关于违规采集用户信息的自查报告及整改措施.docxVIP

关于违规采集用户信息的自查报告及整改措施

第一章事件回溯与事实还原

1.1触发场景

2024年3月18日09:42，公司数据合规组在例行灰盒扫描中发现“星链”App（版本4.7.2）在启动0.8秒内连续调用android.permission.READ_PHONE_STATE、android.permission.ACCESS_FINE_LOCATION与自定义权限file.READ_HABIT，三项权限均未在前台弹窗披露用途，且后台即刻将IMEI、MAC、GPS、应用列表加密后发送至域名。

1.2采集链路拆解

①入口：SplashActivity第127行调用XlInit.init()；

②采集：XlCollector类第54行使用反射绕过Android10以上不可获取IMEI限制，通过IPhoneSubInfo.aidl获取deviceId；

③传输：OkHttp3拦截器添加header“X-DEBUG:1”，明文JSON上传；

④存储：服务端落盘路径/data/dc/native/primary_log，未脱敏；

⑤共享：运营后台“用户360”模块可直接导出CSV，含手机号、精确地址。

1.3影响面量化

涉及用户1,378,294人，数据条数4.27亿，最长留存683天；其中18岁以下用户92,114人，违反《个人信息保护法》第三十一条“未成年人信息敏感处理”条款。

1.4内外部投诉

3月20日收到工信部信管函〔2024〕77号通报；3月21日收到广东消委会集体诉讼告知书；应用商店评分由4.6跌至2.3，日活下降41.7%。

第二章责任定位与组织复盘

2.1责任岗位

产品总监张某、架构师李某、客户端组长王某、数据运维陈某四人负主要责任；合规组因“未发现绕过代码”负审查责任。

2.2流程断点

需求评审记录缺失、权限申请未走“数据资产目录”审批、灰度发布绕开合规门禁、未执行“双周隐私扫描”SOP。

2.3文化根因

OKR权重70%为“拉新留存”，隐私指标仅占5%，导致“先上线后补票”成为惯例。

第三章合规差距对标

3.1法律清单

①《个人信息保护法》第十三条、第二十八条、第六十六条；

②《网络安全法》第四十二条；

③《App违法违规收集使用个人信息认定方法》国信办秘〔2019〕191号；

④《未成年人网络保护条例》第十四条；

⑤GB/T35273-2020《个人信息安全规范》第5.2、7.4、8.2条。

3.2逐条差距

最小必要原则：采集GPS用于“内容推荐”但无场景论证；

单独同意：调用通讯录权限未弹窗；

本地化存储：服务器部署在AWS东京区，未做数据出境安全评估；

数据分类分级：未对“未成年人”打标；

删除权响应：用户注销后15日仍可从冷备恢复。

第四章风险等级判定

4.1法律风险

顶格罚款5000万元或上年营业额5%；集体诉讼索赔1200万元；应用下架。

4.2商誉风险

品牌指数百度舆情负向声量83%，预计2024年Q2营收下降1.8亿元。

4.3技术风险

服务端接口未鉴权，可遍历user_id批量导出；加密算法使用ECB模式，可重放攻击。

第五章整改目标与指标

5.1零采集冗余

权限数量由23项降至6项，采集字段由87个降至9个。

5.2零明文传输

100%使用TLS1.3+AES-256-GCM，证书固定pinning。

5.3零数据出境

中国大陆用户数据100%存储在阿里云上海金融云可用区F。

5.4零延迟响应

用户注销、删除、投诉响应时效≤24小时，自动化率≥95%。

5.5零合规缺陷

工信部下一次抽检违规项为0，通过ISO/IEC27701:2019认证。

第六章技术整改实施手册

6.1权限最小化改造

步骤1：建立“权限-功能”映射表

|功能|必要权限|可选权限|拒绝后降级方案|

|内容推荐|网络|粗略位置|返回热门榜单|

步骤2：在AndroidManifest.xml删除冗余权限17项；

步骤3：使用GooglePlay权限声明表单，上传视频演示“拒绝定位仍可浏览”。

6.2采集代码摘除

①新建module:core-privacy；

②将XlCollector类迁移至独立进程，进程名:privacycore，用户可在设置页一键卸载；

③反射获取deviceId代码替换为SecurityLibrary.getAnonymousId()，返回