有加班处理个保法整改的老哥吗？你们方案是怎样的？

我们这边直接把个人信息收集几乎都干掉了，连数据库里面存的手机号字段都删掉了

@wamson #41 👍👍👍

@wamson 难道业务上不用吗？我们敏感信息存储整改方案是 aes 加密一遍

我比甲方聪明系列。整改要从上到下，要一个级别高的负责人专门协调这件事情，不是你一个没啥话语权的小兵能干的。负责人分发下来，各人领各人的整改任务。

掏点钱找个合规检测公司看看吧，成本会比这样抓瞎要低。

能不能定义一个虚拟用户，开了之后就替换为虚拟用户信息，造一个虚拟用户的数据还是比较容易的吧。

@wamson 手机号没了，那岂不是连手机号登录都没有了？

之前一个个都抱怨隐私被泄露，要立法了，就变成我真有一头牛了

工信部宣讲的时候说他们有不公开的检测方法可以检测 App 是否「真的」没有手机用户信息，而且以前是对只对安卓 App 有检测能力，上次宣讲的时候说 iOS App 也可以了，并且他们强调试图绕过检测或者糊弄了事的 App 会被视为对抗行为，将对应用不通知直接下架，也就是原来的「通知-整改-整改不通过下架」流程直接一步到位，并且最少 90 个工作日，建议评估一下你们面对这种级别的威慑敢不敢以身试法吧

工信部自己信通院有能力做检测，公安部是有自己的研究所，其他各部委检查大多是找三方司法鉴定所或安全公司，基本都是有技术能力做深层检查的。

除了 UI 以外，还会做逆向扫描和抓包分析，这些都已经做成了比较成熟的自动化产品，我们的 App 里用了一些第三方的 SDK 做一些我们自己都不知道的勾当都被检查出来了，而且第三方 SDK 在我们 App 内造成的问题得我们来负责，企业受到行政处罚是会留记录的。

公安查到有问题直接给行政处罚，其他部委会要求限期整改，整改不通过或逾期就给行政处罚。目前我们公司是凡是整改要求全都最高优先级，业务都得让道，该重构就加班重构，有时候时间实在不够还得让公关人员去找监管部门商量延期。

这么做太狗了，还是老老实实重构项目的好。跟领导说清楚：想要服务不被工信部茶水表就老老实实投入尽力来做。

公安会来现场看你 review 代码的。
别问我为啥知道，我就在几个公安局的计算机博士面前给他们讲解我们的抽奖逻辑

你们埋点没有开关的吗。。。。

@sadfQED2 我说我手机 App 隐私合规相关的吧，网安那边，我 App 这边什么时候往外发，一共发了多少次，他都有报表出来，如果是 SDK 的，它在第几行代码有问题也能抓的到，代码已加固过，他们原理估计是用抓包来弄的，花钱让第三方机构配合来搞，花几万块，如果被通报就是几十万块的事情了，反正我司就是这么干的。不停地改，然后第三方机构不停地扫描，等没有问题了，网安那边会出个报告。这种你以为别人第三方审核的机构是干嘛的？人家就是干这个挣钱的，一个 App 两三万，隔壁公司搞教育的，一共 11 个 App，花了二三十万。

全中国最聪明的一批顶尖人才都是在体制内的，在厂里干活的一定要认清自己的智商定位，不要在关公面前耍大刀，现在的公务员已经不是 20 年前你印象中的老头子了。

有时候我也好奇我在 app 关闭了隐私收集，是真的不记录我的个人信息了吗

@thtznet 呵呵

工信部也是有开发人员的

安卓端 root 一下装几个小软件，你 app 在后台和谁干了什么看得一清二楚
且不说举报，app 审核肯定也有手段检测出来
客户端 app 不是黑盒

只说 APP 合规检测的部分。收集信息之前弹一个隐私协议的框，用户点同意之后再开始收集信息就能规避法律风险。工信部找的检测机构虽然一般，但你这种 alert 也太低级了。。。之前为了让公司 APP 整改的时候知道整改啥，特地写了个工具 hook 函数，哪个文件哪个函数哪一句调用了收集信息的函数，几秒钟就 hook 到了。。