近年来,随着互联网技术在全球的飞速发展,人类社会已被裹挟进“大数据”时代,个人信息安全问题也成为全社会关注的议题。随着《个人信息保护法》(草案)、《数据安全法》等一系列法律法规对于个人信息保护的规范,用户隐私保护也正式提上企业发展议程。
近日,腾讯安全正式发布《灵鲲APP隐私合规产品白皮书》(以下简称《白皮书》),报告就数字化浪潮下,企业面临的数据安全与用户隐私安全外部环境和现实困难展开了讨论,并介绍了如何为用户提供隐私安全等解决方案。
违规频发,监管重视:APP隐私合规问题丞待解决
近年来,手机移动应用超范围收集个人信息等违规新闻屡见不鲜。据相关数据统计,87%的移动APP存在隐私违规问题。2020年315晚会曝光50款APP存在窃取隐私问题;成都多个教育APP被投诉出现疑似隐私泄露的问题;教育旅游类APP因过度采集网民个人隐私信息,成为APP隐私违规的重灾区。
为了整治乱象,监管部门自2016年起就相继出台《工信部APP侵害用户权益专项整治8项要求》、《工信部164号文》等法律法规,以进一步加强规范手机移动应用个人信息安全。2020年,工信部完成44万款APP的隐私问题检测,并对违规APP公开通报、限时整改。
这意味着,侵害用户个人信息“自罚三杯”式处罚逐渐成为历史。对于企业而言,提前自查、整改并满足合规要求,也是业务稳健、可持续发展的前提。
然而,APP隐私合规检测并非易事。一方面,APP隐私风险源复杂,可能来自APP本身,也可能来自第三方SDK等组件,要实现人工自查非常困难。目前几乎所有的移动应用开发过程中,都或多或少引入了各种类型的第三方SDK来满足使用需要。
另一方面,合规的标准是持续和动态的过程。随着APP不断迭代,监管合规条例越来越多,每个阶段都需要持续的检测与监督,对企业来说,都将耗费较高的人工检测成本。
动态检测技术+云手机技术支撑,灵鲲推出自动化App合规方案
在《白皮书》提出,腾讯安全灵鲲结合过去多年安全攻防经验的沉淀,打造了全面、精准、高效的APP隐私合规解决方案。该方案针对移动应用、SDK中出现个人信息的非法收集、滥用、泄露等严重问题,结合相关法律法规和监管要求,为监管机构、测评机构、应用开发企业等提供合规检测服务。
腾讯安全灵鲲隐私合规服务的检测范围覆盖应用基本信息检测、APP违法行为检测、APP违法权限检测、第三方SDK检测、APP通信传输、APP数据存储、APP源文件安全、身份认证风险,其中行为合规检测、权限合规检测与第三方SDK合规检测为主要检测内容。
目前,灵鲲APP隐私合规检测服务的产品能力,主要依托背后强大的动态检测技术和云手机技术支撑。动态检测技术是腾讯自助研发的沙箱系统,可检测APP在运行过程中的100+种行为,包括读取文件、写入文件、获取应用进程、读取系统配置等行为。同时,该技术可以通过函数调用栈对行为主体进行分析,过滤APP行为,针对性排查违规行为主体,并实现代码级定位。云手机技术通过云手机卡板机箱和服务器一起部署在腾讯云,通过网络将手机设备存放在云端,提供丰富的可视化操作云手机的支持,同时云手机还增强了APP隐私合规检测系统的全面性和精准性。
目前,灵鲲APP隐私合规产品已帮助应用宝针对活跃的80000款APP进行隐私检查,日检测峰值达到4000+APP,其中包括水滴筹、易企秀、药帮帮、喜马拉雅、全棉时代等。未来,腾讯安全将会持续整合自身安全优势与能力,为业内输出更具有竞争力的安全合规解决方案,携手行业伙伴共同保护用户隐私安全,共同维护健康互联网环境。
原创文章,作者:奋斗,如若转载,请注明出处:https://blog.ytso.com/177737.html