直播回顾(含PPT)|《绿标安全隐私评测常见问题FAQ汇总》

32

2023年1月11日,由软件绿色联盟主办的月度技术活动在线上成功举办。本次直播以“绿标安全标准评测FAQ”为主题,特邀了绿盟技术与标准组副组长闫诗文,围绕 《绿标安全隐私评测常见问题FAQ汇总》 议题进行了总结和分享。对于线上观众提出的疑惑,专家也一一进行细致解答。接下来让我们一起回顾本次直播活动的精彩内容。

一、《绿标安全隐私评测 常见问题FAQ汇总》

直播开始,绿盟技术与标准组副组长闫诗文首先回顾了2022年度Top1000应用绿标评测进展,讲到稳定性、性能、兼容性、功耗标准达标率整体表现较好,而安全隐私评测是制约应用打绿标的主要因素。随后,对绿标安全隐私评测中开发者常见的25个典型问题及解决方案进行了详细介绍。如不给权限无法注册登录(金融理财-股票基金类APP存在不给设备信息权限无法注册登录的行为)、过度申请权限(索要位置权限、存储权限、android.permission.CALL_PHONE权限的不合理场景)、违规收集个人信息(隐私政策中,APP本身或内嵌三方SDK不当获取IMSI、GPS定位信息等数据的问题案例)等。

二、精选互动

1. 不给权限无法注册登录类

问: 金融理财-股票基金类APP:用户同意隐私政策后,应用存在不给设备信息权限无法注册登录,这种情况是否可以?

答: 所有应用都应遵循“用户注册登录时,用户拒绝授予权限不应无法正常注册或登录”的规则。

可参考:

①绿标5.1安全标准相关要求

4.5.3 应用运行时安全要求

4.5.3.2 权限:4. 用户拒绝授予某个权限时,与此权限无关的其他业务功能必须保证能正常使用,包括应用可以正常注册或登录。

②T/TAF 078.4-2021 《APP 用户权益保护测评规范 - 权限索取行为》相关要求

5.1不给权限APP 退出或关闭

APP 运行时,向用户索取电话、通讯录、定位、短信、录音、相机、存储、日历等权限,用户拒绝授权后,APP 不应退出或关闭,不应拒绝注册或登录,或拒绝提供与申请权限无关的功能服务。

过度申请权限类

问: 某应用首次启动,点击隐私政策同意选项后,就弹窗索要位置权限和存储权限,这种情况是否属于过度申请权限?

答: 应用核心功能首次启动即申请权限,可以;非核心功能需要到业务相关场景动态弹框申请权限,不可以启动即申请权限。关于核心功能认定需要谨慎,要求功能对应模块辨识度高,如新闻类app仅是新闻推荐、天气显示等启动即索要定位权限,认定不合理。

可参考:

绿标5.1安全标准相关要求

4.5.3 应用运行时安全要求

4.5.3.2 权限:

应用权限需要满足以下要求:

2.应用,含引用的第三方 SDK,权限申请必须遵循最小化原则,只申请业务功能所必要的权限,禁止申请不必要的权限。

3.敏感权限需要在用户使用对应业务功能时动态申请。

3. 违规收集个人信息类

问: 应用隐私政策的三方SDK列表中,只罗列了涉及到的SDK的隐私声明链接,并没有详细写明获取的信息,这种情况可以允许吗?

答: APP应以个人信息处理规则弹窗等形式,清晰的向用户明示第三方SDK处理个人信息的目的、方式和范围。

可参考:

绿标5.1安全标准相关要求

4.5.3 应用运行时安全要求

4.5.3.1 应用的隐私保护要求

1.通知:

隐私声明中须说明:

• 业务功能及每个业务功能收集的数据类型和用途;

• 引用的第三方 SDK,SDK 的功能和收集的数据类型和用途。