3)四川省和重庆市通信管理局联合通报App所涉问题集中在①违规收集个人信息,②违规使用个人信息,③强制、频繁、过度索取权限;4)浙江省网信办通报App所涉问题集中在①未明示收集使用个人信息的目的、方式和范围,②违反必要原则,收集与其提供的服务无关的个人信息,③未经用户同意收集使用个人信息,④未公开收集使用规则;5)北京市通信管理局通报App所涉问题集中在①未经用户同意收集使用个人信息,②违反必要原则,③未明示收集使用个人信息的目的、方式和范围;下架的App所涉问题集中在①账号注销难,②未经用户同意收集使用个人信息,③未明示收集使用个人信息的目的、方式和范围。
3.通报变化
1)从浙江省通报来看,通报App名单包括有赞精选、网易邮箱、叮嗒出行、同花顺投资账本、in、企鹅共享、网易严选、网易云音乐、LOOK直播、有货、网易帐号管家、当贝市场、杭州地铁、方太幸福家等知名企业开发的多用户量App也在通报名单内,大多存在①未明示收集使用个人信息的目的、方式和范围,②未经用户同意收集使用个人信息,③违反必要原则,收集与其提供的服务无关的个人信息等三类问题。
另外,网络游戏类App、拍摄美化类App也不乏违规收集个人信息的情况。
2)从北京市通报来看,通报的29款App,所涉问题为“应用数据任意备份风险”出现8次;所涉问题为“在网站或移动应用程序前后端数据传输过程中,未对用户身份证号码/用户鉴权信息等敏感数据进行加密”出现7次,所涉问题为“zip文件解压目录遍历漏洞”和“密钥硬编码漏洞”各出现1次,App自身安全也需要引起关注。
4.部分通报内容
安徽省通信管理局通报15款侵害用户权益App通报的部分App名单:
浙江省通信管理局通报47款侵害用户权益App通报的部分App名单:
四川省和重庆市通信管理局联合通报侵害用户权益的App通报的部分App名单:
川渝地区App典型违规案例
典型案例一:重庆某问诊挂号类App,全网多个主流应用商店均可下载,累计下载量超十万次,该App存在“首次运行,未经用户同意隐私政策,私自收集用户个人信息MAC地址、androidID和正在运行的应用列表信息”“未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围”,该行为违反《关于开展纵深推进App侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号)中典型违规问题“违规收集个人信息”、“未公开收集使用规则”。
典型案例二:四川省某生活类App,全网多个主流应用商店均可下载,累计下载量超百万次,该App存在“违规收集个人信息、超范围收集个人信息、App强制、频繁、过度索取权限”,App未经用户同意,非服务必须或无合理使用场景,超范围收集使用个人信息,该行为违反《关于开展纵深推进App侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号)中典型违规问题“违规收集个人信息”、“超范围收集个人信息”、“App强制、频繁、过度索取权限”。
浙江省网信办查处173款侵犯个人信息合法权益的违法违规App。通报的部分App名单:
北京市通信管理局通报29款侵害用户权益App通报的部分App名单:
深圳海云安网络安全技术有限公司成立于2015年,是深圳国资参股投资的专注于应用安全领域的创新型国家高新技术企业。公司以“安全每一行代码”为己任,致力于“可信应用,主动防御”系列应用安全产品研发推广,长期为金融、政府、企事业单位提供安全开发、APP安全、数据安全等全面解决方案。