百度安全获评工信部移动互联网应用服务能力提升优秀案例

近日，工业和信息化部信息通信管理局公布了 2023 移动互联网应用服务能力提升优秀案例，旨在落实《工业和信息化部关于进一步提升移动互联网应用服务能力的通知》（工信部信管函〔2023〕26 号，简称 26 号文）相关要求，聚焦优化服务体验、强化管理能力、建设行业生态等三方面 10 项要求。在客观真实、创新引领、具有实效的评选原则下，百度安全“全流程合规管理实践探索：移动应用全生命周期隐私与安全管控”入选“完善制度规程，加强全流程合规管理” 领域优秀案例。

作为一家拥有强大互联网基础的领先 AI 公司，在技术创新与科技创新的道路上，百度以“不辜负每一份信任”为承诺，始终将用户对产品安全、数据安全、隐私安全的要求与期待牢记在心。在此背景下，百度建立个人信息保护工程化，也称为隐私安全工程（privacy security engineering），是将个人信息保护和个人数据安全关注点整合到系统和软件生命周期过程的工程实践。在此案例中，百度安全为系统化解决移动产品隐私安全问题，将隐私保护、数据安全、Privacy By Design 等要求及理念纳入到移动产品全生命周期 SDL 中，全面覆盖需求、设计、开发、测试、发布、运营、响应等阶段，把技术工具和流程管理相结合，一方面实现了隐私风险管控前置，尽可能让风险在早期阶段被识别，避免后期花费大量的人力财力物力进行整改，另一方面将网络安全“纵深防御”的思想引入，形成多层次、多措施的隐私管控策略，有助于减轻单一安全措施被绕过或漏检的风险。进而提升产品应用服务合规能力，保护用户权益。

百度隐私安全工程化建设将个人信息保护贯穿软件生命周期各环节，重视在需求阶段一开始便通过 PIA 评估和第三方 SDK 评估指导产品设计；在开发阶段，执行安全编码规范和集成安全能力，来增强产品的安全性和抵御风险；在测试阶段，利用史宾格技术开展自动和人工联合检测等，确保产品在测试阶段符合相关的合规性要求；在运营阶段，建立资产和行为监控,发布严格的合规管理规范；此外,既在培训环节增强员工隐私意识和技能水平，还在应急处置上，建立 APP 合规台账和 GRC 合规风险治理平台，全面响应各类隐私问题报告。以此，从源头到产品上线使用的全过程中,致力于各个重要环节的隐私安全防护,采取多措并举来提升产品安全合规性能力，有效地推动隐私工程落地。

史宾格安全及隐私合规平台是基于 AI 能力的安全/隐私问题检测及动态分析平台。在百度隐私基准测试中，检测内容覆盖隐私政策检测、个人信息收集与使用检测、用户权利保障等多重维度，可精准识别 APP 违规风险点、深度挖掘风险产生的源头，助力集团 APP 合规。

百度安全隐私安全工程化建设项目，落实了相关的法律法规和隐私保护标准，提升了企业及相关产业链的整体合规性，为行业树立了良好榜样，并推动企业以用户为中心进行创新，通过安全合规、合理透明的数据流转，既帮助企业基于数据驱动创新与决策，又重视用户隐私和数据保护，赢得了用户及公众的认可。