有加班处理个保法整改的老哥吗?你们方案是怎样的?

2021-09-26 18:55:01 +08:00
 sadfQED2

法务要求我们提供一个关闭选项,用户关闭后不能收集任何个人信息。

看似简单的需求,可是业务里面各种埋点,各种日志,还有各种依赖用户画像的功能,要改完简直相当于项目重构。

因此,我产生了一个大胆的想法

<button @click="alert(关闭成功)">禁用信息收集</button>

我猜一定有人这么干吧🐶🐶用户又不可能上服务器检查,也不可能 review 我代码

6101 次点击
所在节点    程序员
63 条回复
wamson
2021-09-27 09:59:48 +08:00
我们这边直接把个人信息收集几乎都干掉了,连数据库里面存的手机号字段都删掉了
zanxj
2021-09-27 10:05:00 +08:00
@wamson #41 👍👍👍
sadfQED2
2021-09-27 10:06:08 +08:00
@wamson 难道业务上不用吗?我们敏感信息存储整改方案是 aes 加密一遍
lakehylia
2021-09-27 10:23:08 +08:00
我比甲方聪明系列。整改要从上到下,要一个级别高的负责人专门协调这件事情,不是你一个没啥话语权的小兵能干的。负责人分发下来,各人领各人的整改任务。
MaxLi77
2021-09-27 10:26:52 +08:00
掏点钱找个合规检测公司看看吧,成本会比这样抓瞎要低。
cyrbuzz
2021-09-27 10:48:15 +08:00
能不能定义一个虚拟用户,开了之后就替换为虚拟用户信息,造一个虚拟用户的数据还是比较容易的吧。
abcbuzhiming
2021-09-27 10:54:00 +08:00
@wamson 手机号没了,那岂不是连手机号登录都没有了?
arthas2234
2021-09-27 11:28:36 +08:00
之前一个个都抱怨隐私被泄露,要立法了,就变成我真有一头牛了
cairnechen
2021-09-27 11:39:51 +08:00
工信部宣讲的时候说他们有不公开的检测方法可以检测 App 是否「真的」没有手机用户信息,而且以前是对只对安卓 App 有检测能力,上次宣讲的时候说 iOS App 也可以了,并且他们强调试图绕过检测或者糊弄了事的 App 会被视为对抗行为,将对应用不通知直接下架,也就是原来的「通知-整改-整改不通过下架」流程直接一步到位,并且最少 90 个工作日,建议评估一下你们面对这种级别的威慑敢不敢以身试法吧
libook
2021-09-27 12:14:51 +08:00
工信部自己信通院有能力做检测,公安部是有自己的研究所,其他各部委检查大多是找三方司法鉴定所或安全公司,基本都是有技术能力做深层检查的。

除了 UI 以外,还会做逆向扫描和抓包分析,这些都已经做成了比较成熟的自动化产品,我们的 App 里用了一些第三方的 SDK 做一些我们自己都不知道的勾当都被检查出来了,而且第三方 SDK 在我们 App 内造成的问题得我们来负责,企业受到行政处罚是会留记录的。

公安查到有问题直接给行政处罚,其他部委会要求限期整改,整改不通过或逾期就给行政处罚。目前我们公司是凡是整改要求全都最高优先级,业务都得让道,该重构就加班重构,有时候时间实在不够还得让公关人员去找监管部门商量延期。
jessun1990
2021-09-27 12:55:37 +08:00
这么做太狗了,还是老老实实重构项目的好。跟领导说清楚:想要服务不被工信部茶水表就老老实实投入尽力来做。
wobuhuicode
2021-09-27 13:28:19 +08:00
公安会来现场看你 review 代码的。
别问我为啥知道,我就在几个公安局的计算机博士面前给他们讲解我们的抽奖逻辑
janus77
2021-09-27 13:57:26 +08:00
你们埋点没有开关的吗。。。。
itgoyo
2021-09-27 13:57:47 +08:00
@sadfQED2 我说我手机 App 隐私合规相关的吧,网安那边,我 App 这边什么时候往外发,一共发了多少次,他都有报表出来,如果是 SDK 的,它在第几行代码有问题也能抓的到,代码已加固过,他们原理估计是用抓包来弄的,花钱让第三方机构配合来搞,花几万块,如果被通报就是几十万块的事情了,反正我司就是这么干的。不停地改,然后第三方机构不停地扫描,等没有问题了,网安那边会出个报告。这种你以为别人第三方审核的机构是干嘛的?人家就是干这个挣钱的,一个 App 两三万,隔壁公司搞教育的,一共 11 个 App,花了二三十万。
thtznet
2021-09-27 14:07:15 +08:00
全中国最聪明的一批顶尖人才都是在体制内的,在厂里干活的一定要认清自己的智商定位,不要在关公面前耍大刀,现在的公务员已经不是 20 年前你印象中的老头子了。
sonyxperia
2021-09-27 16:16:03 +08:00
有时候我也好奇我在 app 关闭了隐私收集,是真的不记录我的个人信息了吗
sadfQED2
2021-09-27 16:26:14 +08:00
@thtznet 呵呵
melvin
2021-09-27 16:53:09 +08:00
工信部也是有开发人员的
cocolate
2021-09-27 17:21:16 +08:00
安卓端 root 一下装几个小软件,你 app 在后台和谁干了什么看得一清二楚
且不说举报,app 审核肯定也有手段检测出来
客户端 app 不是黑盒
Dawnnnnnn
2021-09-27 18:00:30 +08:00
只说 APP 合规检测的部分。收集信息之前弹一个隐私协议的框,用户点同意之后再开始收集信息就能规避法律风险。工信部找的检测机构虽然一般,但你这种 alert 也太低级了。。。之前为了让公司 APP 整改的时候知道整改啥,特地写了个工具 hook 函数,哪个文件哪个函数哪一句调用了收集信息的函数,几秒钟就 hook 到了。。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/804438

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX