移动APP个人数据安全合规检测要点分析 – 作者:爱加密123

近日,重庆市互联网协会为贯彻落实国家网络安全工作重要指示,积极应对网络安全新挑战、提升网络数据安全防护能力,举办了《2020年度信息通信网络数据安全培训》,会上,北京智游网安(爱加密)研究院副院长魏超发表了《移动APP个人数据安全合规检测要点分析》主题演讲。

图片[1]-移动APP个人数据安全合规检测要点分析 – 作者:爱加密123-安全小百科

个人隐私安全问题一直是大家广泛关注的热点话题,3.15晚会曝光了一系列互联网隐私黑产问题,涉及到监控摄像头偷偷抓拍人脸信息、个人简历信息泄露频繁买卖、手机违规强制索权套路频出等,个人隐私安全问题亟待解决。国家重视个人信息安全方面的保护工作,相继颁发了多部法律法规。

《民法典》设立专章规范隐私权和个人信息保护

《刑法修正案》增加“侵犯公民个人信息罪”等罪名

《网络安全法》确立个人信息保护原则

《数据安全法(草案)》从数据作为信息的底层载体的角度提出数据安全措施要求

《消费者权益法》明确“商品和服务提供者”对消费者个人信息的保护义务

《电子商务法》对电子商务经营者提出个人信息保护要求

《个人信息出境安全评估办法(征求意见稿)》详细规定个人信息出境的安全评估要求等

《个人信息保护法(草案)》,“中国版GDPR”,2020年10月21日,经全国人民代表大会常委会审议后的正式“亮相”,全文八章七十条

工业和信息化部就APP违规收集个人信息、过度索权、频繁骚扰用户等侵害用户权益问题开展信息通信领域APP侵害用户权益专项整治行动,并相继多次通报了侵害用户权益的APP,并责令其整改。并于2020年8月底前上线运行全国APP技术检测平台管理系统,12月10日前完成覆盖40万款主流APP检测工作。整治对象包括:APP服务提供者、软件工具开发包(SDK)提供者、应用分发平台。

本地核查

以本地核查的方式查看APP隐私政策文本描述和人工遍历全部业务功能、调用接口行为信息和个人信息权限代码声明列表核验,通过进行点击触发对比收集使用的个人信息,核查是否私自、超范围收集使个人信息。

自动化检测

以自动化检测(个人信息检测平台)的方式检测APP个人信息是否存在IP跨境传输和SDK收集使用个人信息行为,通过查看自动化检测所输出的报告描述,核查实际合规情况。

渗透测试

以渗透测试检测的方式检测APP数据传输、数据存储所使用的安全措施,通过查看渗透测试所输出的报告描述,对比隐私政策文本个人信息安全保护措施和能力要求是否对实际防护情况进行相应描述。

协助整改

以远程或现场协助整改的方式,首先提供一对一个人信息检测不合规项解读,然后提供对应不合规项国家监管层面的合规标准以及市场大众的合规设计案例,同时通过工具监控代码调用行为信息,帮助开发定位问题所在,快速有效的完成合规整改。

PART.

01

企业痛点

  • 检测标准难对齐

《网络安全法》、《信息安全技术个人信息安全规范》、《关于开展纵深推进APP侵害用户权益专项整治行动》、《App违法违规使用个人信息自评估指南》、《《App违法违规收集使用个人信息行为认定方法》》等法律文件对APP个人信息收集做了明确规范。企业可结合上述法律文件展开自查自改,然而过程中却存在许多难点,导致整改遗漏或不到位。

  • 成本难控制

隐私合规涉及众多内容。各项政策内容从熟悉到实践,不是一朝一夕所能达到的,可能需要花费大量时间精力。

  • 维度不全面、结果不准确

自查自改之初,不知如何下手;自查自改之后,对于是否达标心里没底。此外,有些风险项是由于引入了第三方SDK导致的,具有很大的隐蔽性很难自查。

  • 难以实现与监管要求的完整匹配

工信部、公安部、网信办、市场监管总局、第三方支撑机构等众多监管机构所使用的检测手段、检测标准以及对检测项的独特理解,很难做到符合所有监管部门的监测。

解决方案

针对移动应用、SDK中出现个人信息的非法收集、滥用、泄露等严重问题,结合相关法律法规和监管要求,通过移动应用个人信息安全检测平台对移动应用的基本信息、漏洞信息、收集和使用个人信息行为、通讯传输行为、软件和技术供应链情况、技术脆弱性、隐私政策规范性等进行多维度安全检测和合规检测,并出具专业的个人信息安全报告,帮助应用开发企业在应用发布前评估个人信息的安全性和合规性。

PART.

02

监管痛点

  • 全网监测难

由于APP数量庞大、种类繁杂且分散各应用商店,缺乏技术手段则难以做到全盘监测、分门别类、理清重点、找准目标,更难以实现整体态势感知和宏观管理。

  • 溯源定位难

由于APP的程序代码与网络结构比较复杂,存在较大的技术隐蔽性,缺乏手段则难以迅速而准确地检索出APP的问题部位、分发渠道、接入网络节点等精准溯源和证据留存工作。

  • 闭环处置难

由于运营主体、分发渠道、网络服务节点众多且分散,缺乏手段则难以高效地实施责令运营主体整改、通知应用商店下架、通知接入商和域名机构断接入、停域名等处置,及处置结果反馈和复测验证等监管措施。

解决方案

通过爱加密自主研发的静态检测、动态检测、内容检测、大数据分析技术,对全国范围内的Android、iOS、公众号、小程序、SDK等移动应用进行全量的收集、聚类、清洗、分析,并对移动应用的个人信息、漏洞、盗版、仿冒、恶意、违规等进行详细的安全检测,帮助客户对管辖范围内的移动应用进行资产的摸排、合规检测、风险监测、违规取证、风险处置、风险跟踪、风险统计等全生命周期的管理。构建全面、及时、专业、准确的移动应用安全大数据平台,实现APP资产发现与梳理、高效合规检测、用户权益与个人信息持续监督。

来源:freebuf.com 2021-03-22 15:30:57 by: 爱加密123

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论