个人信息安(ān)全问题一直是近几年的热门话题，在各类 APP 為(wèi)人们生活带来便捷的同时，APP背后的个人隐私安(ān)全问题也日益突出，如超范围收集个人信息、强制授权、过度索权的现象屡禁不止。

國(guó)家各级监管部门加大打击侵害消费者个人信息违法行為(wèi)的力度，市场监管总局开展了侵害消费者个人信息违法行為(wèi)专项执法行动；全國(guó)公(gōng)安(ān)机关网安(ān)部门围绕APP违法违规收集个人信息问题，深入推进了“净网2021”专项行动，集中(zhōng)查办(bàn)一批违法互联网企业，震慑非法采集个人信息行為(wèi)；中(zhōng)央网信办(bàn)在加强个人信息保护方面，开展了立法先行、标准支撑、专项治理(lǐ)、大力宣传等四项工(gōng)作(zuò)；工(gōng)业和信息化部就APP违规收集个人信息、过度索权、频繁骚扰用(yòng)户等侵害用(yòng)户权益问题开展了信息通信领域APP侵害用(yòng)户权益专项整治行动。

2022年315晚会通报

随着被通报、被整改、被下架的APP屡见不鲜，為(wèi)保证业務(wù)的正常运行，APP开发企业应该在应用(yòng)发布前进行个人信息的安(ān)全性和合规性评估，以保证满足合规要求。爱加密，具(jù)备强大的安(ān)全检测技(jì )术和合规能(néng)力，可(kě)提供专业的个人信息安(ān)全合规评估服務(wù)。

评估依据

1、全國(guó)人大常委会《中(zhōng)华人民(mín)共和國(guó)网络安(ān)全法》

2、全國(guó)人大常委会《个人信息保护法》

3、全國(guó)信息安(ān)全标准化技(jì )术委员会《GB/T 35273-2020-信息安(ān)全技(jì )术 个人信息安(ān)全规范》

4、全國(guó)信息安(ān)全标准化技(jì )术委员会《GBT 41391-2022-信息安(ān)全技(jì )术 移动互联网应用(yòng)程序（APP）收集个人信息基本要求》

5、全國(guó)信息安(ān)全标准化技(jì )术委员会《信息安(ān)全技(jì )术 移动互联网应用(yòng)程序（APP）收集个人信息基本规范(征求意见稿)》

6、全國(guó)信息安(ān)全标准化技(jì )术委员会《移动互联网应用(yòng)程序（APP）收集使用(yòng)个人信息自评估指南》

7、全國(guó)信息安(ān)全标准化技(jì )术委员会《网络安(ān)全标准实践指南—移动互联网应用(yòng)程序（APP）个人信息保护常见问题及处置指南》

8、全國(guó)信息安(ān)全标准化技(jì )术委员会《移动互联网应用(yòng)程序（APP）系统权限申请使用(yòng)指南》

9、APP专项治理(lǐ)工(gōng)作(zuò)组《APP违法违规收集使用(yòng)个人信息自评估指南》

10、APP专项治理(lǐ)工(gōng)作(zuò)组《APP申请安(ān)卓系统权限机制分(fēn)析与建议》

11、四部委《APP违法违规收集使用(yòng)个人信息行為(wèi)认定方法》

12、四部委《常见类型移动互联网应用(yòng)程序必要个人信息范围规定》

13、工(gōng)业和信息化部《关于开展APP侵害用(yòng)户权益专项整治工(gōng)作(zuò)的通知（工(gōng)信部信管函〔2019〕337号）》

14、工(gōng)业和信息化部《关于开展纵深推进APP侵害用(yòng)户权益专项整治行动的通知（工(gōng)信部信管函〔2020〕164号）》

15、國(guó)家互联网信息办(bàn)公(gōng)室《个人信息出境安(ān)全评估办(bàn)法（征求意见稿）》

16、國(guó)家互联网信息办(bàn)公(gōng)室《儿童个人信息网络保护规定》

17、電(diàn)信终端产(chǎn)业协会-工(gōng)信部团體(tǐ)标《移动智能(néng)终端与应用(yòng)软件用(yòng)户个人信息保护实施指南》

18、電(diàn)信终端产(chǎn)业协会-工(gōng)信部团體(tǐ)标《APP收集使用(yòng)个人信息最小(xiǎo)必要评估规范》

19、電(diàn)信终端产(chǎn)业协会-工(gōng)信部团體(tǐ)标《APP用(yòng)户权益保护测评规范》

20、電(diàn)信终端产(chǎn)业协会-工(gōng)信部团體(tǐ)标《移动互联网应用(yòng)程序（APP）用(yòng)户权益保护测评规范》

21、全國(guó)信息安(ān)全标准化技(jì )术委员会《移动互联网应用(yòng)程序（APP）使用(yòng)软件开 发工(gōng)具(jù)包（SDK）安(ān)全指引》-只针对SDK检测

22、中(zhōng)國(guó)信通院《小(xiǎo)程序个人信息保护研究报告》-只针对小(xiǎo)程序检测

评估方式

本地核查

隐私政策文(wén)本、实际运行状态 

以本地核查的方式查看APP隐私政策文(wén)本描述和人工(gōng)遍历全部业務(wù)功能(néng)、调用(yòng)接口行為(wèi)信息和个人信息权限代码声明列表核验，通过进行点击触发对比收集使用(yòng)的个人信息，核查是否私自、超范围收集使用(yòng)个人信息。

行為(wèi)监控

实际运行获取的个人信息、声明列表获取的个人信息权限。

自动化检测

SDK集成情况

以自动化检测（个人信息检测平台）的方式检测APP个人信息是否存在SDK收集使用(yòng)个人信息行為(wèi)，通过查看自动化检测所输出的报告描述，核查实际合规情况。

渗透测试

明文(wén)传输和本地存储 

以渗透测试检测的方式检测APP数据传输、数据存储所使用(yòng)的安(ān)全措施，通过查看渗透测试所输出的报告描述，对比隐私政策文(wén)本个人信息安(ān)全保护措施和能(néng)力要求是否对实际防护情况进行相应描述。

协助整改

权限目的、个人信息用(yòng)于用(yòng)户画像、个性化展示情况、注销模块

以遠(yuǎn)程或现场协助整改的方式，首先提供一对一个人信息检测不合规项解读，然后提供对应不合规项國(guó)家监管层面的合规标准以及市场大众的合规设计案例，同时通过工(gōng)具(jù)监控代码调用(yòng)行為(wèi)信息，帮助开发定位问题所在，快速有(yǒu)效的完成合规整改。

服務(wù)优势

１、结合监管通报点人工(gōng)解读政策

对APP进行深入探测，提取APP里与隐私政策相关的信息，结合人工(gōng)遍历业務(wù)功能(néng)、工(gōng)具(jù)动态监控等先进技(jì )术，帮助开发者、法務(wù)完善隐私政策。

２、标准整合输出合规模板

按照目前已知所有(yǒu)监管部门发布的个人信息相关标准进行逐一分(fēn)析理(lǐ)解研发检测。

３、保留截图方便自查自改

对于每一项检测结果，截图保留证据，方便在自查自改时作(zuò)為(wèi)参考。

４、权限和行為(wèi)使用(yòng)审查

对APP所使用(yòng)的权限和API接口进行完整分(fēn)析，提醒开发者所使用(yòng)的个人信息权限和调用(yòng)API接口情况，為(wèi)开发者自查自改提供重要線(xiàn)索。

５、协助整改

提供線(xiàn)上或線(xiàn)下的报告解读，结合法律法规和实践经验，进行“方便、快速、安(ān)心、精(jīng)准”的自查自改。