北京市教委等三部门联合整改教育类 App 安全威胁

关于规范教育类 App 安全威胁整改工作的公告

根据《教育部等八部门关于引导规范教育移动互联网应用有序健康发展的意见》（教技函〔2019〕55 号）规定，教育移动应用提供者应当加强内容建设，规范数据管理，保障网络安全。教育部科信司会同公安部十一局对教育 App 建立网络安全监测预警通报机制。为加强做好教育移动互联网应用程序（以下简称“教育类 App”）网络安全工作，市教委、市委网信办、市公安局决定进一步规范教育类 App 安全威胁整改工作，现将有关事项公告如下：

一、安全威胁发布平台

网络安全通报定期在教育移动互联网应用程序备案管理平台（App.eduyun.cn）发布。

二、安全威胁类型

安全威胁类型主要包括但不限于：

（一）违法违规收集使用个人信息

1? 未公开收集使用规则，未明示收集使用个人信息的目的、方式和范围；

2? 未经用户同意收集使用个人信息；

3? 违反必要原则，收集与其提供的服务无关的个人信息；

4? 未按法律规定提供删除或更正个人信息功能；

5? 未公布投诉、举报方式等信息。

（二）安全漏洞

1? WebView 远程代码执行；

2? WebView File 域同源策略绕过风险检测；

3? WebView 明文存储密码风险；

4? Janus 签名机制；

广告

5? 未移除有风险的 WebView 系统隐藏接口；

6? FFmpeg 文件读取；

7? WebView 跨域访问；

8? 使用企业证书发布应用风险检测等。

三、及时查看，按期整改

各单位应定期（建议每周）登录备案管理平台，查看安全威胁通报，按期整改并在平台上进行“处置”（经复测显示“审核通过”后即为完成整改）。

若未按期完成整改，市教委将向社会通报；若通报后仍未按要求整改，将联合市网信、公安等部门进行约谈，依法依规对相关 App 采取暂停更新、关闭下架等措施。