现如今大多数的App运营者为了丰富用户的使用体验,提供给用户更多元化的业务功能,通常会与一些第三方应用提供者达成合作协议,在App内接入第三方应用以实现特定的业务功能,满足用户的多样化需求。而在接入第三方应用的过程中往往会出现一些易被忽视的安全问题,因此当前对于App接入第三方应用的合规及安全性亦越来越受到重视。本文将针对《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》(GB/T 41391—2022)的6.6.1 App接入第三方应用章节进行解读,并举例分析App接入第三方应用时应满足哪些要求、注意哪些问题。
01条款解析
6.6.1 第三方收集管理-App接入第三方应用 | ||
a) | 第三方应用接入管理应符合GB/T 35273—2020中9.7的要求。 | 条款解析:该条款与GB/T 35273—2020.中9.7第三方接入管理章节关联检查,详见下方检测思路(一)。 |
b) | 应与第三方应用明确双方的个人信息处理规则和保护责任。 | 条款解析: 1、第三方应用应提供其个人信息的处理规则,其中需包含收集使用个人信息的目的、方式和范围等; 2、应向用户明示App提供给第三方应用的个人信息种类、保存期限、停止接入后的个人信息处理方式、保护措施等。 |
c) | 应为用户提供第三方应用授权管理的功能或渠道,确保用户可便捷地关闭或撤回对第三方应用可收集个人信息权限的授权,以及向第三方应用提供个人信息的授权,第三方应用提供该App基本业务功能的除外。 | 条款解析:App运营者应提供给用户撤回对第三方应用可收集个人信息权限的授权,以及向第三方应用提供个人信息的授权的功能或途径。 |
d) | 应提醒用户关注第三方应用的个人信息处理规则,未经用户同意不应私自截留用户仅同意向第三方应用提供的个人信息。 | 条款解析: 1、应提示用户阅读第三方应用的个人信息收集使用规则; 2、App不得未经用户同意私自截留用户仅向第三方应用提供的个人信息。 |
02 何为第三方?如何辨别和区分是否为第三方?
第三方指的是除了App运营者之外的其他法人实体,包括关联公司,具体可通过以下三点加以辨别和区分:
1、是否与App运营者同属于一家企业集团;
2、是否与App运营者遵守同一套管理制度;
3、是否与App运营者统一进行安全和运维管理。
若该法人实体与App运营者同属于一家企业集团、遵守同一套管理制度、且统一进行安全和运维管理,则通常不属于第三方。
03 第三方应用解析
第三方应用一般指的是由App运营者之外的其他个人或组织提供的商业和开源应用,既包括嵌入的SDK、代码、插件等,也包括接入的移动互联网应用程序、小程序等。本文仅针对于接入的移动互联网应用程序的合规及安全性加以解析,并提供具体的检测思路。
▼简单的第三方应用举例:微信中接入的滴滴出行、美团外卖、唯品会等均属于第三方应用,如下图所示。
正确、有效地区分和辨别第三方应用,将更有利于App运营者和第三方提供者合力进行相应的合规整改工作,避免将个人信息的采集主体混为一谈,明确整改方向、提高整改效率。
04 检测思路
在《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》(GB/T 41391—2022)的6.6.1章节里已对App接入第三方应用的具体要求做了相应说明,具体的检测思路如下:
(一)第三方应用接入管理应符合GB/T 35273—2020中 9.7的要求
该条款与GB/T 35273—2020.中9.7第三方接入管理章节关联检查,具体检查要求总结如下:
1、App运营者需自查是否有与第三方应用提供方通过合同等形式明确双方的安全责任及个人信息的安全保护措施;
2、检查在进入第三方应用时是否有向个人信息主体(即用户)明确标识该服务或功能由第三方提供。具体可查看在App内首次进入三方应用界面时,是否有以弹窗等方式告知用户即将进入三方应用页面,让用户自主选择是否进入,合规示例如下所示;
3、检查在第三方应用因业务功能所需收集用户个人信息时,是否有事先征得用户同意。具体可查看在App内首次进入三方应用界面时是否有以弹窗等方式向用户明示其隐私协议(协议中应包含个人信息的收集使用规则),让用户自主选择是否同意该隐私协议,合规示例如下图所示;
★注意:若在首次运行App时已提示用户阅读第三方应用的隐私协议,也属于一种告知同意的实施路径。
4、App运营者应检查第三方应用提供者是否有真正落实安全管理要求和责任,监督第三方提供者加强个人信息安全管理;
5、检查接入的第三方应用是否有违规、超范围收集用户个人信息。具体可检查第三方应用收集的个人信息是否有超出其隐私协议所声明的收集使用规则。
★注意:App运营者若发现接入的第三方应用存在违法违规收集个人信息的情形,需及时切断接入。
(二)应与第三方应用明确双方的个人信息处理规则和保护责任
1、检查接入的第三方应用是否有提供其个人信息的处理规则,其中需包含收集使用个人信息的目的、方式和范围等;
★注意:App运营者需加以监督,确保第三方应用提供方已提供相应内容。
2、检查是否有向用户明示App提供给第三方应用的个人信息种类、保存期限、停止接入后的个人信息处理方式、保护措施等。具体可检查App隐私政策中的“信息共享”相关章节,及“第三方共享清单”,或检查第三方应用个人信息处理规则,是否有明确相关内容。
(三)应为用户提供第三方应用授权管理的功能或渠道
1、检查App隐私政策或功能界面是否有提供给用户撤回对第三方应用可收集个人信息权限和个人信息的授权途径,且提供的撤回途径需真实有效,合规示例如图3.1所示。
★注意:若该三方应用提供的业务功能为App的基础业务,则无需额外提供相应的撤回途径。
(四)应提醒用户关注第三方应用的个人信息处理规则,未经用户同意不应私自截留用户仅同意向第三方应用提供的个人信息
1、检查在进入第三方应用前是否有提示用户阅读三方应用的收集使用规则,合规示例如图1.1所示;
2、检查App是否有未经用户同意私自截留用户仅向第三方应用提供的个人信息。具体可通过技术手段检测,在用户通过页面表单等形式向第三方应用提供个人信息时,App是否会在个人信息传输过程中私自截留并将个人信息上传至后台服务器,若存在该行为,需检查App隐私政策是否有进行相应说明,并事先征得用户同意。
★注意:信息查询类App较易出现上述私自截留个人信息的情形,相关App运营者需予以重视。
05 合规思路
在《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》(GB/T 41391—2022)发布之前,已经存在许多法律法规发文对App接入第三方应用这一行为做出多方面的合规要求,具体如下方表格所示。
发文名称 | “App接入第三方应用”相关要求 |
《信息安全技术 个人信息安全规范》(GB/T 35273—2020) | 9.7 第三方接入管理。 |
《App收集使用个人信息自评估-实践指南》(TC260-PG-20202A) | 4.4-c) 接入第三方应用时,不私自截留第三方应用收集的个人信息; 5.1向他人提供个人信息前是否征得用户同意; 5.2向接入的第三方应用提供个人信息前是否经用户同意。 |
网信办191号文《App违法违规收集使用个人信息行为认定方法》 | 五-1. 既未经用户同意,也未做匿名化处理,App客户端直接向第三方提供个人信息,包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息; |
五-2. 既未经用户同意、也未做匿名化处理,数据传输至App后台服务器,向第三方提供其收集的个人信息; | |
五-3. App接入第三方应用,未经用户同意,向第三方应用提供个人信息。 | |
164号文《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》 | 三-(一)-3. 违规使用个人信息。APP、SDK未向用户告知且未经用户同意,私自使用个人信息,将用户个人信息用于其提供服务之外的目的,特别是私自向其他应用或服务器发送、共享用户个人信息的行为。 |
292号文《工业和信息化部关于开展信息通信服务感知提升行动的通知》 | 二-(二). 建立个人信息保护“双清单”。各相关企业应建立已收集个人信息清单和与第三方共享个人信息清单,并在APP 二级菜单中展示,方便用户查询;与第三方共享个人信息清单应简洁、清晰列出APP与第三方共享的用户个人信息基本情况,包括与第三方共享的个人信息种类、使用目的、使用场景和共享方式等。 |
各大发文的发布也让有关App接入第三方应用违规收集个人信息的检查越来越严苛,而当接入的第三方应用出现安全合规问题时,App运营方不可避免的也会受到牵连,故对于App运营者来说,要做好监督者的角色,提高对用户个人信息的安全保护意识,与第三方应用提供方沟通完善好相关的个人信息收集使用规则和保护协议,规避违法违规收集使用个人信息的行为,才能最大意义上降低被通报、下架的风险,也能让用户更放心地使用相应的产品和服务。
06 总结
“博观而约取,厚积而薄发”,目前对于App接入第三方应用的合法规定和标准仍在逐步完善中,若想进一步在App接入第三方应用时做到全面地安全与合规,还需要App运营者、第三方应用提供者统一相关认识、步伐一致,合力共整改。
(本文作者:北京梆梆安全科技有限公司 高洁颖 陈凤萍)
声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。