工信部：多款APP侵害用户权益 || 企业如何实现对APP的风险管理

工信部：多款APP侵害用户权益 || 企业如何实现对APP的风险管理 – 作者:指掌易

据工信部网站5月15日消息，依据《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，工信部近期组织第三方检测机构对手机应用软件进行检查，对发现存在问题的企业进行督促整改。此类关于APP侵犯用户个人信息的事件层出不穷，近年来个人信息泄露、被买卖等事件触目惊心。

为了保障个人信息安全，治理APP侵犯用户个人信息等乱象。近年来国家在法律法规方面不断重锤出击，颁布多项法律法规，打击违法违规收取个人信息的行为。2019年1月至12月，中央网信办、工业和信息化部、公安部、市场监管总局决定，在全国范围组织开展APP违法违规收集使用个人信息专项治理。同时，全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立APP专项治理工作组，推动相关工作的开展。种种行动的开展，表明了国家规范治理APP违法违规收集使用个人信息等行业乱象的决心。

金融行业成关注重点

金融类APP合规迫在眉睫

近日，人民银行下发《关于开展金融科技应用风险专项摸排工作的通知》（银办发〔2020〕45号），要求各地人民银行分支机构及相关监管机构启动金融科技风险专项摸排工作。据了解，本次摸排工作主要范围包括移动金融客户端应用软件、应用程序编程接口、信息系统等。本次行动参与机构大，摸排范围广，管控决心强。这次行动必然会对金融类APP进行彻底排查，对于不合规的APP及服务提供商或给予重罚。那么金融行业的企业如何做到APP合规呢？

APP风险既来自APP直接开发者

又来自SDK等组件

市面上几乎所有的移动应用开发过程中，都或多或少引入了各种类型的第三方SDK来满足使用需要。据抽调显示（数据来源于腾讯云BestSDK专栏）金融借贷类APP平均使用的SDK数量最多。而过多引入SDK使得APP的各类风险变的难以控制。第三方SDK可能会借助合法的宿主APP执行恶意的操作：比如静默安装其他APP、偷传业务数据、获取用户隐私、恶意推送信息等。很多金融企业表示很冤枉，明明没有侵害用户信息的想法，却因为安全意识薄弱，缺乏内部安全审查，使得SDK等第三方组件屡屡得手。所以实现APP风险管理，企业应做到及时审查，深度检测，风险处理。这既是企业APP合规和内审的要求，也是业务可持续发展的需求。

APP的风险问题要如何解决

指掌易基于多年移动安全的积累，针对各行各业面临的APP非法采集、分享、泄露等问题，推出指掌易灵鉴·移动应用风险检测整体解决方案。通过智能自动化与人工相结合的检测方式，实现APP的全方位风险检测。

01 检测内容：APP隐私政策合理性检测与分析

·通过对比行业基准应用的隐私政策框架模板及191号文中定义的关键词信息，通过自动化方式快速确认隐私政策的标准化程度
·解读通过191号文对应的32项检测项

·对隐私政策内容的合理性、必要性等方面进行解读，确保隐私政策的合规

·针对隐私政策检测项中需要特定行为触发弹出的相关说明等进行人工检测，保障对隐私政策检测的完整性

02 检测内容：APP隐私权限使用合理性检测与分析

·比对行业必要权限及权限申请使用情况，实行静态+动态综合对比分析

·应用代码权限申请及使用过程检测，检测过度申请、使用未申明权限等问题·业务流程模拟使用，检测业务逻辑隐含权限问题

03 检测内容：APP风险行为检测与分析

·检测未经用户授权的各类应用行为，包括功能调用、数据访问、数据采集、未知网络访问等

04 金融科技应用风险专项摸排检测