App安全合规监管趋严，开发者该如何应对？ – 作者:梆梆安全-安全小百科

近日，某知名公司家教机App内含涉黄低俗内容一事得到监管和社会的高度关注。北京西城区人民检察院联合区教委，就教育类App中存在的涉黄、私自收集个人信息以及其他问题开展相关排查工作。中央网信办也于7月13日下发通知，开展为期2个月的“清朗”未成年人暑期网络环境专项整治。

随着信息化服务的快速普及，移动App已经逐渐成为人们最重要的互联网入口，过度索取、不给权限不让用、超范围收集个人信息、隐私政策不透明、注销难等诸多App安全合规问题随之而生。小梆通过5个案例带大家看看App安全合规的重要性：

1、App重大安全漏洞，导致客户的资金和个人信息泄露问题；

1月9日，以色列安全公司曝出某创意短视频社交软件存在严重安全漏洞，黑客可以利用这些漏洞操纵用户数据并泄露个人信息,导致该App在多国强制下架。

http://finance.eastmoney.com/a/202001091352052774.html

2、App隐私数据违规采集

电商平台让网络消费正式成为潮牌、奢侈品的一种消费模式。去年底，一位潮牌电商用户在收到鞋子后在包装内发现一张淘宝店的宣传卡，从而爆出平台有无真假鉴别的质疑。随后，国家计算机病毒应急处理中心（CVERC）在去年底针对多款服饰、生活方式类App开展电商平台整治行动，发现并通报10款电商App涉嫌违规采集个人隐私信息。

https://shandong.hexun.com/2019-11-13/199253325.html

3、App盗版仿冒

2019年，某电商平台遭遇了App的盗版仿冒事件。这导致该平台7月份的交易流量下降，公司也受到一些网络水军攻击，信誉权受损。尽管警方已发布相关通告，有一部分被骗消费者因投诉无门，仍然要求该平台予以赔偿。

http://www.cbskc.cn/20191104/206239.html

4、App内容违规

南方都市报报道，某知名公司家教机的应用商店可以下载一款内含涉黄低俗内容的App，该App内充斥暧昧词汇、语言暴力、少男少女亲吻配图，甚至还有诱导拍自拍照、威胁未成年人等低俗信息。

https://www.sohu.com/a/407557656_161795

5、App境外数据传输

2019年9月15日，国家计算机病毒应急处理中心（CVERC）常务副主任陈建民在“2019年网络安全专题发布会”上提出某推送平台SDK直接向新加坡传送敏感数据，某支付平台则直接向香港传输敏感数据。

https://tieba.baidu.com/p/6258197706

近年来，国家层面高度重视移动App的监管合规工作。国家互联网信息办公室、工业和信息化部、公安部、市场监管总局等四部门联合印发了《App违法违规收集使用个人信息行为认定方法》，明确规定：在征得用户同意前就开始收集个人信息或打开可收集个人信息的权限；用户明确表示不同意后，仍收集个人信息或打开可收集个人信息的权限；或频繁征求用户同意、干扰用户正常使用等行为，将被认定为“未经用户同意收集使用个人信息”。教育部也于2019年开始教育行业App的监管备案和审核工作，大力加强行业的App安全合规。

作为移动安全的倡导者与先行者，梆梆安全高度重视移动App的监管合规问题并提出面向不同受众的监管合规解决方案。

一、面向监管机构的移动应用监管合规全流程解决方案

1、注册报备

通过让管辖区域或行业内的企业登录平台进行账号申请、注册，全面普查和掌握管辖区域或行业范围内移动应用运营企业的相关信息，同时提交企业自身的App，通过企业自查，形成较为全面的资产明细清单。

2、发布审核

通过对接自动化+人工检测引擎，对报备应用进行全面及多方位检测，及时发现应用漏洞、境外数据传输、个人隐私违规采集、内容违规等问题，在应用发布前及时发现和解决安全问题，对发现问题的应用及时通报整改。

3、持续监管

通过对国内应用市场的持续监控，及时发现管辖范围内应用出现的以下问题：

a.未经审核应用上线运行：通过与已报备应用数据进行关联分析，及时发现未经审核应用的上线运行情况；

b.审核与上线应用不一致：通过代码指纹等技术，及时发现报备应用与上线应用不一致情况；

c.上线应用安全问题：通过自动化分析引擎与人工相结合的方式，及时发现上线后应用的安全状况，及时通报企业进行下架处置和整改；

对全渠道应用的监控分析，能够辅助形成监管工作的完整闭环，有效避免未经审核上线、上线与报备不一致、上线后应用安全等问题。