2022 年,法国人平均每天使用手机的时间为 3.9 小时,这一数字还在不断增长。数字技术的发展和移动应用程序使用量的增加促使法国国家信息和通信委员会(CNIL)更加关注这一问题。Dans le cadre de son plan d'action sur les applications mobiles, la CNIL a publié le 24 septembre 2024ses lignes directrices sur les applications mobiles permettant de rappeler les rôles et responsabilités de chaque acteur.此外,它还宣布将于 2025 年印刷月起开始实施和控制。
移动应用程序允许处理大量网络环境中不存在(或很少存在)的个人数据:实时地理定位、访问用户地址卡、使用手机照片设备、通过谷歌/Facebook 进行身份验证等。这将使用户的数据使用环境更加合理。
公告发布者可以通过验证 CNIL 在其指令中指出的内容,对其移动应用程序进行审计:
尽管如此,移动应用程序的技术环境与网站还是有很大不同,以至于这些应用程序经常被比作 "黑盒子"。
Dans la plupart des entreprises, les équipes gérant le côté web et les équipes gérant les applications mobiles sont différentes, et n'ont que très peu d'adhérence dans leurs travaux.网络数据使用的合规性决定不可能与移动应用中的同类决定相一致。
由于法国和欧洲的不同机构制定了不同的网络规定,因此公告发布者已经习惯于制作一份先进的网络合规性文件。这样,在监管的情况下,就可以很容易地证明自己遵守了法律,并表明自己的良好意愿。这种详尽性在移动应用中十分罕见:很少有历史记录,没有私人生活政策,也很少有与符合性实施有关的管理!
从技术上讲,移动应用程序与网络应用程序完全不同:它实际上是与代码相连的,需要一个技术性更强的环境,并要求具备特殊的能力。
此外,在客户端配置的网页上,透明性是最重要的:我们可以在导航器上方便、即时地观察到所有请求。而在应用程序中,请求可能会以不同的方式处理,用户无法看到:这使得审核更加复杂。
A - 审计目标
为了解决跟踪器管理问题,我们设计了一种稳健的审计方法,用于识别应用程序、SDK(软件开发工具包)和最终结果中存在的跟踪器。这样就能确保跟踪器的合规性,或识别为确保合规性而需要采取的纠正措施。审核移动应用程序的合规性是 CNIL 在其指令中提出的一项良好做法。
移动应用程序审计的全部复杂性和难题在于是否有一种工具可以分析来自不同 SDK 的所有请求;在市场上,有多种工具可以显示不同的请求。
B - 落实审计方法
我们的方法主要依赖于将 SDK 与行业和应用软件进行映射,以便识别所使用的 SDK,尤其是我们需要分析请求的 SDK。我们还可以借此机会了解这些不同 SDK 的最终用途,包括营销用途。
因此,我们使用两个辅助工具来完成审计:一个是传统的应用程序 Browserstack,另一个是 NYOB("与你无关",保护隐私组织)在审计中使用的工具 PiRogue。这些工具可以满足不同的需求。
我们通过测试不同的同意情况(同意前、拒绝后和同意后)对请求进行分析,并检测可能存在的个人信息,如姓名、头衔或电子邮件。
审计结果可帮助我们发现应用程序的合规性问题以及解决这些问题的办法。
C - 长期保持一致性
虽然现在很少有工具能对移动应用程序进行详尽的审核,但仍有一些应用程序出现在市场上。在五十五家公司中,我们测试了几款产品,并将其分为两类:
发现最新资讯、深度文章、网络研讨会视频,以及55数据的各项活动。