監(jiān)管部門隱私合規(guī)檢測(cè)評(píng)估指南
來源:
發(fā)布時(shí)間:2022-02-19
法律法規(guī)和其他規(guī)范要求:《消費(fèi)者權(quán)益保護(hù)法》第二十九條經(jīng)營(yíng)者收集�、使用消費(fèi)者個(gè)人信息,應(yīng)當(dāng)遵循合法��、正當(dāng)、必要的原則�,明示收集��、使用信息的目的�、方式和范圍����,并經(jīng)消費(fèi)者同意。經(jīng)營(yíng)者收集�、使用消費(fèi)者個(gè)人信息����,應(yīng)當(dāng)公開其收集���、使用規(guī)則���,不得違反法律、法規(guī)的規(guī)定和雙方的約定收集���、使用信息。經(jīng)營(yíng)者及其工作人員對(duì)收集的消費(fèi)者個(gè)人信息必須嚴(yán)格保密���,不得泄露、出售或者非法向他人提供��。經(jīng)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施���,確保信息安全����,防止消費(fèi)者個(gè)人信息泄露�、丟失����。在發(fā)生或者可能發(fā)生信息泄露�、丟失的情況時(shí),應(yīng)當(dāng)立即采取補(bǔ)救措施。經(jīng)營(yíng)者未經(jīng)消費(fèi)者同意或者請(qǐng)求�����,或者消費(fèi)者明確表示拒絕的,不得向其發(fā)送商業(yè)性信息����。app隱私不合格被工信部下架了怎么辦��?監(jiān)管部門隱私合規(guī)檢測(cè)評(píng)估指南
這種方法大多是依賴于人工���、開發(fā)人員或分析師手動(dòng)標(biāo)記敏感的內(nèi)容��,這需要大量的人工干預(yù)���,而工作跟不上就會(huì)導(dǎo)致安全風(fēng)險(xiǎn)存在�����。這種方式是非常低效的,成本也很高�。三、個(gè)人面臨的問題�、信息被過度采集可能你聽過或自身也遇到過以下這些場(chǎng)景,比如剛剛在聊天的時(shí)候提到某件商品的名字����,在打開電商平臺(tái)的時(shí)候��,滿屏都是這種商品的身影��,就會(huì)接收到相應(yīng)的廣告��,在論壇上面交流某款游戲�����,轉(zhuǎn)頭過來就在論壇推送的廣告上看到這款游戲的名字等等。是否在我輸入交易密碼時(shí)會(huì)被記錄上傳?這到底是誰泄的密�����?對(duì)于個(gè)人而言只能感嘆“我們還有隱私么����?"大多對(duì)APP在手機(jī)上用戶隱私的定義主要集中在操作系統(tǒng)預(yù)定義的敏感API上�,如設(shè)備標(biāo)識(shí)符�����,電話號(hào)碼����,IMEI��、MAC等�、GPS位置信息、通訊錄�、短信��、瀏覽器信息等��,主要采取了權(quán)限保護(hù)的手段��。這些的確是非常重要的用戶隱私�,但是并沒有覆蓋所有的用戶隱私和敏感數(shù)據(jù)���。在很大程度上忽視了一個(gè)非常重要的用戶隱私來源——用戶輸入隱私�����。App通常通過用戶界面讓用戶輸入一些信息,而這些信息就包括了登錄憑證��、財(cái)務(wù)信息��、醫(yī)療信息等敏感數(shù)據(jù)��。因此要在APP中保護(hù)用戶隱私�,就必須很好的處理這些用戶輸入數(shù)據(jù)�����。開源隱私合規(guī)檢測(cè)經(jīng)驗(yàn)怎么檢測(cè)自己的app符合國(guó)家隱私要求呢���?
偽裝成銀行應(yīng)用的APP來騙取用戶的財(cái)務(wù)信息。設(shè)備方面的敏感數(shù)據(jù)是操作系統(tǒng)給出的���,例如位置��、硬件號(hào)信息���,保護(hù)此類隱私數(shù)據(jù)可以利用系統(tǒng)API來設(shè)置安全標(biāo)簽,對(duì)其進(jìn)行保護(hù)APP執(zhí)行時(shí)API����、網(wǎng)絡(luò)接口監(jiān)控���,特定行為監(jiān)控�����。云端:云端主要對(duì)APP進(jìn)行通用類型的隱私接口進(jìn)行檢測(cè)����,腳本自動(dòng)化靜態(tài)與動(dòng)態(tài)分析APP的行為,APP執(zhí)行時(shí)API�、網(wǎng)絡(luò)接口監(jiān)控�。五�����、未來展望與總結(jié)、難點(diǎn)與挑戰(zhàn)難點(diǎn)與挑戰(zhàn)主要來自三個(gè)方面:1����、識(shí)別用戶輸入的隱私如何識(shí)別輸入文字�����、語音����、圖片是敏感的?人眼可以很輕易的識(shí)別用戶輸入隱私�,但對(duì)機(jī)器來說大規(guī)模精細(xì)識(shí)別是很難的。由于用戶輸入隱私是高度非結(jié)構(gòu)化的數(shù)據(jù)�,因此無法在用戶輸入過程中用正則表達(dá)式來識(shí)別。用傳統(tǒng)的靜態(tài)檢測(cè)技術(shù)同樣也是不切實(shí)際的,因?yàn)樵诖a語義中���,隱私輸入和其他普通輸入并沒有顯眼的區(qū)別���。2�����、有安全防護(hù)的APP某些APP將收集隱私部分的代碼進(jìn)行VMP虛擬機(jī)保護(hù)�����、Java2C保護(hù)、防Hook等���,需要二進(jìn)制文件逆向����、動(dòng)態(tài)調(diào)試���、反匯編等,增加分析難度與成本。3�����、準(zhǔn)確理解APP隱私聲明如果要保證APP隱私政策識(shí)別準(zhǔn)確性可以在檢測(cè)時(shí)人工介入��,但是成本高��、周期慢���,提升效率的方法可以使用機(jī)器學(xué)習(xí)算法對(duì)隱私聲明進(jìn)行閱讀訓(xùn)練�����。
產(chǎn)品技術(shù)優(yōu)勢(shì):動(dòng)態(tài)檢測(cè)技術(shù)-可監(jiān)測(cè)APP在運(yùn)行過程中的100+通過行為函數(shù)調(diào)用棧分析��,可實(shí)現(xiàn)代碼級(jí)定位云手機(jī)技術(shù)-通過云手機(jī)卡板機(jī)箱����,提供豐富的種行為可視化云手機(jī)能力云手機(jī)增強(qiáng)了APP隱私合規(guī)檢測(cè)系現(xiàn)代碼級(jí)定位統(tǒng)的quan面性和精細(xì)性騰訊安全能力業(yè)界優(yōu)先:騰訊安全的惡意軟件的發(fā)現(xiàn)和檢出量業(yè)界di一國(guó)際quan威機(jī)構(gòu),連續(xù)13次安全評(píng)測(cè)能力全球di一優(yōu)勢(shì):清理測(cè)試領(lǐng)跑榜單全年獲得5項(xiàng)a+(總數(shù)為7次)連續(xù)26次獲得認(rèn)證全年保持所有中文產(chǎn)品比較gao分app如何在蘋果商場(chǎng)上架呢流程是什么樣的�����?
《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第三十七條關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要����,確需向境外提供的,應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門會(huì)同guo務(wù)yuan有關(guān)部門制定的辦法進(jìn)行安全評(píng)估�����;法律��、行政法規(guī)另有規(guī)定的�,依照其規(guī)定�。第四十一條網(wǎng)絡(luò)運(yùn)營(yíng)者收集�、使用個(gè)人信息�,應(yīng)當(dāng)遵循合法��、正當(dāng)����、必要的原則�,公開收集���、使用規(guī)則����,明示收集、使用信息的目的��、方式和范圍�����,并經(jīng)被收集者同意。網(wǎng)絡(luò)運(yùn)營(yíng)者不得收集與其提供的服務(wù)無關(guān)的個(gè)人信息,不得違反法律����、行政法規(guī)的規(guī)定和雙方的約定收集����、使用個(gè)人信息,并應(yīng)當(dāng)依照法律����、行政法規(guī)的規(guī)定和與用戶的約定�����,處理其保存的個(gè)人信息���。工信部網(wǎng)信辦公安部app隱私合規(guī)�����。APPSTORE隱私合規(guī)檢測(cè)軟件
app被下架怎么申訴呢?監(jiān)管部門隱私合規(guī)檢測(cè)評(píng)估指南
�、惡意操作行為第三方SDK可能借助合法的宿主APP執(zhí)行惡意的操作:靜默安裝其他APP、上傳業(yè)務(wù)數(shù)據(jù)�、獲取用戶隱私數(shù)據(jù)上報(bào)云端�、檢查用戶����、惡意推送信息等����。某些應(yīng)用為了對(duì)抗自動(dòng)化安全分析���,只有在用戶特定的情形下才觸發(fā)隱私收集事件,比如某輸入法�。沒有完整的邏輯逆向分析很難發(fā)現(xiàn)其行為�。四��、解決方案、方案介紹方案主要分成兩部分:好:企業(yè)APP發(fā)版時(shí)針對(duì)應(yīng)用中收集個(gè)人信息行為是否存在違法違規(guī)進(jìn)行認(rèn)定并提供參考,為APP運(yùn)營(yíng)者自查自糾提供指引�。第二:及時(shí)發(fā)現(xiàn)個(gè)人手機(jī)上APP獲取信息合規(guī)問題及準(zhǔn)確定位����,提前發(fā)現(xiàn)應(yīng)用中個(gè)人信息的安全�����、合規(guī)風(fēng)險(xiǎn),并準(zhǔn)確定位問題出現(xiàn)的源頭�,對(duì)獲取隱私的應(yīng)用提出預(yù)警提示���。�、整體架構(gòu)架構(gòu)分為移動(dòng)端與服務(wù)器端,如圖4-2所示:圖4-2安全沙箱是指建立一個(gè)隔離的運(yùn)行環(huán)境���,在里面直接運(yùn)行第三方App�����,這種技術(shù)方案為解決上述某些APP在特定條件下才收集用戶隱私的事件監(jiān)控,因?yàn)橹辉诜?wù)器端自動(dòng)化分析場(chǎng)景比較單一���,某些有做安全處理的APP會(huì)逃過檢測(cè)���,很難發(fā)現(xiàn)它的惡意行為��。����、重要功能介紹威脅行為類型常見的威脅類型如圖4-3所示:圖4-3移動(dòng)端:移動(dòng)端主要負(fù)責(zé)監(jiān)控用戶界面輸入的內(nèi)容隱私,例如。監(jiān)管部門隱私合規(guī)檢測(cè)評(píng)估指南
深圳卓云智聯(lián)科技有限公司是一家提供云支持和運(yùn)營(yíng)管理解決方案\云計(jì)算���、云存儲(chǔ)、云網(wǎng)互聯(lián)��、私有�����,公共和混合云建設(shè)、云建設(shè)咨詢服務(wù)�、云建設(shè)實(shí)施服務(wù)����、云計(jì)算支持服務(wù)�����、云計(jì)算安全運(yùn)維服務(wù)���,從基礎(chǔ)架構(gòu)設(shè)計(jì)部署到IaaS��,PaaS及Saas應(yīng)用程序開發(fā)��,滿足各行業(yè)客戶的需求��。的公司,致力于發(fā)展為創(chuàng)新務(wù)實(shí)��、誠(chéng)實(shí)可信的企業(yè)。卓云服務(wù)作為提供云支持和運(yùn)營(yíng)管理解決方案\云計(jì)算�����、云存儲(chǔ)、云網(wǎng)互聯(lián)���、私有�����,公共和混合云建設(shè)��、云建設(shè)咨詢服務(wù)、云建設(shè)實(shí)施服務(wù)�����、云計(jì)算支持服務(wù)���、云計(jì)算安全運(yùn)維服務(wù)����,從基礎(chǔ)架構(gòu)設(shè)計(jì)部署到IaaS,PaaS及Saas應(yīng)用程序開發(fā)�,滿足各行業(yè)客戶的需求。的企業(yè)之一����,為客戶提供良好的等級(jí)保護(hù)�����,隱私合規(guī)檢測(cè)��,騰訊會(huì)議���,高防IP�����。卓云服務(wù)始終以本分踏實(shí)的精神和必勝的信念�,影響并帶動(dòng)團(tuán)隊(duì)取得成功。卓云服務(wù)創(chuàng)始人鐘德盛�,始終關(guān)注客戶,創(chuàng)新科技����,竭誠(chéng)為客戶提供良好的服務(wù)�����。