大数据时代下，App 数据隐私安全你真的了解么？

你是否有过这样的经历：你和朋友聊天表达你近期想要购买某件商品，第二天当你打开某购物软件时，平台向你推送的商品正是你想要购买的；或者，你是否接到过陌生来电，他们准确的报出了你的名字和年龄......

近年来，信息技术快速发展，大数据时代已经来临。大数据为我们带来信息共享、便捷生活的同时，还存在着个人隐私泄漏等诸多数据安全的问题。

笔者发现不少公司目前依托于推送等采集数据工具沉淀用户原始数据，通过上层数据服务变现，其作为一种商业模式为 App 业务引入了巨大的数据隐私保护风险。例如在某推送服务提供的《开发者协议》中，服务商明确要求 App 开发者《隐私政策》中须告知其 App 用户主体同意 SDK 提供者收集并使用其个人信息。其中包括 1、设备信息，设备信息包括：设备标识符（IMEI、IDFA、Android ID、MAC、OAID、IMSI 等相关信息）2、应用信息（应用崩溃信息、通知开关状态、软件列表等相关信息）3、设备参数及系统信息（设备类型、设备型号、操作系统及硬件相关信息）4、网络信息，网络信息包括：IP 地址，WiFi 信息，基站信息等相关信息。 5、地理位置信息。这些隐私数据是新个保法重点保障的对象，相关信息的搜集为个体隐私保障引入了巨大风险。

同时也有用户发现，目前在手机 APP 的使用过程中打开某个 APP，能连带打开好几个别的 App，这种自动操作引发用户对手机里信息被盗取的担忧，事实上，究其原因，是 App 为了保证被用户继续使用，就要尽可能多的“刷存在感”，否则久而久之用户就会弃之不用，甚至卸载。如果 App 开发者选择了采用联合唤醒的机制或者其他类似机制来“保活”，这就可能导致大量的服务进程在后台被唤醒、驻留，从而造成不同应用之间的交叉唤醒、关联启动的现象。

基于上述技术规范内容分析，App 通过自启动、关联启动等方式唤醒后，如果存在通过权限等机制收集个人信息的行为，且并未在隐私政策等规则中明确指出具体的目的的，其收集个人信息的频度则涉嫌超出了业务功能实际需要。

而在我国的《App 违法违规收集使用个人信息行为认定方法》第四条第 3 点指出，收集个人信息的频度等超出业务功能实际需要，可认定为“违反必要原则，收集与其提供的服务无关的个人信息”。

公民个人信息不容侵犯，确保 APP 不“越界”，国家一直在行动。数据显示，近年来工信部持续开展 APP 侵权整治活动，开展了六批次集中抽检，检查了 76 万款 APP，通报 748 款违规 APP，下架了 245 款拒不整改的 APP。在南方都市报发表于 2020 年 11 月 27 日的文章中点击查看，指出个推、小米 SDK（软件开发工具包），以及旧版本的 360 加固工具等软件存在违规收集个人信息的第三方组件的问题。

为了保障 App 业务的隐私合规安全，阿里云移动研发平台 EMAS 近期上线了隐私合规检测专项服务。该服务是依据国家相关法律法规及行业规范，对移动 App 隐私安全、个人数据收集和使用进行合规分析。服务提供了全面的隐私合规检测报告和专家建议，从确保形式合规（隐私政策文本合规性）及实质合规（代码层合规性）的一致性，从个人信息收集、权限使用场景、隐私政策等多个维度帮助企业和开发者提前识别 App 隐私合规相关风险，规避监管通报、应用下架等重大风险。

阿里云移动研发平台 EMAS 高度重视个人信息的保护，对设备权限获取遵循最小化原则，禁止搜集任何设备隐私数据用于其他场景的数据服务变现，相关隐私政策点击：EMAS隐私权政策，该隐私政策适用于移动推送/HTTPDNS/移动热修复/远程日志/崩溃分析/性能分析/移动用户反馈等 EMAS 全平台产品，我们欢迎对 App 隐私合规话题感兴趣或存在疑问的开发者加入 EMAS 开发者社区，共同探讨合规话题，为用户构筑隐私保护的坚实防线。

>>欢迎加入 EMAS 开发者钉钉交流群<<

群号：35248489