聚焦智能時代的隱私安全, 如何成為數據保護領域的贏家?
責編:gltian |2022-05-18 15:14:13
2021年11月1日,《個人信息保護法》正式施行,這部政策的頒布為隱私加了法律“安全鎖”,意味著網絡安全行業迎來新時代。國家為什么如此重視對數據的監管?作為監管機構和企業,又該如何實現合規與發展平衡協同?“隱私安全”已成為近年來手機與移動互聯網行業的“高頻”關鍵詞之一,始于用戶利益,行于本分初心,在充滿革新氛圍的大數據時代,又如何將其完美融入到每一款產品之中呢?
在《個人信息保護法》正式施行之前,國家關于個人信息保護的立法征程,已經走了近10年。2012年,人大委員會提出關于加強網絡信息保護的決定。至今,2017年實施的《網絡安全法》、2021年9月實施的《數據安全法》和《個人信息保護法》,共同組成了我國網絡空間治理和數據保護的“三駕馬車”。此外,《關鍵信息基礎設施安全保護條例》《消費者權益保護法》《關于開展APP違法違規收集使用個人信息專項治理的公告》《APP侵害用戶權益專項整治行動的通知》等其他相關法律法規的相繼實施,讓隱私安全成為企業和監管機構必備的一張底牌。
除了數據管理技術難度之外,大數據的最大挑戰,就是安全。數據是資產,也是隱私。沒有人愿意自己的隱私被暴露,所以,人們對個人隱私保護越來越重視。政府也在不斷加強對公民隱私權的保護,出臺了很多法律。一時間,數據安全再次成為關注焦點。數據合規對企業的重要性,已不言而喻。境內外數據合規風險的增加,國家對數據合規體系建設的規劃,都推動企業對APP合規檢測的需求增加。
近期,工信部組織各省通信管理局,持續推進APP侵害用戶權益專項整治行動,加大常態化檢查力度。第一季度,累計檢測61萬款APP,責令整改422款,公開通報134款,下架104款拒不整改的APP。可見,在紛紛擾擾的網絡世界,網絡安全尤為重要!尤其是強制授權、過度索權、超范圍、違規收集和使用個人信息等行為,成為重點打擊對象。
要寫出一個移動應用程序,不但要具備足夠的功能、容易上手,還要受到數百萬用戶歡迎,是不是已經很難了?除此之外,還有制作應用程序必須注意的事情,那就是隱私和消費者安全。今年“3.15晚會”期間,信息安全與隱私泄露成為央視曝光的重災區,幾乎占據了晚會內容的一半。業內近期頻發的“APP下架”、“APP審查”事故,可以說“應用隱私安全檢測”是移動應用行業的一大剛需。
輸入法:相當于我們在網絡上的“嘴巴”,沒有了它,我們就很難在網絡上發聲。輸入法已遠不只是打字功能,除了方便網友斗圖,具備AI功能后甚至還能寫小作文。但在感嘆輸入法智能的同時,也面臨不少問題。去年5月,訊飛、搜狗和QQ三大輸入法因未完全滿足國家網信辦關于個人信息收集違規問題通報的整改要求,被多家應用商店下架。根據權威統計機構賽諾發布一份國內輸入法的報告,2020年的第三方輸入法用戶超過7億,而這三家加起來超過了80%,合計用戶數超過5.6億。可見,三家輸入法被下架,影響有多大!通常,被下架的APP再重新上架的時間有太多不確定性因素。在這個過程中,給自家帶來了不好的聲譽,很多用戶會考慮換用其他輸入法,而且還增加不了新用戶。恰恰相反,百度輸入法正因為提前做了隱私風險預防措施而未被通報,在這個空檔期吸收了大量其他輸入法的用戶,無疑是最大的贏家!
Facebook:也曾卷入丑聞引發全球熱議,媒體揭露稱一家服務特朗普競選團隊的數據分析公司Cambridge Analytica獲得了Facebook五千萬用戶的數據,并進行違規濫用。盡管隨后Facebook宣布已經對數據泄露事件展開調查,并禁止了Cambridge Analytica以及母公司使用Facebook的任何數據。但是,用戶的不再信任或給Facebook帶來重創。
實際上,眾多隱私泄露丑聞并非偶然,信息安全是一個全球性問題,任何一家企業都要如履薄冰。移動互聯網時代,用戶信息保護與隱私安全從來不是單環節、單監管的問題,需要全行業的共同參與和努力。
一、目前用戶關注度比較高、危害較為突出的問題主要包括:
(1)APP靜默調用手機麥克風。這是用戶近年來投訴最密集的問題之一。比如當你在家跟家人討論一個商品,隨后打開購物APP發現它已自動被推薦在首屏,感覺妥妥地“被監聽”。
(2)過度申請手機權限。這是安卓手機用戶的普遍痛點。比如一個工具類APP,除了調用必須的定位與存儲功能權限,還要求開通你的通訊錄好友,甚至是最近聯系人與短信等權限,其中大部分都是與其功能不相干的權限要求,這也是工信部擬出臺規定中重點強調與規范的“最小必要”原則。
(3)惡意誘導和關不掉的廣告。用戶下載這類惡意APP之后,就會被引導進行“清理手機垃圾”,實際上這類APP沒有任何殺毒、清理作用,相反還會搜集用戶數據,引導用戶下載更多的惡意APP進行牟利。
(4)大數據“殺熟”。絕大多數移動APP都強調“精準服務”,包括獲取設備識別信息、讀寫相冊、位置信息,甚至是消費信息與金融支付信息,以求獲得多維“用戶畫像”。但同時也帶來了一個令用戶厭惡的問題:“大數據殺熟”。不同手機品牌和型號的用戶,在相同條件設定下打車費用明顯不同,購買外賣、機票、酒店的費用各異。復旦一名教授公布的調查報告顯示,在800多個有效打車樣本中,高端手機相比入門手機的打車費用要高出37%左右。
作為絕大多數企業用戶的選擇,出現問題應該及時整改,也不至于淪落到被下架的地步。因此,如何有效控制APP在使用過程中的隱私安全風險是各單位在業務移動化過程中面臨的重要問題。那么,對于企業而言,面對多部門的審查,信息安全建設有什么更符合時代要求的解決辦法呢?
二、我們應該注意的是:
(1)強化企業應用程序不被攻擊利用的原因之一是重新打包。這里指的是惡意分子取得正常應用程序再加入自己的惡意代碼。這里可能加入任何一種程序代碼——增值短信服務濫用、電子貨幣采礦甚至是信息竊取,這不僅會危害使用者,還會損害企業的名聲。
(2)如果企業需要招商廣告來盈利,必須慎選所合作的廣告媒體。有些網絡廣告的名聲較差,可能會要求獲取過多用戶信息來強制推送廣告,更有甚者允許惡意廣告出現在他們的網絡上。請記住:這不只影響合作方的名聲,也會折射到自己的企業APP上。
(3)另一個問題是企業APP如何與各種社交網絡整合。手機應用程序整合社交網絡變得十分普遍,只要做得正確就是安全的。社交網絡通常會提供某API來讓第三方應用程序存取其信息,使用這些 API,并不需要用戶的私人登錄證書。
(4)至于隱私方面,考慮一下需要用戶輸入什么信息。我們已經看到有些應用程序要求與他們的主要目的完全無關的權限。為什么一個手電筒應用程序需要存取聯系人?想想你究竟需要從你的用戶數據中獲取什么,而非單純地去要求所有的一切。
數據與隱私作為用戶自身擁有的私人數據資產,不能淪為“黑產”用于牟利與損害大眾用戶利益的工具,加強行業監管與技術升級勢在必行。當然,隱私安全覆蓋的范圍廣、問題多,需要長期投入大量精力,建立系統化的監管平臺,打造全流程、全維度的預警方案。隱私保護是一個長期過程,需要企業的持續投入與開放生態的打造。面向萬物互融時代,幾維安全提出了“讓萬物互聯”的核心理念,要以科技為手段,實現每一個人對生活、對創新、對人性的追求,這也是幾維安全在持續多年進行用戶安全隱私保護投入的重要原因。
目前互聯網數據安全面臨兩個困境,一是互聯網數據獲取不易。二是缺乏有效管理和數據安全機制,而幾維安全的隱私保護特點剛好契合多領域的需求點。幾維移動應用隱私和安全檢測平臺可為企業APP做隱私合規檢測,針對多個維度進行風險監控,第一時間發現各種不可信的操作行為,并深度追蹤溯源,對其及時阻斷。
(1)幾維移動APP隱私合規檢測平臺是一套針對移動應用隱私行為檢測的解決方案,幫助企業快速通過APP安全和隱私合規審查。基于國家對信息安全出臺的政策法規為背景,針對Android(人工、自動化)、iOS【人工、自動化(測試階段)】應用提供申請權限、隱私行為、網絡數據、隱私文本等維度的合規檢測,只需40分鐘就能輸出詳細的整改報告。
(2)深度定制ROM。基于Android操作系統源代碼進行二次改造,針對涉及隱私行為的API接口進行監測,通過動態監測、靜態分析等方式獲得APP在前后臺調用隱私行為的情況,能夠精準識別APP在運行時所觸發的隱私行為事件。
(3)自動判定規則。運用獨創AI算法,結合累積多年的大數據,涵蓋了大量的自動化判定規則,包括權限、行為、網絡、文本、審查條例等規則,使AI智能審查100%脫離人工干預,并可自動完成80%的審查項;且檢測精度、深度比純人工檢測更高,而檢測時間卻只需要純人工的5%(15分鐘可完成一次AI智能審查),極大提高審查效率,節約人工成本。
(4)支持https協議抓包。采用隱私檢測專用手機,支持分析https協議的數據包,能夠覆蓋90%以上的APP合規審查。
(5)違規存證多樣化。支持界面截屏、錄屏、代碼堆棧、時間對比等多樣違規存證信息,方便開發者快速定位,合規整改。
為了落實多項國家政策文件,幾維安全自主研發了《Android應用隱私合規檢測平臺》和《iOS應用隱私合規檢測平臺》產品,為監管單位和企業提供專業、高效的服務平臺。相對于同類產品覆蓋更全面,檢測標準覆蓋《工業和信息化部 337號令》《關于開展縱深推進APP侵害用戶權益專項整治行動的通知》(工信部信管函〔2020〕164號)和《APP違法違規收集使用個人信息行為認定方法》(國信辦秘字〔2019〕191號),可對 APP 收集用戶個人信息的行為逐條對應分析,力爭做用戶合法權益的捍衛者。值得注意的是,有些公司的產品卻只支持《164號》文件,這里區別很大。
?
在洶涌澎湃的互聯網浪潮中,每一款產品的生存空間都可大可小,具備自身的技術壁壘和生態壁壘顯得尤為重要,在產品設計之初,考慮大數據的應用勢在必行,也并非單純的克制與放縱,而如何在隱私安全與用戶信任間進行平衡,已成為一個新的課題。幾維安全隱私檢測產品善用固壁清野的策略,助力企業規避潛在風險更勝一籌,涵蓋了以下8點檢測標準供大家參考:
技術導致的隱私問題在很大程度上還是要依賴技術來解決,相比同類產品,幾維移動隱私檢測能力相當突出,發揮自身技術優勢,為監管單位和企業APP隱私合規檢測提供了強大的保障。然而有些競品展示數據類別雖然多,但十分凌亂。他們展示出大量的基礎數據,需要研發人員自行判斷是否違規。試想同類產品,若沒有篩選功能,豈不是耽誤功夫?好多同類產品的流程不符合企業自查的使用習慣,缺少隱私政策自動提取和分析功能;隱私行為不能自動判斷是否違規,不能自動識別隱私同意時間和授權時間。更有甚者,疑似采用模擬器檢測,這樣會出現兼容性等問題。另外,投屏檢測設備使用麻煩,門檻高,體驗差,也是不可取的。
基于164號/191號文件,結合檢測能力,聚合智能審查新動能,通過API接口能夠全自動審查13項條例,無需人工參與,優化集團企業和監管單位的隱私檢測任務,可批量完成,大大提高檢索效率。
基于權限管理,針對不同的使用場景或運行環境,分類檢測應用的申請權限,不斷升級的共享模式支持企業成員進行角色管理,方便多人同時使用,并對隱私行為的調用路徑進行準確定位、取證及保存。這并不是所有同類產品都能做到的~
雖然APP開發者和運營者已高度重視隱私合規問題,但始終面臨著檢測標準難對齊、成本難控制、維度不全面、結果不準確的困境。隱私信息的濫用不僅發生在技術設備前端與用戶直接接觸的過程中,更隱匿于這些信息在后臺被存儲、處理和使用的過程中。為此,幾維安全推出SaaS平臺和離線部署兩種方式,全方位、多維度地進行數據監測。
(1)SaaS平臺:支持自定義域名、Logo、版權等信息;可同時支持投屏設備和手持設備檢測任務。
(2)離線部署:一體機內置檢測平臺加arm模塊,可直接托管機房,開箱設置IP就能用;支持擴展多個arm模塊,多個任務同時進行檢測。
億億連接,智能互聯,這是一個偉大時代,人們正在擁有史無前例的智趣生活,同時,科技行業也要面對更大的隱私安全保護挑戰。隱私安全保護不僅是一種態度,更是一種能力,是在陽光下生長的信仰,是敬畏用戶、以人為本的科技向善。國家相關法律的陸續出臺也意味著應用市場上的App需要盡快通過專業的檢測機構或者產品全面查驗自身的隱私安全合規問題,避免被下架、審查、停止新用戶注冊等不同程度的經營風險。
很多應用開發者也面臨著自身對隱私安全知識庫不熟悉、采用的第三方SDK難以排查等問題,在短時間內充分“自查”,規避風險,是很難的。作為數據保護領域的領航者,幾維安全隱私檢測牢牢把握新形勢、新任務、新要求,準確性高、覆蓋度廣、易用性強、通過率高,具備私有化部署,建立全方位保障機制。
自開展“移動APP隱私合規檢測服務”以來,幾維安全已幫助眾多APP排查合規風險,其中包括某國內大型互聯網、軍工、金融、服務型APP等。
幾維安全作為專業的隱私安全檢測機構,團隊擁有八余年的信息安全經驗沉淀,是一個有擔當、有情懷、有理想的安全團隊,不斷探索先進技術、創新服務方式,可為各位用戶量體裁衣,提供最合理的移動應用隱私合規托管服務,力求用戶能真正感受到“信息被保護、意愿被尊重、服務有價值”。歡迎監管執法機構和大中型企業對接、洽談合作。
