【重拳来袭】四部门开展新一轮app治理 严打违规收集用户信息
- 作者: 指掌易科技
- 分类:新闻
中央网信办、工业和信息化部、公安部、国家市场监管总局四部门7月22日在京召开会议,启动2020年app违法违规收集使用个人信息治理工作。会议指出,当前app数量已超500万款,违法违规收集使用个人信息问题还未根本解决,2020年治理工作将在去年基础上,进一步加大整治工作力度,突出问题导向、强化标准规范支撑、加强责任追究。
会议指出,app治理工作组将持续受理并处理公众对违法违规收集使用个人信息行为的线索举报和问题反映,并重点强调将对问题反映集中的app、sdk、小程序等进行深度评估。同时,加大对违法违规收集使用个人信息行为的发现力度、曝光力度、处罚力度。根据情节、后果严重程度,依法依规予以约谈、警告、下架、罚款等处罚,对违法违规行为形成有效震慑。(下方原文链接为引用详细内容)
对sdk等进行深度评估
一时间,众多引入sdk满足开发需求的企业及宿主app运营方因无法确定自身是否存在不合规风险,纷纷寻找解决办法。
企业如何应对sdk风险
国家和行业网络安全监管机构在近几年陆续集中推出了一系列的法律、标准、指南、政策,目前在移动互联网上有一定用户规模、达到一定影响力的移动 app,都需要遵守相关法律/标准的要求,出现违规行为将面临监管合规处罚,移动 app 的建设/运营单位在考虑网络安全管理体系时,必然要考虑到合规风险,不然将会导致声誉、甚至业务营收方面的损失。
这种针对移动 app 生命周期的供应链风险控制是由移动 app 的开发生态链所决定的, 移动 app 广泛存在着第三方 sdk 组件的集成,第三方 sdk 组件是否能够按照移动 app 的业务需要,适当合法采集和使用移动端的用户个人信息,是确保用户个人信息安全和移动 app 不存在个人信息侵犯风险的关键构成部分。而当前的现状往往是企业对来自供应链的第三方 sdk 组件是否会侵犯个人信息缺乏有效的控制能力,第三方 sdk 组件导致的风险可能危及到移动端上的用户个人信息,并将风险最终转嫁到了企业身上,这是必须且紧迫要解决的问题。
所以,能够有效检测和控制移动 app 中所使用的第三方 sdk 组件的个人信息侵犯隐患, 是确保实现用户个人信息保护、确保移动 app 开发供应链风险可控、确保符合监管合规要求的刚性风控管理需求。
app的风险问题要如何解决
指掌易基于多年移动安全经验的积累,针对各行各业面临的第三方sdk引入风险,sdk非法采集、分享、泄露用户个人信息等问题,推出指掌易灵鉴·app/sdk隐私威胁检测整体尊龙凯时注册的解决方案。通过智能自动化与人工相结合的检测方式,实现app/sdk的全方位风险检测。
01sdk成分及风险行为检测与分析
-
深度分析宿主app中第三方sdk的引入情况,识别存在安全隐患的第三方sdk并进行风险标记;
-
分析宿主app与第三方sdk之间的相互调用逻辑关系,协助研发人员辨别是否存在未知第三方sdk嵌套引入的安全隐患;
-
深度采集sdk的收集、使用个人信息行为,并结合国家相关标准规范进行业务及隐私政策合规性检查,并完成精准问题定位;
-
深度采集sdk的私自进行数据读写操作、私自后台定位获取位置信息、私自向第三方服务传输数据等恶意行为,并完成精准问题定位。
02app/sdk隐私政策合理性检测与分析
-
依据gb-t 35273 《信息安全技术 个人信息安全规范》相关要求,采用ai语义分析识别技术,自动化快速判断app隐私政策文本及框架的合规性;
-
依据《app违规违法收集使用个人信息自评估指南》的32项检测要求,采用人工检查和动态检测技术相结合的方式,快速完成app的自查自检。
03app/sdk隐私权限使用合理性检测与分析
-
通过自动化的深度检测分析,统计app实际申请使用权限清单及权限申请的方式、时机、业务告知情况等信息;
-
通过对比app实际申请使用权限的情况和隐私政策声明的业务功能及权限,识别两者之间的差异,并快速定位app是否存在“过度索权”、“权限滥用”、“捆绑索权”、“一次性强制索权”等违法违规行为。
04app/sdk风险行为检测与分析
-
监听app及sdk的各类行为动作,根据业务实质及隐私政策声明判断识别app及sdk的每一项行为是否合法合规; -
重点检测并跟踪常见的高风险行为,如:敏感目录读写文件、获取app安装列表、app运行使用信息、向第三方服务传输数据、向境外传输数据、后台定位、扫描设备环境等; -
精准定位风险行为的调用堆栈信息,提供详细的分析依据,方便开发人员快速排查和完善安全风险。