V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
sadfQED2
V2EX  ›  程序员

有加班处理个保法整改的老哥吗?你们方案是怎样的?

  •  
  •   sadfQED2 · 2021-09-26 18:55:01 +08:00 via Android · 6106 次点击
    这是一个创建于 1162 天前的主题,其中的信息可能已经有所发展或是发生改变。

    法务要求我们提供一个关闭选项,用户关闭后不能收集任何个人信息。

    看似简单的需求,可是业务里面各种埋点,各种日志,还有各种依赖用户画像的功能,要改完简直相当于项目重构。

    因此,我产生了一个大胆的想法

    <button @click="alert(关闭成功)">禁用信息收集</button>
    

    我猜一定有人这么干吧🐶🐶用户又不可能上服务器检查,也不可能 review 我代码

    63 条回复    2021-09-28 09:13:03 +08:00
    zengxs
        1
    zengxs  
       2021-09-26 19:11:22 +08:00   ❤️ 4
    改不了把问题抛给领导,你这么干到时候出了问题是你背锅
    azkaban
        2
    azkaban  
       2021-09-26 19:14:40 +08:00
    11 月 1 号落地啊,我们讨论了一下一期目标,还没进入开发呢
    flyingghost
        3
    flyingghost  
       2021-09-26 19:14:41 +08:00   ❤️ 7
    你这是最初级的掩耳盗铃。被发现后会被打出屎来,而且锅都甩不掉。
    高级掩耳盗铃:业务层继续收集,底层发送时阻断。
    sadfQED2
        4
    sadfQED2  
    OP
       2021-09-26 19:17:27 +08:00 via Android
    @flyingghost 不会这么低级,网络请求肯定还是会发一个的😂
    chih758
        5
    chih758  
       2021-09-26 19:18:44 +08:00 via Android
    在欧洲这么搞能罚出血,国内不知道发现了怎么处罚?
    sadfQED2
        6
    sadfQED2  
    OP
       2021-09-26 19:18:54 +08:00 via Android
    @azkaban 1 号落地,不得 1 号前上线呀。现在时间所剩不多了
    WhoMercy
        7
    WhoMercy  
       2021-09-26 19:22:05 +08:00
    主要是外延应用的不必要信息不收集不传递,内部系统日志的敏感信息不打印
    godwinma
        8
    godwinma  
       2021-09-26 19:27:34 +08:00
    被举报了,吃不了兜着走。
    yanyumihuang
        9
    yanyumihuang  
       2021-09-26 19:41:45 +08:00
    当工信部检测是只看 UI 吗?
    sadfQED2
        10
    sadfQED2  
    OP
       2021-09-26 19:52:10 +08:00 via Android
    @yanyumihuang 难不成还能 review 代码,进数据库看数据,上服务器看日志么
    gengchun
        11
    gengchun  
       2021-09-26 20:00:11 +08:00
    这种不应该找专门的公司吗?这种实施起来,要有一个打分表吧?要做什么什么,一项一项按打分表改。不可能就是法务一句话吧?

    要真法务的需求只有一句话,那你们的方案只有一行代码也没有什么问题。
    yolee599
        12
    yolee599  
       2021-09-26 20:06:19 +08:00 via Android   ❤️ 1
    @sadfQED2 找第三方检测机构进服务器看的,我们公司就是,有人来公司看了大概一个星期左右
    musi
        13
    musi  
       2021-09-26 20:07:05 +08:00
    review 不了你后端代码还 review 不了你前端代码?
    xingyue
        14
    xingyue  
       2021-09-26 20:08:30 +08:00 via Android
    @sadfQED2 你自己都说了有很多业务埋点,客户端抓个包不就能知道个大概了,而且谁能保证离职同事不举报呢(手动哈士奇.jpg
    sadfQED2
        15
    sadfQED2  
    OP
       2021-09-26 20:09:40 +08:00 via Android
    @yolee599 我淦,还真有人上服务器看?
    clickhouse
        16
    clickhouse  
       2021-09-26 20:10:20 +08:00
    工信部是真的会抓包的,我司就因为隐私政策同意之前,第三方 SDK 就开始上报被处理过。
    sadfQED2
        17
    sadfQED2  
    OP
       2021-09-26 20:11:16 +08:00 via Android
    @musi 客户端代码,除非反编译。
    dwlovelife
        18
    dwlovelife  
       2021-09-26 20:13:18 +08:00
    想的太简单了 如果都这样玩 工信部岂不是一点威信没有 你最起码 明面上不能被看出来 也就是前端页面数据埋点和前端请求这一层
    declandragon
        19
    declandragon  
       2021-09-26 20:22:09 +08:00
    这样完全不行,所有云上的东西,各种数据,代码,工信部能直接看到的,云平台必须提供专用工具的。
    shiguiyou
        20
    shiguiyou  
       2021-09-26 20:26:44 +08:00
    会抓包看数据的,我们的 app 被抓包看到了
    Lemeng
        21
    Lemeng  
       2021-09-26 20:29:13 +08:00
    立法后,这个是有严重后果的,也是刀尖上跳舞的,当然现在很多公司都有这个
    a62527776a
        22
    a62527776a  
       2021-09-26 20:41:36 +08:00
    工信部会请 IT 公司抓包看的
    liuidetmks
        24
    liuidetmks  
       2021-09-26 21:05:40 +08:00 via iPhone
    别糊弄了,有专门的咨询公司做这方面指导,(收费不低),这么容易被你糊弄过去了,人家还咨询个什么。

    再说了,工信部会抓包,简单逆向分析一下(比如 md5 会建议你用 sha2
    防重新打包之类的。


    如果用户禁用的话,简单的话,把用户收集的值全部传一个固定虚假值。例如 idfa 传 0000 之类的,尽量让接口不报错就行了。
    后面统计追踪的话剔除掉就行了。


    如果你糊弄的话,万一 app 下线了,这些不是一个小开发能承担的,一公司人的饭碗要紧。
    Sunnic
        25
    Sunnic  
       2021-09-26 21:17:50 +08:00 via Android
    你当工信部干活的都不是九八五吗?这点掩耳盗铃的东西太不上台面了
    yanyumihuang
        26
    yanyumihuang  
       2021-09-26 21:27:58 +08:00
    @sadfQED2 不反编译的你的代码,也能抓包啊,你当国家队的信息安全公司都是摆设吗?就普通公司那点混淆水平,弄弄过谁
    icyalala
        27
    icyalala  
       2021-09-26 22:38:56 +08:00
    审核的是找某些公司外包,主要是抓包看参数,
    如果参数里有诸如 mac 、idfa 、udid 之类的 key,即使你传的全是 0 也会被询问,那时再解释就会变得很麻烦。

    还有就是传递的 value 如果符合敏感信息格式,比如 IDFA 格式 FF1999CD-7177-4937-A474-74937A102630,mac 格式 08:00:20:0A:8C:6D 、手机号格式 18612345678 等等,都会被怀疑然后需要作解释。

    老实重构,该还债就得还债。
    Jooooooooo
        28
    Jooooooooo  
       2021-09-26 23:04:03 +08:00
    法务风险你背吗?
    cubecube
        29
    cubecube  
       2021-09-27 00:12:56 +08:00
    如果最后没人帮忙扛责任,非法收集隐私,没准会有刑责
    raycool
        30
    raycool  
       2021-09-27 00:38:02 +08:00
    你就是一个打工的
    为什么这么替老板考虑?
    mac20221225
        31
    mac20221225  
       2021-09-27 02:31:30 +08:00 via Android
    1 楼说得对
    murmur
        32
    murmur  
       2021-09-27 08:08:58 +08:00
    你们有竞品么,如果你们有竞品,这种假隐私保护被抓出来不一打一个准
    philipjf
        33
    philipjf  
       2021-09-27 08:31:08 +08:00
    或者可以参考某些大厂,不直接把开关放在客户端,而是放在帮助支持那边,点过去就是要求打客服电话,至于客服电话能不能打通就不是你们的事了
    justfindu
        34
    justfindu  
       2021-09-27 08:41:16 +08:00
    不得收集用户个人信息 是指哪一部分?
    justfindu
        35
    justfindu  
       2021-09-27 08:49:12 +08:00
    按这个来看, 也就是不能进行画像了
    dengshen
        36
    dengshen  
       2021-09-27 09:11:57 +08:00 via iPhone
    强烈支持保护隐私。虽然我也是开发,但是我更多的身份是 app 用户
    zanxj
        37
    zanxj  
       2021-09-27 09:35:29 +08:00
    这是前不久网安下发限期责令整改通知要求我们整改的部分内容,LZ 不是认为网安委托的第三方检测都是吃干饭的?😒
    ![]( https://cdn.jsdelivr.net/gh/x4fa0/test@dev/img/privacy.png)
    sdushn
        38
    sdushn  
       2021-09-27 09:38:16 +08:00
    工信部不是 ui 走查,有功能验收的
    hejw19970413
        39
    hejw19970413  
       2021-09-27 09:40:39 +08:00
    第一点 : 不能这么干。
    salmon5
        40
    salmon5  
       2021-09-27 09:45:36 +08:00
    是《个人信息保护法》吗?
    wamson
        41
    wamson  
       2021-09-27 09:59:48 +08:00
    我们这边直接把个人信息收集几乎都干掉了,连数据库里面存的手机号字段都删掉了
    zanxj
        42
    zanxj  
       2021-09-27 10:05:00 +08:00
    @wamson #41 👍👍👍
    sadfQED2
        43
    sadfQED2  
    OP
       2021-09-27 10:06:08 +08:00 via Android
    @wamson 难道业务上不用吗?我们敏感信息存储整改方案是 aes 加密一遍
    lakehylia
        44
    lakehylia  
       2021-09-27 10:23:08 +08:00
    我比甲方聪明系列。整改要从上到下,要一个级别高的负责人专门协调这件事情,不是你一个没啥话语权的小兵能干的。负责人分发下来,各人领各人的整改任务。
    MaxLi77
        45
    MaxLi77  
       2021-09-27 10:26:52 +08:00
    掏点钱找个合规检测公司看看吧,成本会比这样抓瞎要低。
    cyrbuzz
        46
    cyrbuzz  
       2021-09-27 10:48:15 +08:00
    能不能定义一个虚拟用户,开了之后就替换为虚拟用户信息,造一个虚拟用户的数据还是比较容易的吧。
    abcbuzhiming
        47
    abcbuzhiming  
       2021-09-27 10:54:00 +08:00
    @wamson 手机号没了,那岂不是连手机号登录都没有了?
    arthas2234
        48
    arthas2234  
       2021-09-27 11:28:36 +08:00   ❤️ 7
    之前一个个都抱怨隐私被泄露,要立法了,就变成我真有一头牛了
    cairnechen
        49
    cairnechen  
       2021-09-27 11:39:51 +08:00
    工信部宣讲的时候说他们有不公开的检测方法可以检测 App 是否「真的」没有手机用户信息,而且以前是对只对安卓 App 有检测能力,上次宣讲的时候说 iOS App 也可以了,并且他们强调试图绕过检测或者糊弄了事的 App 会被视为对抗行为,将对应用不通知直接下架,也就是原来的「通知-整改-整改不通过下架」流程直接一步到位,并且最少 90 个工作日,建议评估一下你们面对这种级别的威慑敢不敢以身试法吧
    libook
        50
    libook  
       2021-09-27 12:14:51 +08:00   ❤️ 1
    工信部自己信通院有能力做检测,公安部是有自己的研究所,其他各部委检查大多是找三方司法鉴定所或安全公司,基本都是有技术能力做深层检查的。

    除了 UI 以外,还会做逆向扫描和抓包分析,这些都已经做成了比较成熟的自动化产品,我们的 App 里用了一些第三方的 SDK 做一些我们自己都不知道的勾当都被检查出来了,而且第三方 SDK 在我们 App 内造成的问题得我们来负责,企业受到行政处罚是会留记录的。

    公安查到有问题直接给行政处罚,其他部委会要求限期整改,整改不通过或逾期就给行政处罚。目前我们公司是凡是整改要求全都最高优先级,业务都得让道,该重构就加班重构,有时候时间实在不够还得让公关人员去找监管部门商量延期。
    jessun1990
        51
    jessun1990  
       2021-09-27 12:55:37 +08:00
    这么做太狗了,还是老老实实重构项目的好。跟领导说清楚:想要服务不被工信部茶水表就老老实实投入尽力来做。
    wobuhuicode
        52
    wobuhuicode  
       2021-09-27 13:28:19 +08:00   ❤️ 1
    公安会来现场看你 review 代码的。
    别问我为啥知道,我就在几个公安局的计算机博士面前给他们讲解我们的抽奖逻辑
    janus77
        53
    janus77  
       2021-09-27 13:57:26 +08:00
    你们埋点没有开关的吗。。。。
    itgoyo
        54
    itgoyo  
       2021-09-27 13:57:47 +08:00   ❤️ 1
    @sadfQED2 我说我手机 App 隐私合规相关的吧,网安那边,我 App 这边什么时候往外发,一共发了多少次,他都有报表出来,如果是 SDK 的,它在第几行代码有问题也能抓的到,代码已加固过,他们原理估计是用抓包来弄的,花钱让第三方机构配合来搞,花几万块,如果被通报就是几十万块的事情了,反正我司就是这么干的。不停地改,然后第三方机构不停地扫描,等没有问题了,网安那边会出个报告。这种你以为别人第三方审核的机构是干嘛的?人家就是干这个挣钱的,一个 App 两三万,隔壁公司搞教育的,一共 11 个 App,花了二三十万。
    thtznet
        55
    thtznet  
       2021-09-27 14:07:15 +08:00   ❤️ 1
    全中国最聪明的一批顶尖人才都是在体制内的,在厂里干活的一定要认清自己的智商定位,不要在关公面前耍大刀,现在的公务员已经不是 20 年前你印象中的老头子了。
    sonyxperia
        56
    sonyxperia  
       2021-09-27 16:16:03 +08:00
    有时候我也好奇我在 app 关闭了隐私收集,是真的不记录我的个人信息了吗
    sadfQED2
        57
    sadfQED2  
    OP
       2021-09-27 16:26:14 +08:00 via Android
    @thtznet 呵呵
    melvin
        58
    melvin  
       2021-09-27 16:53:09 +08:00
    工信部也是有开发人员的
    cocolate
        59
    cocolate  
       2021-09-27 17:21:16 +08:00
    安卓端 root 一下装几个小软件,你 app 在后台和谁干了什么看得一清二楚
    且不说举报,app 审核肯定也有手段检测出来
    客户端 app 不是黑盒
    Dawnnnnnn
        60
    Dawnnnnnn  
       2021-09-27 18:00:30 +08:00
    只说 APP 合规检测的部分。收集信息之前弹一个隐私协议的框,用户点同意之后再开始收集信息就能规避法律风险。工信部找的检测机构虽然一般,但你这种 alert 也太低级了。。。之前为了让公司 APP 整改的时候知道整改啥,特地写了个工具 hook 函数,哪个文件哪个函数哪一句调用了收集信息的函数,几秒钟就 hook 到了。。
    37Y37
        61
    37Y37  
       2021-09-27 22:34:22 +08:00
    最好不要想着糊弄过去,那些人跟你想的可能不一样,贼专业,弄虚作假一旦被发现多重的处罚都有可能,现在还是关键节点
    tankren
        62
    tankren  
       2021-09-28 09:11:20 +08:00
    工信部里面肯定有高手 就跟 GFW 部门一样
    tankren
        63
    tankren  
       2021-09-28 09:13:03 +08:00
    @wobuhuicode #52 哈哈哈 有画面感了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2856 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 36ms · UTC 12:32 · PVG 20:32 · LAX 04:32 · JFK 07:32
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.