APP隐私合规评估

 APP隐私合规评估

为了落实《网络安全法》《个人信息保护法》等法律法规，基于“四部”（国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、市场监管总局办公厅）联合制定的《APP违法违规收集使用个人信息行为认定方法》，参照《移动智能终端个人信息保护技术要求》等多项国家标准，对APP进行隐私合规性安全检测。

— 权限检测

将隐私权限分为10大类，200+小类，分类进行定义与描述，通过APK解析处理，提供应用违规申请权限的名称。

— 合规审查

结合权限申请与胞私行为检测结果，采用动、静态与人工检测相结合的方式，对APP违规违法收集使用个人信息的行为进行审查。

— 检测报告

生成两种模式的检测报告，对合规条例中的未通过项进行说明，对个人隐私的违规违法收集使用情况进行取证与记录。

用户需求

政策、行业监管

受国家、行业监管要求，APP必须符合政策规定的《APP违法违规收集使用个人信息行为认定方法》、个人信息保护法等要求，方可上线运营，如未符合要求，有被下架、业务停摆的风险。

平台上架审核

移动应用在第三方分发平台上架时，需要通过第三方平台的审核，审核检测内容包括安全漏洞扫描、隐私合规等，如审核不通过，将阻碍应用及时上线。

第三方安全检测

移动应用自身健壮性要求，需要通过第三方中立检测机构进行专业评估。

服务内容

违规申请权限检查

通过综合使用流量抓取、APP逆向分析、行为运行跟踪、关联分析等技术手段，检测APP是否私自开启手机高风险权限。

违规收集个人信息行为检查

按照APP的业务功能，判定其所属类别应用。结合采取技术手段识别出该APP实际收集使用个人信息的情况，判定该APP是否存在超范围收集使用个人信息的情形。

检查依据

《APP违法违规收集使用个人信息行为认定方法》（国信办秘字〔2019〕191号）

《APP违法违规收集使用个人信息自评估指南》

《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》（工信部信管函〔2020〕164号）

《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》（工信部信管函〔2019〕337号）

《移动互联网应用程序个人信息保护管理的暂行规定（征求意见稿）》

《网络安全标准实践指南—移动互联网应用程序（APP）收集使用个人信息自评估指南》

《常见类型移动互联网应用程序必要个人信息范围规定》

《GB/T 34978-2017 信息安全技术 移动智能终端个人信息保护技术要求》

《工业和信息化部关于开展信息通信服务感知提升行动的通知》（工信部信管函〔2021〕292号）

《工业和信息化部关于2021年信息通信行业行风建设暨纠风工作的通知》

客户收益

满足监管要求

满足《网络安全法》、网信办《 APP违法违规收集使用个人信息行为认定方法》等安全合规性要求，及时发现APP安全问题和隐患，及时进行修补或评估可能的影响，避免被监管机构通报或下架。

保护客户隐私

做好安全自评估，持续提升企业APP隐私安全保障能力，保护客户信息不被泄露。

为通过APP隐私安全检测认证打基础

后续可按需通过CVERC国家计算机病毒应急处理中心APP安全与隐私检测认证。