​APP合规实践3000问之四

移动安全 1年前 (2022) admin
473 0 0

​APP合规实践3000问之四


随着监管标准的发展,各应用市场也逐步加强对APP隐私合规方面的审核,本期我们将基于主流应用市场讲讲APP上架可能踩到的一些坑,不同类型的APP提交应用商店所需材料有所不同,我们主要以社交产品为例,大家有需要的可以提前准备,以免重复审核浪费时间。

一、华为应用商店

上架资质材料:

?https://developer.huawei.com/consumer/cn/doc/80301 

1、加盖公章的安全评估报告,《安全评估报告》在全国互联网安全服务管理平台有模板,填完相关信息下载盖章即可。

2、提供在全国互联网安全服务管理平台进行备案的通过结果截图。

3、ICP备案或者《增值电信业务经营许可证》。

4、《计算机软件著作权证书》或《APP电子版权证书》。

首先,需要大家了解,各大安卓应用商店针对隐私合规要求均发布了APP常见个人信息保护问题指引,指引基于个保法、网安法、工信部337号文、164号文等法律法规标准,明确规定了违规获取、收集、使用个人信息、超范围收集个人信息、定向推送、权限索取、自启动&关联启动、下载分发、开发者身份等方面的要求。

华为应用商店隐私合规指引:

?https://developer.huawei.com/consumer/cn/doc/FAQ-faq 

​APP合规实践3000问之四

基于华为合规指引要求,结合实践中的具体案例,小编摘要了部分典型拒审点以供大家参考:

1、隐私政策未以明示同意的方式征得用户同意。这个问题可以自查注册登录界面是否默认同意《用户协议》和《隐私政策》,建议提供勾选框等方式让用户主动勾选。

2、在用户不同意获取存储敏感权限时应用强制退出、无法登录/注册、无法进入。这里一般指注册流程中有申请存储权限的功能,比如上传头像,当用户拒绝授权不上传头像,无法正常注册进入APP内,可以提供跳过头像或提供默认头像等方式完成注册。

3、部分APP可能会提供访客态给用户试用,这里需注意访客态要避免收集MAC地址、Android ID等个人设备信息。

4、涉及到聊天模块务必提供举报功能。

5、隐私政策中有“感兴趣”等关键字,例如推荐可能感兴趣的信息,会被判定为APP功能涉及个性化推荐,若实际功能不涉及可全文审核一下隐私政策进行删除,若实际功能包括个性化推荐,务必在隐私政策中声明个性化推荐内容和影响,且在APP内还需提供个性化推荐退出机制。 

二、小米应用商店

上架资质材料:

?https://dev.mi.com/distribute/doc/details?pId=1080#_2 

1、加盖公章的安全评估报告。

2、《安全评估报告》在全国互联网安全服务管理平台的提交结果截图。需注意,小米商店要求截图不能打码提供,有时加水印可能也会拒审。

3、ICP证或ICP备案截图。

4、《计算机软件著作权证书》或《APP电子版权认证证书》。

5、《免责承诺函》,承诺函在小米开放平台上有模板,下载后按要求填写,加盖公章后上传即可。

小米应用商店隐私合规指引:

?https://dev.mi.com/distribute/doc/details?pId=1281 

​APP合规实践3000问之四

小米应用商店的隐私合规指引与前文类似,大家可自行查看这里不再逐一说明。另外,需要注意的是,涉及到深度伪造类换脸的应用在小米渠道可能不会被收录,具体可参考小米应用商店暂不收录类应用名单。

三、VIVO应用商店

上架资质材料:

?https://dev.vivo.com.cn/documentCenter/doc/90 

1、加盖公章的安全评估报告。

2、《安全评估报告》在全国互联网安全服务管理平台的提交结果截图。

3、ICP备案。

4、《计算机软件著作权证书》。

5、《免责承诺函》,VIVO也有自己的承诺函模板,同样需要下载后按要求填写,加盖公章后上传。

VIVO应用商店隐私合规指引:

?https://dev.vivo.com.cn/documentCenter/doc/534 

​APP合规实践3000问之四

同样,基于隐私合规指引要求,摘要了实践中的渠道审核案例,以供大家参考:

1、APP在征求用户同意环节,未提供明确的同意和拒绝选项。如果隐私政策弹窗已经设置了明确的同意和拒绝按钮,可以自查下弹窗中的“同意、不同意&拒绝”按钮颜色是否差异较大,或不同意&拒绝按钮颜色较浅,存在引导用户点击同意的嫌疑。

2、APP在同意隐私政策前收集应用进程。这里一般是指在同意隐私政策前调用getRunningAppProcesses方法,如果是必要收集信息,可以调整到用户点击同意隐私政策后再场景化进行收集。

四、OPPO应用商店

上架资质材料:

?https://open.oppomobile.com/new/developmentDoc/info?id=10022

1、加盖公章的安全评估报告。

2、《安全评估报告》在全国互联网安全服务管理平台的提交结果截图。

3、ICP备案。

4、《计算机软件著作权证书》或《APP电子版权认证证书》。

5、OPPO的资质材料中有一个特殊要求,含付费视频聊天需提供《网络文化经营许可证》且带有“表演”或“网络表演”字样。

OPPO应用商店隐私合规指引:

?https://open.oppomobile.com/new/developmentDoc/info?id=11106

​APP合规实践3000问之四

OPPO的合规指引也与其他渠道类似,但OPPO会尤其关注高频调用的问题:

1、APP在运行时,非服务所必需且无合理应用场景,超出实现产品或服务的业务功能所必需的最低频率。这个问题主要关注收集频率,即用户信息的获取频率不能过高,在OPPO的拒审理由中30s读取一次算是高频。

五、应用宝

上架资质材料:

?https://wikinew.open.qq.com/index.html#/iwiki/870033963 

1、加盖公章的安全评估报告。

2、《安全评估报告》在全国互联网安全服务管理平台的提交结果截图。

3、《营业执照》,上传注意在扫描件手写“用于注册腾讯移动开放平台开发者账号”文字并填写日期。

4、ICP许可证或ICP备案。

5、《计算机软件著作权证书》或《APP电子版权认证证书》。

6、《互联网信息服务安全承诺书》,承诺函在腾讯开放平台上有模板,下载后按要求填写,加盖公章后上传即可。

应用宝隐私合规指引:

?https://wikinew.open.qq.com/index.html#/iwiki/4007024269 

​APP合规实践3000问之四

应用宝我们也整理了实践中可能会遇到的拒审案例,供大家参考:

1、声明主体必须和“应用运营方”或“应用研发方”保持一致,这个问题是指要注意隐私政策中主体名称要和开发者名称保持一致。

2、应用宝也会测运行中进程,若APP调用了getRunningAppProcesses方法,务必在隐私政策中进行声明,并且所有调用行为应在用户同意隐私政策后。

3、应用宝对高频问题的检测也非常严格,要尽量保障全局只收集1次(最多不超过3次),收集频次不超过1次/秒。这里需要控制采集次数,可以将采集信息存储在缓存中,避免每次需要时都调用API导致高频问题。

六、App Store

App Store没有需要特殊上传的资质材料,对于可能拒审的问题大致介绍如下:

?https://developer.apple.com/cn/app-store/review/guidelines/ 

1、需要建立投诉举报机制(针对用户和内容都需要),除了举报投诉功能,还建议添加黑名单功能。

2、人像识别的TrueDepth API,非必要不引入,否则需要在隐私政策中明示收集规则。

3、必须提供注销功能。

4、如有第三方登录,如微信登录,必须同时接入Apple登录。

总体来说,各个应用商店的资质要求和合规标准是大致相似的,但在实践中也各有自己的风格。当然也会出现拒审误报的情况,所以遇到拒审问题一定要积极和应用商店沟通。如果大家还有其他的审核问题,也欢迎随时交流~



​APP合规实践3000问之四
THANKFOWATCHING




About us

​APP合规实践3000问之四
陌陌安全
致力于以务实的工作保障陌陌旗下所有产品及亿万用户的信息安全
以开放的心态拥抱信息安全机构、团队与个人之间的共赢协作
以自由的氛围和丰富的资源支撑优秀同学的个人发展与职业成长

/   往 期 分 享   /

​APP合规实践3000问之四

App合规实践3000问

​APP合规实践3000问之四

App合规实践3000问之二

​APP合规实践3000问之四

App合规实践3000问之三
​APP合规实践3000问之四
「陌陌安全」
扫上方二维码码关注我们,惊喜不断哦

M   O   M   O   S   E   C   U   R   I   T   Y

    

原文始发于微信公众号(陌陌安全):​APP合规实践3000问之四

版权声明:admin 发表于 2022年11月15日 下午3:00。
转载请注明:​APP合规实践3000问之四 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...