问大佬们个问题, App 只要接了手机验证码就需要办理等保二级?

RmondJone 2026-07-04 08:00 1

今天抖音上面刷到一个哥们,被网安叫到派出所交了 5 万的罚款,就因为他上架的 App 没有做等保。他说他只收集了用户的手机号,只有十几个用户,就被要求做等保三级,这是什么规定?有了解的老哥出来说说?查了下还挺贵的,二级是每年 2 万,三级是每年 5 万。


这样搞国内市场看来真的得放弃了,还没有什么成果呢,上来就要交钱,不交钱就得吃罚款!

最新回复 (41)
  • wyman222 07-04 08:15
    1
    真的假的,那国内开发只要用手机号玩完,使用邮箱登录吧,虽然很多人没这习惯
  • YGHMXFAL 07-04 08:19
    2
    放弃国内市场是对的,枷锁多+付费意愿低
  • zhleonix 07-04 08:24
    3
    用 passkey ,手机都支持
  • RmondJone 楼主 07-04 08:34
    4
    @wyman222 看下应该是真的,查了下有这个规定,哎搞死人。你上上去就看网安什么时候想搞你了,搞你就要罚款。
  • RmondJone 楼主 07-04 08:40
    5
    @wyman222 是这样,邮箱也不行,也属于收集个人信息的范畴,只要涉及到收集用户信息都得办理等保好像。具体的政策我也不清楚,感觉国内市场真心水深火热,不适合个人开发者
  • hefish 07-04 08:56
    6
    没有这样的要求。 但是你的系统如果出了问题,经过评估引起的危害达到 《网络安全法》定义的入刑程度,那作为信息系统负责人,就需要对此负责。

    做等保更多是规避责任的一种做法。 系统有问题我也承认,但我等保都做了, 不是国军无能,是共军太狡猾。
  • wy315700 07-04 09:04
    7
    @hefish 做等保不能免责
  • superjojo 07-04 09:05
    8
    抖音做流量的可信度太低了,真真假假的。
  • JoeJoeJoe 07-04 09:06
    9
    这种不是没做等保,是 app 上线收集了用户信息然后被网安扫到并拿到了用户信息了

    没有证据不会被罚款的

    只有政府和事业单位之类的才强制三级等保好像
  • RmondJone 楼主 07-04 09:33
    10
    @JoeJoeJoe 那线上做手机验证码注册,肯定要把手机号存到数据库吧?难道都不存吗?
  • florentino 07-04 09:54
    11
    @RmondJone #10 存,但是这类个人信息,按照要求,需要做密码机加密,不是普通的加密,要单独的密码机进行加密的,信息加密这些,等保里面都是有专门要求的,所以才让你做等保
  • JoeJoeJoe 07-04 09:54
    12
    @RmondJone 存没事啊 但是别被网安获取到,网安都是工具扫的

    你刷到的这哥们肯定有信息没说全,他存用户信息,然后被网安的工具成功打进去了,然后拿到了用户信息,这样是不行的

    但是工具扫不进去,拿不到用户信息,这样是行的
  • JoeJoeJoe 07-04 09:55
    13
    @RmondJone 再一个就是明文传输用户信息这种,很早之前就已经开始整改了
  • bigdogbigpig 07-04 10:53
    14
    这也能罚钱?抖音链接放一下。这要是真罚,那简直是抢钱。
  • florentino 07-04 11:43
    15
    @bigdogbigpig 会的, 按照最新的个人信息保护法,被扫到了,最高可处 5000 万元以下或者上一年度营业额 5%以下罚款(取较高者),并可能责令停业整顿等
  • ntdll 07-04 12:00
    16
    @wyman222 #1 邮箱登录是不可行的,网络安全法有明确要求,必须后台实名,前台可选匿名。而实名制的最低要求就是验证手机号。
  • yidinghe 07-04 12:06
    17
    @RmondJone 那就只能接微信支付宝 QQ 百度这几个登录渠道了,实名交给它们去做,APP 这边只有一个用户 ID
  • nc 07-04 13:02
    18
    SMS 验证没做好速率限制和人机验证容易被用来短信轰炸
  • RmondJone 楼主 07-04 14:02
    19
    @JoeJoeJoe 意思就是手机号这类的入参必须做一层加密,然后后端对应的解密才行?
  • RmondJone 楼主 07-04 14:03
    20
    @bigdogbigpig 9.74 复制打开抖音,看看 [小陈序员的作品] 创业真的好难啊😩 为啥我的用户只有 18 个人,我就有... https://v.douyin.com/fo5g7pc7hj0/ GiP:/ [email protected] 06/03 :7pm
  • RmondJone 楼主 07-04 14:05
    21
    @ntdll 工具类的用邮箱也行吧?我又没有评论交互这些
  • RmondJone 楼主 07-04 14:06
    22
    @yidinghe 是的,目前看只能接微信登录和支付宝登录了,用短信验证码风险太大了,还要考虑盗刷
  • JoeJoeJoe 07-04 14:13
    23
    @RmondJone #19 所有用户隐私信息都不能明文传输, 加密也行, 不传也行.
  • ntdll 07-04 14:23
    24
    @RmondJone 你可以自行搜一下,而不是拍脑袋认为“也行吧”,最不济,AI 问一嘴呢

    >> 《网络安全法》第 26 条

    原文规定的“等服务”属于扩大化解释,很显然最终解释权不在你这里,你可以狡辩你不在这个“等”里面,然而事实上,如果有关部门联系你了,那么毫无疑问,你已经在这个“等”的范畴里了

    >> 《互联网用户账号信息管理规定》第 9 条

    很显然,微信、支付宝这些三方登录,并不属于“真实身份信息认证”,最低要求仍然是手机号,当然这里,你仍然可以狡辩说微信/支付宝就是原文里说的“等认证方式”
  • RmondJone 楼主 07-04 14:28
    25
    @ntdll 国内环境恶劣,一边鼓励 OPC ,一边搞这些坑人。唉,韭菜太惨了,看样子只能做国外了,哪有选,逼着你做国外。什么收益都没呢,上来就要交保护费,做等保最低也得二级,2 万 2 年。流程还贼长,代办都得几个月。
  • RmondJone 楼主 07-04 14:49
    26
    @florentino 那现在到底要不要做等保,不做被扫到就是罚款,是这个意思吗?
  • akira 07-04 15:04
    27
    你收集用户个人信息, 又不做好安全措施,想干嘛
  • NetworkManager 07-04 15:29
    28
    虽然现在针对个人信息保护很严格 但我想不通为什么要做等保 因为我就是做等保的 然后就是 2 级普遍是 2 年一做 3 级是每年都做 你说的价格可以再砍 30%-50% 有需求 联系我 全国可飞~
  • RmondJone 楼主 07-04 15:43
    29
    @akira 肯定要做的,还是说安全措施到位了就可以不用做等保了,毕竟前期项目都没得到验证呢,就要做等保投几万进去这个无疑是对个人开发的致命打击。等保在我的认知里不就是一个证书吗?
  • RmondJone 楼主 07-04 15:44
    30
    @NetworkManager 意思等保不是必做是吗?那为什么这个人会被罚款?
  • florentino 07-04 16:11
    31
    @RmondJone #26 要是做国内市场,监管让你干嘛,你就按照他们说的搞就行了,不要想着对抗,网信办不是吃素的,说封你就封你
  • RmondJone 楼主 07-04 16:14
    32
    @florentino 好吧,唉,OPC 太难了。不打算做国内了,个人不太现实这么看
  • ntedshen 07-04 16:34
    33
    bro 有一种没看过小作文的清纯感。。。
  • yidev 07-04 16:36
    34
    之前不是要求实名制, 要求收集这些东西吗? 那现在实名制怎么搞
  • RmondJone 楼主 07-04 16:36
    35
    @ntedshen 嗯,小白一个,真的是处处碰壁,被现实打击
  • RmondJone 楼主 07-04 16:37
    36
    @yidev 交钱,做等保,不做等着罚款。通篇看他们的评论下来,这个等保目前是必做,不做等着罚款
  • SayHelloHi 07-04 17:42
    37
    一般啥场景要做等保?

    看到现在好多网站都是微信扫码登录 有的扫码登录后 还要绑定手机号

    按照相关法律法规 这些网站都要做等保吗?有老铁解惑嘛~
  • RmondJone 楼主 07-04 18:44
    38
    @SayHelloHi 就和猫鼠游戏一样,你不做扫到你了,你只能认倒霉,交罚款,想要不罚款就提前给保证金,我是这样理解的
  • hiapk 07-04 21:05
    39
    @hefish 说白了就是要钱,这玩意儿能养活很多它们的人和它们的砖家
  • whitewash 07-04 21:12
    40
    做等保,出了问题,是天灾;
    不做等保,出了问题,是人祸。
  • JimmyRogue 07-04 21:18
    41
    老哥我好像也刷到了这个视频,但我印象里他是做 AI 应用(应该是接了大模型),你知道国内其实就算是使用大模型也是需要做备案的,再加上这些博主基本不会说全,还有看到最近有一些贩卖焦虑说什么 icp 证书的事情,说只要涉及购买就要做 icp 证书也是有问题的,按我之前的经验,除非你做的软件有涉及“第三方入驻”才需做 icp 证书,否则是不需要的(当然每个地区不同,可以查一下),一般 icp 备案即可。
* 帖子来源V2EX
返回