8月16日上海市通信管理局官方微信公众号“上海通信圈”发布《上海市通信管理局关于侵害用户权益行为app的通报(2024年第一批)》。本次app通报为2024年第一批。内容显示本次共通报26款移动互联网应用程序涉及app和小程序。
应用来源:本次检测的应用来源均为主流分发平台如应用宝、百度手机助手、vivo应用市场、华为应用市场、豌豆荚等。特别注意的是豌豆荚存在爬取外部渠道应用的行为,因此需要留意此应用市场app版本新旧问题。
涉及问题:违规收集个人信息(top1)、超范围收集个人信息、app自启动和关联启动、未合理申请使用权限等
上海市通信管理局关于侵害用户权益行为APP的通报(2024年第一批)
具体问题详情如下:
存在问题的APP(小程序)名单(2024年第一批)
笔者写在最后:不管是工信部层面还是地方属地app侵害用户权益通报已成为常规动作,并且在纵深推进,从最初的安卓移动应用到苹果程序再到微信小程序,相信不久将来鸿蒙应用、快应用等新形态移动应用也会纳入到常规的监管范围。
app合规治理对于大多数企业确实存在困难:
一难:权限难收口:app的开发流程在很多企业已经有一套固定的流程,想要去打破藩篱,侵入性的对权限进行收口。既考虑安全人员的方案设计水平、和产品经理、开发经理的沟通能力也考验企业高层对安全的支持程度,不然难以推进。
二难:个人信息收集渠道难管控:对于不少中小企业可能连安全评审机制都没有那怎么去保证个人信息收集的渠道是合规的了。因此建立安全评审机制、流程宣贯并且落地实施就极其重要,有赖安全同学下狠功夫。
三难:app场景难测全:面对敏捷开发,产品的迅速迭代,app业务场景千奇百怪,极其复杂,安全同学很难在测试阶段去全面检测,难免遗漏场景。因此需要培养具备app合规思维的测试同学,参考纵深防御体系,需通过开发自测、安全员专业测试来确保不遗漏。有钱有实力的企业也可以考虑自动化方式测试方案来弥补人力天生的缺陷。
