V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
sadfQED2
V2EX  ›  程序员

有加班处理个保法整改的老哥吗?你们方案是怎样的?

  •  
  •   sadfQED2 · 68 天前 via Android · 5009 次点击
    这是一个创建于 68 天前的主题,其中的信息可能已经有所发展或是发生改变。

    法务要求我们提供一个关闭选项,用户关闭后不能收集任何个人信息。

    看似简单的需求,可是业务里面各种埋点,各种日志,还有各种依赖用户画像的功能,要改完简直相当于项目重构。

    因此,我产生了一个大胆的想法

    <button @click="alert(关闭成功)">禁用信息收集</button>
    

    我猜一定有人这么干吧🐶🐶用户又不可能上服务器检查,也不可能 review 我代码

    63 条回复    2021-09-28 09:13:03 +08:00
    zengxs
        1
    zengxs  
       68 天前   ❤️ 4
    改不了把问题抛给领导,你这么干到时候出了问题是你背锅
    azkaban
        2
    azkaban  
       68 天前
    11 月 1 号落地啊,我们讨论了一下一期目标,还没进入开发呢
    flyingghost
        3
    flyingghost  
       68 天前   ❤️ 7
    你这是最初级的掩耳盗铃。被发现后会被打出屎来,而且锅都甩不掉。
    高级掩耳盗铃:业务层继续收集,底层发送时阻断。
    sadfQED2
        4
    sadfQED2  
    OP
       68 天前 via Android
    @flyingghost 不会这么低级,网络请求肯定还是会发一个的😂
    chih758
        5
    chih758  
       68 天前 via Android
    在欧洲这么搞能罚出血,国内不知道发现了怎么处罚?
    sadfQED2
        6
    sadfQED2  
    OP
       68 天前 via Android
    @azkaban 1 号落地,不得 1 号前上线呀。现在时间所剩不多了
    WhoMercy
        7
    WhoMercy  
       68 天前
    主要是外延应用的不必要信息不收集不传递,内部系统日志的敏感信息不打印
    godwinma
        8
    godwinma  
       68 天前
    被举报了,吃不了兜着走。
    yanyumihuang
        9
    yanyumihuang  
       68 天前
    当工信部检测是只看 UI 吗?
    sadfQED2
        10
    sadfQED2  
    OP
       68 天前 via Android
    @yanyumihuang 难不成还能 review 代码,进数据库看数据,上服务器看日志么
    gengchun
        11
    gengchun  
       68 天前
    这种不应该找专门的公司吗?这种实施起来,要有一个打分表吧?要做什么什么,一项一项按打分表改。不可能就是法务一句话吧?

    要真法务的需求只有一句话,那你们的方案只有一行代码也没有什么问题。
    yolee599
        12
    yolee599  
       68 天前 via Android   ❤️ 1
    @sadfQED2 找第三方检测机构进服务器看的,我们公司就是,有人来公司看了大概一个星期左右
    musi
        13
    musi  
       68 天前
    review 不了你后端代码还 review 不了你前端代码?
    xingyue
        14
    xingyue  
       68 天前 via Android
    @sadfQED2 你自己都说了有很多业务埋点,客户端抓个包不就能知道个大概了,而且谁能保证离职同事不举报呢(手动哈士奇.jpg
    sadfQED2
        15
    sadfQED2  
    OP
       68 天前 via Android
    @yolee599 我淦,还真有人上服务器看?
    clickhouse
        16
    clickhouse  
       68 天前
    工信部是真的会抓包的,我司就因为隐私政策同意之前,第三方 SDK 就开始上报被处理过。
    sadfQED2
        17
    sadfQED2  
    OP
       68 天前 via Android
    @musi 客户端代码,除非反编译。
    dwlovelife
        18
    dwlovelife  
       68 天前
    想的太简单了 如果都这样玩 工信部岂不是一点威信没有 你最起码 明面上不能被看出来 也就是前端页面数据埋点和前端请求这一层
    declandragon
        19
    declandragon  
       68 天前
    这样完全不行,所有云上的东西,各种数据,代码,工信部能直接看到的,云平台必须提供专用工具的。
    shiguiyou
        20
    shiguiyou  
       68 天前
    会抓包看数据的,我们的 app 被抓包看到了
    Lemeng
        21
    Lemeng  
       68 天前
    立法后,这个是有严重后果的,也是刀尖上跳舞的,当然现在很多公司都有这个
    a62527776a
        22
    a62527776a  
       68 天前
    工信部会请 IT 公司抓包看的
    liuidetmks
        24
    liuidetmks  
       68 天前 via iPhone
    别糊弄了,有专门的咨询公司做这方面指导,(收费不低),这么容易被你糊弄过去了,人家还咨询个什么。

    再说了,工信部会抓包,简单逆向分析一下(比如 md5 会建议你用 sha2
    防重新打包之类的。


    如果用户禁用的话,简单的话,把用户收集的值全部传一个固定虚假值。例如 idfa 传 0000 之类的,尽量让接口不报错就行了。
    后面统计追踪的话剔除掉就行了。


    如果你糊弄的话,万一 app 下线了,这些不是一个小开发能承担的,一公司人的饭碗要紧。
    Sunnic
        25
    Sunnic  
       68 天前 via Android
    你当工信部干活的都不是九八五吗?这点掩耳盗铃的东西太不上台面了
    yanyumihuang
        26
    yanyumihuang  
       68 天前
    @sadfQED2 不反编译的你的代码,也能抓包啊,你当国家队的信息安全公司都是摆设吗?就普通公司那点混淆水平,弄弄过谁
    icyalala
        27
    icyalala  
       68 天前
    审核的是找某些公司外包,主要是抓包看参数,
    如果参数里有诸如 mac 、idfa 、udid 之类的 key,即使你传的全是 0 也会被询问,那时再解释就会变得很麻烦。

    还有就是传递的 value 如果符合敏感信息格式,比如 IDFA 格式 FF1999CD-7177-4937-A474-74937A102630,mac 格式 08:00:20:0A:8C:6D 、手机号格式 18612345678 等等,都会被怀疑然后需要作解释。

    老实重构,该还债就得还债。
    Jooooooooo
        28
    Jooooooooo  
       68 天前
    法务风险你背吗?
    cubecube
        29
    cubecube  
       67 天前
    如果最后没人帮忙扛责任,非法收集隐私,没准会有刑责
    raycool
        30
    raycool  
       67 天前
    你就是一个打工的
    为什么这么替老板考虑?
    mac20221225
        31
    mac20221225  
       67 天前 via Android
    1 楼说得对
    murmur
        32
    murmur  
       67 天前
    你们有竞品么,如果你们有竞品,这种假隐私保护被抓出来不一打一个准
    philipjf
        33
    philipjf  
       67 天前
    或者可以参考某些大厂,不直接把开关放在客户端,而是放在帮助支持那边,点过去就是要求打客服电话,至于客服电话能不能打通就不是你们的事了
    justfindu
        34
    justfindu  
       67 天前
    不得收集用户个人信息 是指哪一部分?
    justfindu
        35
    justfindu  
       67 天前
    按这个来看, 也就是不能进行画像了
    dengshen
        36
    dengshen  
       67 天前 via iPhone
    强烈支持保护隐私。虽然我也是开发,但是我更多的身份是 app 用户
    zanxj
        37
    zanxj  
       67 天前
    这是前不久网安下发限期责令整改通知要求我们整改的部分内容,LZ 不是认为网安委托的第三方检测都是吃干饭的?😒
    ![]( https://cdn.jsdelivr.net/gh/x4fa0/[email protected]/img/privacy.png)
    sdushn
        38
    sdushn  
       67 天前
    工信部不是 ui 走查,有功能验收的
    hejw19970413
        39
    hejw19970413  
       67 天前
    第一点 : 不能这么干。
    salmon5
        40
    salmon5  
       67 天前
    是《个人信息保护法》吗?
    wamson
        41
    wamson  
       67 天前
    我们这边直接把个人信息收集几乎都干掉了,连数据库里面存的手机号字段都删掉了
    zanxj
        42
    zanxj  
       67 天前
    @wamson #41 👍👍👍
    sadfQED2
        43
    sadfQED2  
    OP
       67 天前 via Android
    @wamson 难道业务上不用吗?我们敏感信息存储整改方案是 aes 加密一遍
    lakehylia
        44
    lakehylia  
       67 天前
    我比甲方聪明系列。整改要从上到下,要一个级别高的负责人专门协调这件事情,不是你一个没啥话语权的小兵能干的。负责人分发下来,各人领各人的整改任务。
    MaxLi77
        45
    MaxLi77  
       67 天前
    掏点钱找个合规检测公司看看吧,成本会比这样抓瞎要低。
    cyrbuzz
        46
    cyrbuzz  
       67 天前
    能不能定义一个虚拟用户,开了之后就替换为虚拟用户信息,造一个虚拟用户的数据还是比较容易的吧。
    abcbuzhiming
        47
    abcbuzhiming  
       67 天前
    @wamson 手机号没了,那岂不是连手机号登录都没有了?
    arthas2234
        48
    arthas2234  
       67 天前   ❤️ 7
    之前一个个都抱怨隐私被泄露,要立法了,就变成我真有一头牛了
    cairnechen
        49
    cairnechen  
       67 天前
    工信部宣讲的时候说他们有不公开的检测方法可以检测 App 是否「真的」没有手机用户信息,而且以前是对只对安卓 App 有检测能力,上次宣讲的时候说 iOS App 也可以了,并且他们强调试图绕过检测或者糊弄了事的 App 会被视为对抗行为,将对应用不通知直接下架,也就是原来的「通知-整改-整改不通过下架」流程直接一步到位,并且最少 90 个工作日,建议评估一下你们面对这种级别的威慑敢不敢以身试法吧
    libook
        50
    libook  
       67 天前   ❤️ 1
    工信部自己信通院有能力做检测,公安部是有自己的研究所,其他各部委检查大多是找三方司法鉴定所或安全公司,基本都是有技术能力做深层检查的。

    除了 UI 以外,还会做逆向扫描和抓包分析,这些都已经做成了比较成熟的自动化产品,我们的 App 里用了一些第三方的 SDK 做一些我们自己都不知道的勾当都被检查出来了,而且第三方 SDK 在我们 App 内造成的问题得我们来负责,企业受到行政处罚是会留记录的。

    公安查到有问题直接给行政处罚,其他部委会要求限期整改,整改不通过或逾期就给行政处罚。目前我们公司是凡是整改要求全都最高优先级,业务都得让道,该重构就加班重构,有时候时间实在不够还得让公关人员去找监管部门商量延期。
    jessun1990
        51
    jessun1990  
       67 天前
    这么做太狗了,还是老老实实重构项目的好。跟领导说清楚:想要服务不被工信部茶水表就老老实实投入尽力来做。
    wobuhuicode
        52
    wobuhuicode  
       67 天前   ❤️ 1
    公安会来现场看你 review 代码的。
    别问我为啥知道,我就在几个公安局的计算机博士面前给他们讲解我们的抽奖逻辑
    janus77
        53
    janus77  
       67 天前
    你们埋点没有开关的吗。。。。
    itgoyo
        54
    itgoyo  
       67 天前   ❤️ 1
    @sadfQED2 我说我手机 App 隐私合规相关的吧,网安那边,我 App 这边什么时候往外发,一共发了多少次,他都有报表出来,如果是 SDK 的,它在第几行代码有问题也能抓的到,代码已加固过,他们原理估计是用抓包来弄的,花钱让第三方机构配合来搞,花几万块,如果被通报就是几十万块的事情了,反正我司就是这么干的。不停地改,然后第三方机构不停地扫描,等没有问题了,网安那边会出个报告。这种你以为别人第三方审核的机构是干嘛的?人家就是干这个挣钱的,一个 App 两三万,隔壁公司搞教育的,一共 11 个 App,花了二三十万。
    thtznet
        55
    thtznet  
       67 天前   ❤️ 1
    全中国最聪明的一批顶尖人才都是在体制内的,在厂里干活的一定要认清自己的智商定位,不要在关公面前耍大刀,现在的公务员已经不是 20 年前你印象中的老头子了。
    sonyxperia
        56
    sonyxperia  
       67 天前
    有时候我也好奇我在 app 关闭了隐私收集,是真的不记录我的个人信息了吗
    sadfQED2
        57
    sadfQED2  
    OP
       67 天前 via Android
    @thtznet 呵呵
    melvin
        58
    melvin  
       67 天前
    工信部也是有开发人员的
    cocolate
        59
    cocolate  
       67 天前
    安卓端 root 一下装几个小软件,你 app 在后台和谁干了什么看得一清二楚
    且不说举报,app 审核肯定也有手段检测出来
    客户端 app 不是黑盒
    Dawnnnnnn
        60
    Dawnnnnnn  
       67 天前
    只说 APP 合规检测的部分。收集信息之前弹一个隐私协议的框,用户点同意之后再开始收集信息就能规避法律风险。工信部找的检测机构虽然一般,但你这种 alert 也太低级了。。。之前为了让公司 APP 整改的时候知道整改啥,特地写了个工具 hook 函数,哪个文件哪个函数哪一句调用了收集信息的函数,几秒钟就 hook 到了。。
    37Y37
        61
    37Y37  
       67 天前
    最好不要想着糊弄过去,那些人跟你想的可能不一样,贼专业,弄虚作假一旦被发现多重的处罚都有可能,现在还是关键节点
    tankren
        62
    tankren  
       66 天前
    工信部里面肯定有高手 就跟 GFW 部门一样
    tankren
        63
    tankren  
       66 天前
    @wobuhuicode #52 哈哈哈 有画面感了
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2135 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 33ms · UTC 15:49 · PVG 23:49 · LAX 07:49 · JFK 10:49
    ♥ Do have faith in what you're doing.