– 作者:爱加密123

近日，由银川互联网+医疗健康协会联合网络安全行业门户FreeBuf共同开展了一场互联网医疗App个人信息保护直播沙龙。沙龙邀请了网络安全领域、互联网医疗领域内的相关专家，从监管检查、法律法规、企业实践、解决方案等不同视角，对App个人信息保护方面的工作重点、App违法违规案例解读、App数据合规之重点法律法规讲解、互联网医疗企业个人信息保护工作实践、App隐私检测要点与技术分析几个方面进行精彩解读。会上，爱加密研究院副院长魏超发表了《移动App隐私检测要点与技术分析》演讲。

众所周知，医疗乃民生之本，如今，国家大力推进“互联网+医疗健康”的发展，移动医疗行业发展迅猛。移动医疗App涉及的业务非常广泛，诸如在线药品电商、在线医生、在线服务工具等，都承载着用户大量的个人隐私数据。

在利益驱动及监管不严的情况下，移动医疗App可能会出现被不法分子篡改、植入恶意代码、泄露用户隐私等问题。此外，用户在使用移动医疗应用进行支付的时候，黑客可通过钓鱼网站或木马程序等途径窃取用户信息，并通过泄露用户的信息和冒用用户身份来实施消费或转账等操作，造成用户财产损失。

2020年5月，工信部点名通报了相关医药类App涉嫌私自收集用户信息的行为，并责令其尽快完成整改工作。此前，也有多款医疗App被爆违规收集用户隐私信息，存在较大的安全隐患。移动医疗App主要面临的安全风险包括App反编译破解，如系统键盘和输入法攻击、本地数据破解、WIFI钓鱼、网络监听、调试攻击、内存攻击等，因此，保障移动医疗的个人信息安全成为当务之急。

爱加密专注于移动应用安全领域多年，时刻关注我国医疗行业移动应用安全问题，不仅及时响应国家政策、解读行业规范，同时针对个人隐私安全合规问题，可提供完善的移动应用个人信息安全检测服务、个人信息保护合规评估服务以及合规测评等服务。

《信息安全技术个人信息安全规范》解读要点

规范对个人信息收集、储存、使用做出了明确规定，并规定了个人信息主体具有查询、更正、删除、撤回授权、注销账户、获取个人信息副本等权力。其中，个人信息从收集到最终的注销等一系列环节，都有相应需要遵守的原则及方法，以期通过评估、监督等多种方式，准确估计个人信息安全系数，最大程度避免个人信息的泄露及不当利用，从而确保个人隐私不被侵犯，同时个人的人身安全得到保障。

《工业和信息化部337号令》解读要点

规范重点对四个方面8类问题开展规范整治工作，对私自收集个人信息、超范围收集个人信息、私自共享给第三方、强制用户使用定向推送功能、不给权限不让用、频繁申请权限、过度索取权限、账号注销难这些方面进行了明确的规定。

「移动应用个人信息安全检测」

爱加密移动应用个人信息安全检测平台，是针对移动应用、SDK中出现个人信息的非法收集、滥用、泄露等严重问题，结合相关法律法规和监管要求，为监管机构、测评机构、应用开发企业等推出的合规检测平台。可针对移动应用的基本信息、漏洞信息、收集和使用个人信息行为、通讯传输行为、软件和技术供应链情况、技术脆弱性、隐私政策规范性等进行多维度安全检测和合规检测，并出具专业的个人信息安全报告。帮助监管机构准确、有效地提供行政执法依据；帮助测评机构出具专业的个人信息测评报告；帮助应用开发企业在应用发布前评估个人信息的安全性和合规性。

「个人信息保护合规评估服务」

从App运营者和监管部门角度出发，多方面对个人信息的收集、使用、存储、传输、行为和权利保障等多个方面，严格按照国家标准规范和监管发文，对移动应用进行全面合规检查，率先将监管检测要求运用到合规评估服务中，强制授权、过度索权、不给权限不让用、私自收集使用个人信息等，为企业和机构提供面向移动应用程序的全方位合规评估服务。

爱加密个人信息保护合规评估服务支持Android、iOS、微信/支付宝小程序、SDK等多场景。报告将采用多种核心技术相结合，旨在帮助用户快速、准确地检测出其中存在的合规风险，针对分析过程中评估标准、评估要点、评估方法、评估结果以及问题解决建议均进行详细的描述。

来源：freebuf.com 0000-00-00 00:00:00 by: 爱加密123