个人敏感信息被服务器,APP个人敏感信息整改开发心得体会

前言：

前段时间，12315曝光了好多APP胡乱收集个人信息，盗卖个人信息等行为。工信部针对应用商店上大部分APP进行抽查，好多APP因此而遭到了下架处理。我也进行了一段时间的APP整改工作，以下是我个人在整改过程中的一些体会，仅供大家参考。

心得体会：

1、不要明文传输个人敏感信息(如Mac、IMEI、经度、纬度、城市、身份信息等);

2、隐私政策最好采用动态H5页面形式，利于时时更新；

3、隐私内容弹窗前，最好不要做任何跟个人敏感信息相关的操作(如获取IMEI权限，获取Mac地址，上传个人敏感信息等)，应该点击同意后；

4、HTTP接口请求要改成HTTPS的形式；

5、隐私政策内容描述跟APP申请的权限要一一对应描述清楚，不要超范围使用非业务权限和个人敏感信息；

6、HTTP接口请求的参数最好用特殊字段代替敏感信息字段(如p0代替IMEI)；

7、本地登录信息存储，不要用MD5和SHA-1加密，应选择AES或者DES加密；(https://www.cmd5.com/这个网址一贴密码就知道)

8、权限不要一股脑子全部申请，需要的时候才申请；

9、隐私弹窗不同意应该提供浏览模式进入APP；

10、APP内设置选项最好提供权限请求说明和直接开启关闭跳转能力；

11、国内的个人信息，如果用国外服务器存储，请标明清楚；