4166am金沙信心之選近日，重慶市互聯(lián)網(wǎng)協(xié)會(huì)為貫徹落實(shí)國(guó)家網(wǎng)絡(luò)安全工作重要指示，積極應(yīng)對(duì)網(wǎng)絡(luò)安全新挑戰(zhàn)、提升網(wǎng)絡(luò)數(shù)據(jù)安全防護(hù)能力，舉辦了《2020年度信息通信網(wǎng)絡(luò)數(shù)據(jù)安全培訓(xùn)》，會(huì)上，北京智游網(wǎng)安（愛(ài)加密）研究院副院長(zhǎng)魏超發(fā)表了《移動(dòng)APP個(gè)人數(shù)據(jù)安全合規(guī)檢測(cè)要點(diǎn)分析》主題演講。

　　個(gè)人隱私安全問(wèn)題一直是大家廣泛關(guān)注的熱點(diǎn)線晚會(huì)曝光了一系列互聯(lián)網(wǎng)隱私黑產(chǎn)問(wèn)題，涉及到監(jiān)控?cái)z像頭偷偷抓拍人臉信息、個(gè)人簡(jiǎn)歷信息泄露頻繁買(mǎi)賣、手機(jī)違規(guī)強(qiáng)制索權(quán)套路頻出等，個(gè)人隱私安全問(wèn)題亟待解決。國(guó)家重視個(gè)人信息安全方面的保護(hù)工作，相繼頒發(fā)了多部法律法規(guī)。

　　《數(shù)據(jù)安全法（草案）》從數(shù)據(jù)作為信息的底層載體的角度提出數(shù)據(jù)安全措施要求

　　《個(gè)人信息出境安全評(píng)估辦法（征求意見(jiàn)稿）》詳細(xì)規(guī)定個(gè)人信息出境的安全評(píng)估要求等

　　《個(gè)人信息保護(hù)法（草案）》，“中國(guó)版GDPR”，2020年10月21日，經(jīng)全國(guó)人民代表大會(huì)常委會(huì)審議后的正式“亮相”，全文八章七十條

　　工業(yè)和信息化部就APP違規(guī)收集個(gè)人信息、過(guò)度索權(quán)、頻繁騷擾用戶等侵害用戶權(quán)益問(wèn)題開(kāi)展信息通信領(lǐng)域APP侵害用戶權(quán)益專項(xiàng)整治行動(dòng)，并相繼多次通報(bào)了侵害用戶權(quán)益的APP，并責(zé)令其整改。并于2020年8月底前上線運(yùn)行全國(guó)APP技術(shù)檢測(cè)平臺(tái)管理系統(tǒng)，12月10日前完成覆蓋40萬(wàn)款主流APP檢測(cè)工作。整治對(duì)象包括：APP服務(wù)提供者、軟件工具開(kāi)發(fā)包（SDK）提供者、應(yīng)用分發(fā)平臺(tái)。

　　以本地核查的方式查看APP隱私政策文本描述和人工遍歷全部業(yè)務(wù)功能、調(diào)用接口行為信息和個(gè)人信息權(quán)限代碼聲明列表核驗(yàn)，通過(guò)進(jìn)行點(diǎn)擊觸發(fā)對(duì)比收集使用的個(gè)人信息，核查是否私自、超范圍收集使個(gè)人信息。

　　以自動(dòng)化檢測(cè)（個(gè)人信息檢測(cè)平臺(tái)）的方式檢測(cè)APP個(gè)人信息是否存在IP跨境傳輸和SDK收集使用個(gè)人信息行為，通過(guò)查看自動(dòng)化檢測(cè)所輸出的報(bào)告描述，核查實(shí)際合規(guī)情況。

　　以滲透測(cè)試檢測(cè)的方式檢測(cè)APP數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)所使用的安全措施，通過(guò)查看滲透測(cè)試所輸出的報(bào)告描述，對(duì)比隱私政策文本個(gè)人信息安全保護(hù)措施和能力要求是否對(duì)實(shí)際防護(hù)情況進(jìn)行相應(yīng)描述。

　　以遠(yuǎn)程或現(xiàn)場(chǎng)協(xié)助整改的方式，首先提供一對(duì)一個(gè)人信息檢測(cè)不合規(guī)項(xiàng)解讀，然后提供對(duì)應(yīng)不合規(guī)項(xiàng)國(guó)家監(jiān)管層面的合規(guī)標(biāo)準(zhǔn)以及市場(chǎng)大眾的合規(guī)設(shè)計(jì)案例，同時(shí)通過(guò)工具監(jiān)控代碼調(diào)用行為信息，幫助開(kāi)發(fā)定位問(wèn)題所在，快速有效的完成合規(guī)整改。

　　《網(wǎng)絡(luò)安全法》、《信息安全技術(shù)個(gè)人信息安全規(guī)范》、《關(guān)于開(kāi)展縱深推進(jìn)APP侵害用戶權(quán)益專項(xiàng)整治行動(dòng)》、《App違法違規(guī)使用個(gè)人信息自評(píng)估指南》、《《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》》等法律文件對(duì)APP個(gè)人信息收集做了明確規(guī)范。企業(yè)可結(jié)合上述法律文件展開(kāi)自查自改，然而過(guò)程中卻存在許多難點(diǎn)，導(dǎo)致整改遺漏或不到位。

　　隱私合規(guī)涉及眾多內(nèi)容。各項(xiàng)政策內(nèi)容從熟悉到實(shí)踐，不是一朝一夕所能達(dá)到的，可能需要花費(fèi)大量時(shí)間精力。

　　自查自改之初，不知如何下手；自查自改之后，對(duì)于是否達(dá)標(biāo)心里沒(méi)底。此外，有些風(fēng)險(xiǎn)項(xiàng)是由于引入了第三方SDK導(dǎo)致的，具有很大的隱蔽性很難自查。

　　工信部、公安部、網(wǎng)信辦、市場(chǎng)監(jiān)管總局、第三方支撐機(jī)構(gòu)等眾多監(jiān)管機(jī)構(gòu)所使用的檢測(cè)手段、檢測(cè)標(biāo)準(zhǔn)以及對(duì)檢測(cè)項(xiàng)的獨(dú)特理解，很難做到符合所有監(jiān)管部門(mén)的監(jiān)測(cè)。

　　針對(duì)移動(dòng)應(yīng)用、SDK中出現(xiàn)個(gè)人信息的非法收集、濫用、泄露等嚴(yán)重問(wèn)題，結(jié)合相關(guān)法律法規(guī)和監(jiān)管要求，通過(guò)移動(dòng)應(yīng)用個(gè)人信息安全檢測(cè)平臺(tái)對(duì)移動(dòng)應(yīng)用的基本信息、漏洞信息、收集和使用個(gè)人信息行為、通訊傳輸行為、軟件和技術(shù)供應(yīng)鏈情況、技術(shù)脆弱性、隱私政策規(guī)范性等進(jìn)行多維度安全檢測(cè)和合規(guī)檢測(cè)，并出具專業(yè)的個(gè)人信息安全報(bào)告，幫助應(yīng)用開(kāi)發(fā)企業(yè)在應(yīng)用發(fā)布前評(píng)估個(gè)人信息的安全性和合規(guī)性。

　　由于APP數(shù)量龐大、種類繁雜且分散各應(yīng)用商店，缺乏技術(shù)手段則難以做到全盤(pán)監(jiān)測(cè)、分門(mén)別類、理清重點(diǎn)、找準(zhǔn)目標(biāo)，更難以實(shí)現(xiàn)整體態(tài)勢(shì)感知和宏觀管理。

　　由于APP的程序代碼與網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜，存在較大的技術(shù)隱蔽性，缺乏手段則難以迅速而準(zhǔn)確地檢索出APP的問(wèn)題部位、分發(fā)渠道、接入網(wǎng)絡(luò)節(jié)點(diǎn)等精準(zhǔn)溯源和證據(jù)留存工作。

　　由于運(yùn)營(yíng)主體、分發(fā)渠道、網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)眾多且分散，缺乏手段則難以高效地實(shí)施責(zé)令運(yùn)營(yíng)主體整改、通知應(yīng)用商店下架、通知接入商和域名機(jī)構(gòu)斷接入、停域名等處置，及處置結(jié)果反饋和復(fù)測(cè)驗(yàn)證等監(jiān)管措施。

　　通過(guò)愛(ài)加密自主研發(fā)的靜態(tài)檢測(cè)、動(dòng)態(tài)檢測(cè)、內(nèi)容檢測(cè)、大數(shù)據(jù)分析技術(shù)，對(duì)全國(guó)范圍內(nèi)的Android、iOS、公眾號(hào)、小程序、SDK等移動(dòng)應(yīng)用進(jìn)行全量的收集、聚類、清洗、分析，并對(duì)移動(dòng)應(yīng)用的個(gè)人信息、漏洞、盜版、仿冒、惡意、違規(guī)等進(jìn)行詳細(xì)的安全檢測(cè)，幫助客戶對(duì)管轄范圍內(nèi)的移動(dòng)應(yīng)用進(jìn)行資產(chǎn)的摸排、合規(guī)檢測(cè)、風(fēng)險(xiǎn)監(jiān)測(cè)、違規(guī)取證、風(fēng)險(xiǎn)處置、風(fēng)險(xiǎn)跟蹤、風(fēng)險(xiǎn)統(tǒng)計(jì)等全生命周期的管理。構(gòu)建全面、及時(shí)、專業(yè)、準(zhǔn)確的移動(dòng)應(yīng)用安全大數(shù)據(jù)平臺(tái)，實(shí)現(xiàn)APP資產(chǎn)發(fā)現(xiàn)與梳理、高效合規(guī)檢測(cè)、用戶權(quán)益與個(gè)人信息持續(xù)監(jiān)督。返回搜狐，查看更多