这些App侵害用户权益被通报，也许你也在用！

新技术不断催生着新产品、新模式、新业态的出现，伴随着各行各业的数字化转型加速，数据资产的价值和重要性不断提升。国家层面对数据安全更加重视，不断加大监管力度、完善相关法律法规。企业在数据安全治理实践过程中所表现出的，基于数据安全合规方面的需求也愈发强烈。

2月8日，工信部再次出手整治违规App，并公布了2023年首批侵害用户权益行为的46款App。通过工信部与第三方检测机构对群众关注的生活服务类App及SDK进行检查，发现墨迹天气极速版、掌上公交等46款移动互联网应用程序（App）及第三方软件开发工具包（SDK）存在侵害用户权益行为。

依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，对于这些侵害用户权益行为的App进行了通报，并要求相关App及SDK应在2月15日前完成整改落实工作。逾期不整改的，将依法依规组织开展相关处置工作。

这46款App包括我们常用的便利蜂、屈臣氏，也包括华为旗下的阅读App华为阅读。所涉问题包括“违规收集、使用个人信息”、“强制、频繁、过度索取权限”、“欺骗误导强迫用户”等。

App安全隐患无孔不入

在智能手机日益普及的今天，各类手机App逐渐成为生活必需品。出行坐公交、骑自行车、打车、购买机票、火车票需要出行App；查询出行线路需要导航App；购买任何产品都需要支付App……在手机应用程序市场飞速发展的同时，孰不知，危险却与便捷一同到来。

相信在使用手机的过程中，你我都遇到过这些问题，比如拍一张照片要读取你的位置、联系人等隐私权限；比如App里弹出的引导下载、关注的图片、视频，关闭按钮隐蔽到看不出来；再比如打开App时的开屏广告，短则三五秒，长则十几秒，一不小心就会触碰到下载按键……

有关App索取权限的用处，除了保证App的正常使用外，最重要的就是为了对用户进行画像，锁定用户，以便精准投放广告，进而给平台方带来更多收益。但如果App隐私信息的加密不到位，极易造成用户隐私泄露，从而带来无法预料的严重后果。

根据IdentifyTheft Research Center中心的数据显示，2022年世界范围的数据泄露事件比2021年增长了14%，其中热门的医疗机构、金融服务公司、制造企业和公用事业企业成为黑客的首要攻击目标。

除黑客入侵外，内部或外部人员数据窃取也成为数据泄露的重要原因。2022年12月，Meta旗下通讯软件WhatsApp数据泄露，导致近5亿用户的信息数据在知名黑客论坛上出售。

自2020年12月至今共有980余起车企数据泄露事件发生，数据的来源渠道有车企、车管所、经销商以及第三方平台等，车主数据被挂在暗网出售，严重侵犯了车主隐私。

曾经“3·15”晚会上还曝光过智联招聘、猎聘网、前程无忧等多个招聘平台存在个人简历信息泄露的问题，用企业账号支付费用即可随意下载。

相关法律法规出台，保用户信息安全

虽然国家从2021年以来就在加大力度解决问题，加强个人信息保护，但冰冻三尺非一日之寒，整治市场乱象任重而道远。对此，近期国家又出台了相关法律法规。

去年12月底，工信部官网发布了《工业和信息化部关于进一步提升移动互联网应用服务能力的通知（征求意见稿）》，对于安装卸载行为、优化服务体验、加强个人信息安全保护以及响应用户诉求等方面作出了相关规定。

提出，APP应确保知情同意安装。提供明显的“取消”选项，不得通过“偷梁换柱”“强制捆绑”“静默下载”等方式欺骗误导用户下载安装。不得自动或强制下载APP，或以折叠显示、主动弹窗、频繁提示等方式强迫用户下载、打开APP影响用户正常浏览信息。不得要求用户不下载APP不能看全文，不得恶意阻挠用户卸载。开通会员、收费等附加条件应显著提示等。

近期，在工信部的指导下，中国信息通信研究院联合相关信息科技公司起草了《APP用户权益保护测评规范》，为整治APP广告“乱跳转”的问题提供了行业标准，提出多方面参考指标要求，治理规范“乱跳转”行为。包括要强化明示告知义务；细化参数设置参值，避免出现误触发而跳转的情况；明确未经用户主动选择同意，不得强迫下载、安装、打开App，不得使用欺骗误导用户的图片、文字和链接进行页面跳转或使用第三方App等。

数据安全合规解决方案

侵害用户权益的问题有了进一步的界定，接下来就要靠互联网企业的自律了，只有企业真正履行其对用户负责的义务，才能从根本上真正保障用户的权益。从数据安全体系的框架设计，到数据的使用场景，再到数据安全的合规性等方面，企业都要面面俱到。

本期，公司宝信息安全专家就针对“数据安全的合规性”给出了如下解决方案：

等级保护测评：等级保护测评即对信息和信息载体按照重要性等级分级别进行保护的一种测评工作。作用为：1、帮助企业的"网络系统"符合国家法律与行业规定；2、帮助企业提高"网络系统"从制度层面到技术层面的安全性；3、帮助企业符合第三方（数据接入方、融资机构、招标方）对企业的系统要求。公司宝专家会根据具体情况协助进行咨询服务、网络定级、网络备案、建设整改意见、等保测评。

ISO27001：ISO27001信息安全管理体系ISO27001信息安全管理体系，以严格的审查标准和权威的认证体系成为全球应用最广泛与典型的信息安全管理标准，主要是针对信息安全中的系统漏洞、黑客入侵、病毒感染等内容进行保护。ISO27001标准是国际上具有代表性的信息安全管理体系标准。

CCRC：CCRC是信息安全服务机构提供安全服务的一种资格，包括法律地位、资源状况、管理水平、技术能力等方面的要求。信息安全服务资质认证是依据国家法律法规、国家标准、行业标准和技术规范，按照认证基本规范及认证规则，对提供信息安全服务机构的信息安全服务资质进行评价。 通过对信息安全服务分类分级的资质认证，可以对信息安全服务提供商的基本资格、管理能力、技术能力和服务过程能力等方面进行权威、客观、公正的评价，证明其服务能力，满足社会对服务的选择需求。同时，认证过程也将有效促进服务提供方完善自身管理体系，提高服务质量和水平，引导行业健康规范发展。

DCMM：DCMM数据管理能力成熟度评估模型，GB/T36073-2018国家标准，是我国首个数据管理领域正式发布的国家标准。旨在帮助企业利用先进的数据管理理念和方法，建立和评价自身数据管理能力，持续完善数据管理组织、程序和制度，充分发挥数据在促进企业向信息化、数字化、智能化发展方面的价值。

ITSS：ITSS信息技术服务标准资质，是IT企业实施标准化和可信赖服务的基础标准，对于从事运维业务对于传统IT系统集成企业、传统IT软件企业、IT运维企业等都是非常有益的。申请ITSS能够在以下方面获得明显的收益：促进运维业务的变革、 提升运维业务收入、提高企业知名度、提高运维服务效率、降低运维服务成本、促进企业创新。

除此之外，在数据安全方面，公司宝还提供ISO27000、27701、CS等产品服务，来公司宝平台，公司宝首席企业服务官将为您量身订制企业信息安全解决方案。

本文转自公司宝公众号，了解更多企服项目资讯内容，大家可以关注公司宝(www.gongsibao.com)。