自中央網信辦、工業和信息化部、公安部、市場監管總局于2019年1月25日發布《關于開展App違法違規收集使用個人信息專項治理的公告》，以及監管部門在全國范圍組織開展App違法違規收集使用個人信息專項治理以來，截至2024年3月，工信部已累計通報了涉及各類App（SDK）的36批侵害用戶權益行為，各地通信管理局、網信辦、公安、人民銀行各地分行等監管部門也各自有相關通報發布，對侵害用戶權益的App進行通報和下架處理。這些行動彰顯了監管部門對個人信息保護工作的高度重視。

去年下半年，上海網信辦公布了常見的違法違規收集使用個人信息的場景，其中主要包括強制消費者同意不相關的第三方產品隱私政策、強制收集消費者非必要個人信息、頻繁收集消費者非必要個人信息、未經消費者同意收集使用個人信息等方面。

為幫助App開發者更好理解個人信息保護合規要求，我們將陸續推出個人信息保護合規系列文章，本文為該系列第一篇，筆者將對某App被通報問題及其解決方案進行說明，旨在幫助開發者在開發階段避免出現同類問題。

違反必要原則，收集與其提供的服務無關的個人信息（強制收集消費者非必要個人信息）

常見場景：拍照時強制申請存儲權限

部分App集成的拍照相關功能會默認申請存儲權限用于緩存照片，但實際使用時照片緩存不必要在外置SD卡進行，若在拍照時申請了外置存儲相關權限，則存在被通報的可能性，如：

拍照時強制申請存儲權限

解決方法：

在使用拍照功能時注意不要申請存儲權限；

進行功能設計時不要在外置存儲/公共存儲區域中緩存圖像等信息，如有需求，可在私有目錄進行緩存；

若涉及拍照功能由SDK實現，如存在問題則需督促SDK廠商修改或關注是否可以通過配置實現不申請存儲權限的效果；

常見的涉及相機權限的功能有：人臉識別、OCR識別、掃一掃、更換頭像、上傳圖片資料等。

CFCA個人信息保護合規檢測服務

中國金融認證中心（CFCA）是由中國人民銀行于1998年牽頭組建，經國家信息安全管理機構批準成立的權威電子認證機構，歷經20余年積淀，發展成為以網絡安全綜合服務為核心的科技企業。

針對企業個人信息保護合規痛點，CFCA推出個人信息保護合規檢測，幫助企業進行合規改造、減少通報情況、維護企業形象。CFCA依托自身對個人信息保護合規標準的理解和把控，和對數百家客戶App檢測情況的了解，綜合提煉標準要求，分析標準要求的具體落地場景，為企業客戶提供全方位的合規檢測服務。

檢測內容覆蓋個人信息收集、傳輸、存儲、使用、銷毀全生命周期，配合CFCA自主研發的個人信息檢測輔助系統，以專家檢測+自動化工具檢測的形式多維度開展檢測工作，助力企業客戶合規展業。

部分依據標準：

? 《App違法違規收集使用個人信息行為認定方法》【國信辦秘字〔2019〕191號】

? 《工業和信息化部關于開展縱深推進APP侵害用戶權益專項整治行動的通知》【工信部信管函〔2020〕164號】

? 《信息安全技術個人信息安全規范》【GB/T 35273-2020】

? 《個人金融信息保護技術規范》【JR/T 0171-2020】

? 《常見類型移動互聯網應用程序必要個人信息范圍規定》【國信辦秘字〔2021〕14號】

項目收益

CFCA檢測服務優勢

目前，CFCA具有超過1000款金融App的檢測經驗，檢測服務受眾涵蓋包括國有大行、全國性股份行等在內的各類銀行客戶。CFCA檢測團隊曾獲得多項國家、省部級安全競賽獎項，2022年在國家認監委組織的移動應用程序個人信息安全檢測競賽中奪得第一名。

CFCA在網絡安全、數據安全、個人信息保護等領域有著豐富的經驗和深厚的積累，今后也將持續提供相關檢測服務。

責任編輯：陳愛