2021年11月1日,《个人信息保护法》正式施行,这部政策的颁布为隐私加了法律“安全锁”,意味着网络安全行业迎来新时代。国家为什么如此重视对数据的监管?作为监管机构和企业,又该如何实现合规与发展平衡协同?“隐私安全”已成为近年来手机与移动互联网行业的“高频”关键词之一,始于用户利益,行于本分初心,在充满革新氛围的大数据时代,又如何将其完美融入到每一款产品之中呢?
在《个人信息保护法》正式施行之前,国家关于个人信息保护的立法征程,已经走了近10年。2012年,人大委员会提出关于加强网络信息保护的决定。至今,2017年实施的《网络安全法》、2021年9月实施的《数据安全法》和《个人信息保护法》,共同组成了我国网络空间治理和数据保护的“三驾马车”。此外,《关键信息基础设施安全保护条例》《消费者权益保护法》《关于开展APP违法违规收集使用个人信息专项治理的公告》《APP侵害用户权益专项整治行动的通知》等其他相关法律法规的相继实施,让隐私安全成为企业和监管机构必备的一张底牌。
除了数据管理技术难度之外,大数据的最大挑战,就是安全。数据是资产,也是隐私。没有人愿意自己的隐私被暴露,所以,人们对个人隐私保护越来越重视。政府也在不断加强对公民隐私权的保护,出台了很多法律。一时间,数据安全再次成为关注焦点。数据合规对企业的重要性,已不言而喻。境内外数据合规风险的增加,国家对数据合规体系建设的规划,都推动企业对APP合规检测的需求增加。
近期,工信部组织各省通信管理局,持续推进APP侵害用户权益专项整治行动,加大常态化检查力度。第一季度,累计检测61万款APP,责令整改422款,公开通报134款,下架104款拒不整改的APP。可见,在纷纷扰扰的网络世界,网络安全尤为重要!尤其是强制授权、过度索权、超范围、违规收集和使用个人信息等行为,成为重点打击对象。
要写出一个移动应用程序,不但要具备足够的功能、容易上手,还要受到数百万用户欢迎,是不是已经很难了?除此之外,还有制作应用程序必须注意的事情,那就是隐私和消费者安全。今年“3.15晚会”期间,信息安全与隐私泄露成为央视曝光的重灾区,几乎占据了晚会内容的一半。业内近期频发的“APP下架”、“APP审查”事故,可以说“应用隐私安全检测”是移动应用行业的一大刚需。
输入法:相当于我们在网络上的“嘴巴”,没有了它,我们就很难在网络上发声。输入法已远不只是打字功能,除了方便网友斗图,具备AI功能后甚至还能写小作文。但在感叹输入法智能的同时,也面临不少问题。去年5月,讯飞、搜狗和QQ三大输入法因未完全满足国家网信办关于个人信息收集违规问题通报的整改要求,被多家应用商店下架。根据权威统计机构赛诺发布一份国内输入法的报告,2020年的第三方输入法用户超过7亿,而这三家加起来超过了80%,合计用户数超过5.6亿。可见,三家输入法被下架,影响有多大!通常,被下架的APP再重新上架的时间有太多不确定性因素。在这个过程中,给自家带来了不好的声誉,很多用户会考虑换用其他输入法,而且还增加不了新用户。恰恰相反,百度输入法正因为提前做了隐私风险预防措施而未被通报,在这个空档期吸收了大量其他输入法的用户,无疑是最大的赢家!
Facebook:也曾卷入丑闻引发全球热议,媒体揭露称一家服务特朗普竞选团队的数据分析公司Cambridge Analytica获得了Facebook五千万用户的数据,并进行违规滥用。尽管随后Facebook宣布已经对数据泄露事件展开调查,并禁止了Cambridge Analytica以及母公司使用Facebook的任何数据。但是,用户的不再信任或给Facebook带来重创。
实际上,众多隐私泄露丑闻并非偶然,信息安全是一个全球性问题,任何一家企业都要如履薄冰。移动互联网时代,用户信息保护与隐私安全从来不是单环节、单监管的问题,需要全行业的共同参与和努力。
一、目前用户关注度比较高、危害较为突出的问题主要包括:
(1)APP静默调用手机麦克风。这是用户近年来投诉最密集的问题之一。比如当你在家跟家人讨论一个商品,随后打开购物APP发现它已自动被推荐在首屏,感觉妥妥地“被监听”。
(2)过度申请手机权限。这是安卓手机用户的普遍痛点。比如一个工具类APP,除了调用必须的定位与存储功能权限,还要求开通你的通讯录好友,甚至是最近联系人与短信等权限,其中大部分都是与其功能不相干的权限要求,这也是工信部拟出台规定中重点强调与规范的“最小必要”原则。
(3)恶意诱导和关不掉的广告。用户下载这类恶意APP之后,就会被引导进行“清理手机垃圾”,实际上这类APP没有任何杀毒、清理作用,相反还会搜集用户数据,引导用户下载更多的恶意APP进行牟利。
(4)大数据“杀熟”。绝大多数移动APP都强调“精准服务”,包括获取设备识别信息、读写相册、位置信息,甚至是消费信息与金融支付信息,以求获得多维“用户画像”。但同时也带来了一个令用户厌恶的问题:“大数据杀熟”。不同手机品牌和型号的用户,在相同条件设定下打车费用明显不同,购买外卖、机票、酒店的费用各异。复旦一名教授公布的调查报告显示,在800多个有效打车样本中,高端手机相比入门手机的打车费用要高出37%左右。
作为绝大多数企业用户的选择,出现问题应该及时整改,也不至于沦落到被下架的地步。因此,如何有效控制APP在使用过程中的隐私安全风险是各单位在业务移动化过程中面临的重要问题。那么,对于企业而言,面对多部门的审查,信息安全建设有什么更符合时代要求的解决办法呢?
二、我们应该注意的是:
(1)强化企业应用程序不被攻击利用的原因之一是重新打包。这里指的是恶意分子取得正常应用程序再加入自己的恶意代码。这里可能加入任何一种程序代码——增值短信服务滥用、电子货币采矿甚至是信息窃取,这不仅会危害使用者,还会损害企业的名声。
(2)如果企业需要招商广告来盈利,必须慎选所合作的广告媒体。有些网络广告的名声较差,可能会要求获取过多用户信息来强制推送广告,更有甚者允许恶意广告出现在他们的网络上。请记住:这不只影响合作方的名声,也会折射到自己的企业APP上。
(3)另一个问题是企业APP如何与各种社交网络整合。手机应用程序整合社交网络变得十分普遍,只要做得正确就是安全的。社交网络通常会提供某API来让第三方应用程序存取其信息,使用这些 API,并不需要用户的私人登录证书。
(4)至于隐私方面,考虑一下需要用户输入什么信息。我们已经看到有些应用程序要求与他们的主要目的完全无关的权限。为什么一个手电筒应用程序需要存取联系人?想想你究竟需要从你的用户数据中获取什么,而非单纯地去要求所有的一切。
数据与隐私作为用户自身拥有的私人数据资产,不能沦为“黑产”用于牟利与损害大众用户利益的工具,加强行业监管与技术升级势在必行。当然,隐私安全覆盖的范围广、问题多,需要长期投入大量精力,建立系统化的监管平台,打造全流程、全维度的预警方案。隐私保护是一个长期过程,需要企业的持续投入与开放生态的打造。面向万物互融时代,几维安全提出了“让万物互联”的核心理念,要以科技为手段,实现每一个人对生活、对创新、对人性的追求,这也是几维安全在持续多年进行用户安全隐私保护投入的重要原因。
目前互联网数据安全面临两个困境,一是互联网数据获取不易。二是缺乏有效管理和数据安全机制,而几维安全的隐私保护特点刚好契合多领域的需求点。几维移动应用隐私和安全检测平台可为企业APP做隐私合规检测,针对多个维度进行风险监控,第一时间发现各种不可信的操作行为,并深度追踪溯源,对其及时阻断。
(1)几维移动APP隐私合规检测平台是一套针对移动应用隐私行为检测的解决方案,帮助企业快速通过APP安全和隐私合规审查。基于国家对信息安全出台的政策法规为背景,针对Android(人工、自动化)、iOS【人工、自动化(测试阶段)】应用提供申请权限、隐私行为、网络数据、隐私文本等维度的合规检测,只需40分钟就能输出详细的整改报告。
(2)深度定制ROM。基于Android操作系统源代码进行二次改造,针对涉及隐私行为的API接口进行监测,通过动态监测、静态分析等方式获得APP在前后台调用隐私行为的情况,能够精准识别APP在运行时所触发的隐私行为事件。
(3)自动判定规则。运用独创AI算法,结合累积多年的大数据,涵盖了大量的自动化判定规则,包括权限、行为、网络、文本、审查条例等规则,使AI智能审查100%脱离人工干预,并可自动完成80%的审查项;且检测精度、深度比纯人工检测更高,而检测时间却只需要纯人工的5%(15分钟可完成一次AI智能审查),极大提高审查效率,节约人工成本。
(4)支持https协议抓包。采用隐私检测专用手机,支持分析https协议的数据包,能够覆盖90%以上的APP合规审查。
(5)违规存证多样化。支持界面截屏、录屏、代码堆栈、时间对比等多样违规存证信息,方便开发者快速定位,合规整改。
为了落实多项国家政策文件,几维安全自主研发了《Android应用隐私合规检测平台》和《iOS应用隐私合规检测平台》产品,为监管单位和企业提供专业、高效的服务平台。相对于同类产品覆盖更全面,检测标准覆盖《工业和信息化部 337号令》《关于开展纵深推进APP侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号)和《APP违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号),可对 APP 收集用户个人信息的行为逐条对应分析,力争做用户合法权益的捍卫者。值得注意的是,有些公司的产品却只支持《164号》文件,这里区别很大。
在汹涌澎湃的互联网浪潮中,每一款产品的生存空间都可大可小,具备自身的技术壁垒和生态壁垒显得尤为重要,在产品设计之初,考虑大数据的应用势在必行,也并非单纯的克制与放纵,而如何在隐私安全与用户信任间进行平衡,已成为一个新的课题。几维安全隐私检测产品善用固壁清野的策略,助力企业规避潜在风险更胜一筹,涵盖了以下8点检测标准供大家参考:
技术导致的隐私问题在很大程度上还是要依赖技术来解决,相比同类产品,几维移动隐私检测能力相当突出,发挥自身技术优势,为监管单位和企业APP隐私合规检测提供了强大的保障。然而有些竞品展示数据类别虽然多,但十分凌乱。他们展示出大量的基础数据,需要研发人员自行判断是否违规。试想同类产品,若没有筛选功能,岂不是耽误功夫?好多同类产品的流程不符合企业自查的使用习惯,缺少隐私政策自动提取和分析功能;隐私行为不能自动判断是否违规,不能自动识别隐私同意时间和授权时间。更有甚者,疑似采用模拟器检测,这样会出现兼容性等问题。另外,投屏检测设备使用麻烦,门槛高,体验差,也是不可取的。
基于164号/191号文件,结合检测能力,聚合智能审查新动能,通过API接口能够全自动审查13项条例,无需人工参与,优化集团企业和监管单位的隐私检测任务,可批量完成,大大提高检索效率。
基于权限管理,针对不同的使用场景或运行环境,分类检测应用的申请权限,不断升级的共享模式支持企业成员进行角色管理,方便多人同时使用,并对隐私行为的调用路径进行准确定位、取证及保存。这并不是所有同类产品都能做到的~
虽然APP开发者和运营者已高度重视隐私合规问题,但始终面临着检测标准难对齐、成本难控制、维度不全面、结果不准确的困境。隐私信息的滥用不仅发生在技术设备前端与用户直接接触的过程中,更隐匿于这些信息在后台被存储、处理和使用的过程中。为此,几维安全推出SaaS平台和离线部署两种方式,全方位、多维度地进行数据监测。
亿亿连接,智能互联,这是一个伟大时代,人们正在拥有史无前例的智趣生活,同时,科技行业也要面对更大的隐私安全保护挑战。隐私安全保护不仅是一种态度,更是一种能力,是在阳光下生长的信仰,是敬畏用户、以人为本的科技向善。国家相关法律的陆续出台也意味着应用市场上的App需要尽快通过专业的检测机构或者产品全面查验自身的隐私安全合规问题,避免被下架、审查、停止新用户注册等不同程度的经营风险。
很多应用开发者也面临着自身对隐私安全知识库不熟悉、采用的第三方SDK难以排查等问题,在短时间内充分“自查”,规避风险,是很难的。作为数据保护领域的领航者,几维安全隐私检测牢牢把握新形势、新任务、新要求,准确性高、覆盖度广、易用性强、通过率高,具备私有化部署,建立全方位保障机制。
自开展“移动APP隐私合规检测服务”以来,几维安全已帮助众多APP排查合规风险,其中包括某国内大型互联网、军工、金融、服务型APP等。
几维安全作为专业的隐私安全检测机构,团队拥有八余年的信息安全经验沉淀,是一个有担当、有情怀、有理想的安全团队,不断探索先进技术、创新服务方式,可为各位用户量体裁衣,提供最合理的移动应用隐私合规托管服务,力求用户能真正感受到“信息被保护、意愿被尊重、服务有价值”。欢迎监管执法机构和大中型企业对接、洽谈合作。