EMAS 隐私合规检测专项服务,从确保形式合规及实质合规规避风险
一、App 数据安全,主流商业模式下的新挑战
近年来随着信息技术快速发展,大数据时代已经来临。大数据为我们带来信息共享、便捷生活的同时,还存在着数据安全问题。
目前不少公司依托于推送等采集数据工具沉淀用户原始数据,通过上层数据服务变现,其作为一种商业模式为 App 业务引入了巨大的数据隐私风险。例如在某推送服务提供的《开发者协议》中,服务商明确要求 App 开发者《隐私政策》中须告知其 App 用户主体同意 SDK 提供者收集并使用其个人信息。其中可能包括:
1、设备信息,设备信息包括:设备标识符(IMEI、IDFA、Android ID、MAC、OAID、IMSI 等相关信息)
2、应用信息(应用崩溃信息、通知开关状态、软件列表等相关信息)
3、设备参数及系统信息(设备类型、设备型号、操作系统及硬件相关信息)
4、网络信息,网络信息包括:IP 地址,WiFi 信息,基站信息等相关信息。
5、地理位置信息。
个人信息是现行法律重点保护的数据类型。
此外,目前在手机 APP 的使用过程中打开某个 APP,能连带打开好几个别的 App 的情况层出不穷,这种自动操作引发用户对手机里信息被盗取的担忧,事实上究其原因是 App 为了保证被用户继续使用,就要尽可能多的“刷存在感”,否则久而久之用户就会弃之不用,甚至卸载。如果 App 开发者选择了采用联合唤醒的机制或者其他类似机制来“保活”,这就可能导致大量的服务进程在后台被唤醒、驻留,从而造成不同应用之间的交叉唤醒、关联启动的现象。
基于上述技术规范内容分析,App 通过自启动、关联启动等方式唤醒后,如果存在通过权限等机制收集个人信息的行为,且并未在隐私政策等规则中明确指出具体的目的的,其收集个人信息的频度则涉嫌超出了业务功能实际需要。而在我国的《App 违法违规收集使用个人信息行为认定方法》第四条第 3 点指出,收集个人信息的频度等超出业务功能实际需要,可认定为“违反必要原则,收集与其提供的服务无关的个人信息”。
数据显示,近年来工信部持续开展 APP 侵权整治活动,开展了六批次集中抽检,检查了 76 万款 APP,通报 748 款违规 APP,下架了 245 款拒不整改的 APP。在南方都市报发表于 2020 年 11 月 27 日的文章中可以看出目前存在的问题。
基于上述问题,为了保障 App 业务的隐私合规安全,阿里云移动研发平台 EMAS 近期上线了隐私合规检测专项服务,对移动 App 隐私安全、个人数据收集和使用进行合规分析。服务提供了全面的隐私合规检测报告和专家建议,从确保形式合规(隐私政策文本合规性)及实质合规(代码层合规性)的一致性,从个人信息收集、权限使用场景、隐私政策等多个维度帮助企业和开发者提前识别 App 隐私合规相关风险,规避监管通报、应用下架等重大风险。
二、形式合规:从重知识重人力转为自动检测
(新增部分)
监管检查的一大重点是隐私政策协议文本是否按照要求进行了声明。传统的隐私政策由法务编写、检查,对法务专业知识要求较高,并且需专人跟踪监管动态和相关规章,对开发者来说投入比较大。
EMAS 形式合规检测基于现行法律法规、标准、部门规章和监管动态等,总结了若干检测点。同时。基于小样本学习、信息抽取、文本分类等 AI 技术,可对隐私协议文本进行细粒度解析,能精准定位到包括不限于隐私数据采集、存储、第三方 SDK 使用等描述性信息。
在此基础上,依托于自建的合规知识图谱+智能合规分析引擎,自动化、标准化产出形式合规监测点的检测结果,最大限度地降低人力和时间成本。
目前,形式合规检测部分已有 10 余篇专利保护。
三、实质合规:黑盒 App 的代码检测
(新增部分)
合规检测的另一个问题是,我们如何判断实际运行的采集行为与隐私政策声明一致。EMAS 合规检测产品服务底层集成的隐私合规检测引擎基于控制流、数据流、污点分析、动态沙箱等动静态分析技术,深度融合隐私专家经验,提供了准确的代码层实质合规检测能力。
实质合规关注敏感权限调用、数据采集、数据传输、数据存储等 APP 实际数据使用行为,通过静态分析和动态分析两种分析引擎,基于抽象语法树、控制流图、数据流图,刻画 App 代码控制链路和数据流转链路,结合真机预览及模拟点击的动态分析结果,产出具体的实质合规检测点检测结果,包括敏感数据泄露、超范围采集、弹窗打扰等。
阿里云移动研发平台 EMAS 高度重视个人信息的保护,对设备权限获取遵循最小化原则 EMAS 隐私政策适用于移动推送/HTTPDNS/移动热修复/远程日志/崩溃分析/性能分析/移动用户反馈等 EMAS 全平台产品,我们欢迎对 App 隐私合规话题感兴趣或存在疑问的开发者加入 EMAS 开发者社区(钉钉群号:35248489),共同探讨合规话题,为用户构筑隐私保护的坚实防线。
版权声明: 本文为 InfoQ 作者【应用研发平台EMAS】的原创文章。
原文链接:【http://xie.infoq.cn/article/00364a57eb78755d7db3d0565】。文章转载请联系作者。
云原生应用研发平台EMAS与小程序技术交流 2020.07.20 加入
移动研发平台(Enterprise Mobile Application Studio,简称EMAS),为企业、开发者提供一站式的应用研发管理服务,涵盖开发、测试、运维、运营等应用全生命周期。获得更多资讯,欢迎加入钉钉群:35248489
评论