24年首批!上海通管通報違規app涉及歐萊雅、瑪莎拉蒂
8月16日上海市通信管理局官方微信公眾號“上海通信圈”發布《上海市通信管理局關于侵害用戶權益行為app的通報(2024年第一批)》。本次app通報為2024年第一批。內容顯示本次共通報26款移動互聯網應用程序涉及app和小程序。
應用來源:本次檢測的應用來源均為主流分發平臺如應用寶、百度手機助手、vivo應用市場、華為應用市場、豌豆莢等。特別注意的是豌豆莢存在爬取外部渠道應用的行為,因此需要留意此應用市場app版本新舊問題。
涉及問題:違規收集個人信息(top1)、超范圍收集個人信息、app自啟動和關聯啟動、未合理申請使用權限等
上海市通信管理局關于侵害用戶權益行為APP的通報(2024年第一批)
具體問題詳情如下:
存在問題的APP(小程序)名單(2024年第一批)
筆者寫在最后:不管是工信部層面還是地方屬地app侵害用戶權益通報已成為常規動作,并且在縱深推進,從最初的安卓移動應用到蘋果程序再到微信小程序,相信不久將來鴻蒙應用、快應用等新形態移動應用也會納入到常規的監管范圍。
app合規治理對于大多數企業確實存在困難:
一難:權限難收口:app的開發流程在很多企業已經有一套固定的流程,想要去打破藩籬,侵入性的對權限進行收口。既考慮安全人員的方案設計水平、和產品經理、開發經理的溝通能力也考驗企業高層對安全的支持程度,不然難以推進。
二難:個人信息收集渠道難管控:對于不少中小企業可能連安全評審機制都沒有那怎么去保證個人信息收集的渠道是合規的了。因此建立安全評審機制、流程宣貫并且落地實施就極其重要,有賴安全同學下狠功夫。
三難:app場景難測全:面對敏捷開發,產品的迅速迭代,app業務場景千奇百怪,極其復雜,安全同學很難在測試階段去全面檢測,難免遺漏場景。因此需要培養具備app合規思維的測試同學,參考縱深防御體系,需通過開發自測、安全員專業測試來確保不遺漏。有錢有實力的企業也可以考慮自動化方式測試方案來彌補人力天生的缺陷。
浙公網安備 33010602011771號