近日,北京市教育委员会、中共北京市委网络安全和信息化委员会办公室和北京市公安局三部门联合发布《关于规范教育类APP安全威胁整改工作的公告》,公告要求教育移动应用提供者要及时登录备案管理平台,查看安全威胁通报,并按期进行整改。以下是原文公告:

关于规范教育类APP安全威胁整改工作的公告

根据《教育部等八部门关于引导规范教育移动互联网应用有序健康发展的意见》(教技函〔2019〕55号)规定,教育移动应用提供者应当加强内容建设,规范数据管理,保障网络安全。教育部科信司会同公安部十一局对教育APP建立网络安全监测预警通报机制。为加强做好教育移动互联网应用程序(以下简称“教育类APP”)网络安全工作,市教委、市委网信办、市公安局决定进一步规范教育类APP安全威胁整改工作,现将有关事项公告如下:

一、安全威胁发布平台

网络安全通报定期在教育移动互联网应用程序备案管理平台(app.eduyun.cn)发布。

二、安全威胁类型

安全威胁类型主要包括但不限于:

(一)违法违规收集使用个人信息

1.未公开收集使用规则,未明示收集使用个人信息的目的、方式和范围;

2.未经用户同意收集使用个人信息;

3.违反必要原则,收集与其提供的服务无关的个人信息;

4.未按法律规定提供删除或更正个人信息功能;

5.未公布投诉、举报方式等信息

(二)安全漏洞

1.WebView远程代码执行;

2.WebView File域同源策略绕过风险检测;

3.WebView明文存储密码风险;

4.Janus签名机制;

5.未移除有风险的WebView系统隐藏接口;

6.FFmpeg文件读取;

7.WebView跨域访问;

8.使用企业证书发布应用风险检测等

三、及时查看,按期整改

各单位应定期(建议每周)登录备案管理平台,查看安全威胁通报,按期整改并在平台上进行“处置”(经复测显示“审核通过”后即为完成整改)。

若未按期完成整改,市教委将向社会通报;若通报后仍未按要求整改,将联合市网信、公安等部门进行约谈,依法依规对相关APP采取暂停更新、关闭下架等措施。

四、建立联系机制

为方便联系沟通,请各备案单位联系人加入北京教育APP备案交流工作QQ群(群1:700363479,群2:793569737,“公司+姓名”实名申请验证,请勿重复入群)。

联系人发生变动时,须及时在备案管理平台更新相关信息(邮箱、姓名、电话等)。若因信息未更新导致未能及时接到通报信息的,被通报单位承担相应责任。

*本文来源:北京市教育委员会