随着移动应用种类和数量呈爆发式增长,APP侵害用户权益事件层出不穷,为规范个人信息的收集使用,打击涉及个人信息违法犯罪行为,我国相继出台多个涉及个人信息保护相关法律法规。与此同时,中央网信办、工信部、公安部、市场监管总局已指导成立App违法违规收集使用个人信息专项治理工作组(App专项治理工作组)组织开展App收集使用个人信息评估工作,已逐步形成常态化的App侵害用户权益行为通报,截止目前累计通报21批次,仅2021年就通报了11批次,通报中涉及的未及时整改条目2000余条。
App隐私保护以及合规毫无疑问已经成为企业发展红线。这就要求企业在App研发过程中对App进行持续的隐私合规评估,避免研发出来的App上线时因违反相关的法律法规,导致不能上架,或是被下架。
App隐私及合规评估服务典型应用场景
图片
隐私合规检测
主要针对App的隐私收集行为进行监测,模拟真实用户环境的机器检测、静动态检测,针对APP的隐私数据采集等行为进行识别,依据国家相关法规及规范检测行为合规性。
图片
行为合规检测
动态监测App行为,确保App的行为符合APP用户权益保护测评规范,基于静动态检测,对各类权限的获取进行识别,检测敏感权限使用合规性。
图片
SDK合规监测
大数据结合静动态检测,对于APP集成的第三方SDK的隐私合规性进行检测,并提供代码漏洞分析。
03
App隐私及合规风险预防
安全评估
虽然问题很多,但是解决办法始终是一样的——做安全评估,推动提供者整改,在公司内把控接入。并根据相关规范完成相关最佳实践。
持续性合规
在App版本更新后及时完成增量评估工作。一般触发安全评估是在版本发生变化的时候。当然还可以根据情况增加一起触发安全评估的场景,如接入方式发生变化、年度评估等等。
及时更新
及时跟进App相关技术线路,内嵌的SDK等的更新,保证APP最新可用。其实,现在很多家SDK提供者都在为了更合规而优化产品,SDK迭代的速度很快,保持SDK的随时更新并参见其定制的合规指南,可以解决一部分合规问题。
来源性评估
针对在APP中使用的第三方SDK进行基本信息梳理,包括:SDK名称、版本、公司名称、公司资质、是否签署数据处理协议、隐私政策、合规指南、SDK安全性资质、沟通回复速度、是否有发生过安全事件等。
代码安全性评估
使用专业的代码安全工具/漏洞扫描工具完成App代码已经第三方SDK的代码评估,减少潜在的使用风险。
《隐私政策》对使用第三方SDK的使用情况披露详尽
对第三方SDK的基本情况调研(网站、合规指南、数据处理协议等等)获取的信息+测试结果信息,就是最终需要对外披露的信息了,这里会存在披露颗粒度的问题,是披露到大类还是到字段需要自己把控。
《信息安全技术-移动互联网应用程序(App)SDK安全指南》中附录D给出了一个披露第三方SDK的示例表格(很细),包括SDK名称、命名空间、公司名称、SDK用途、收集个人信息、申请权限情况、隐私政策链接。
