簡介: App隱私合規檢測提供了全面的隱私合規檢測報告和專家建議,從確保形式合規(隱私政策文本合規性)及實質合規(代碼層合規性)的一致性,從個人信息收集、權限使用場景、超範圍採集、隱私政策、三方SDK等多個維度幫助企業和開發者提前識別App隱私合規相關風險,規避監管通報、應用下架等重大風險。
一、爲什麼要進行App隱私合規檢測
2021年11月1日《個人信息保護法》正式生效;今年6月14日,國家互聯網信息辦公室公佈《移動互聯網應用程序信息服務管理規定》,這是針對App的最強監管新規,於8月1日起正式實施。新規要求應用程序提供者和應用程序分發平臺應當履行信息內容管理主體責任,建立健全信息內容安全管理、信息內容生態治理、數據安全、個人信息保護、未成年人保護等管理制度。
工信部信息通信管理局副局長魯春叢去年曾在中消協第五屆理事會第七次會議上表示,針對消費者投訴熱點,工信部將繼續加強App體系化治理: “彈窗信息標識近於無形、關閉按鈕小如螻蟻、頁面僞裝瞞天過海、誘導點擊暗度陳倉……工業和信息化部針對網友提出的彈窗信息不勝其煩等問題進行了集中整治。”
8月-10月上海相關部門將聚焦於在國內單一應用市場內下載量/安裝量達500萬次以上的App應用進行集中嚴格檢查。
二、EMAS App隱私合規檢測
EMAS App隱私合規檢測可解決App應用關於隱私合規的問題,防止被下架。
App隱私合規檢測提供了全面的隱私合規檢測報告和專家建議,從確保形式合規(隱私政策文本合規性)及實質合規(代碼層合規性)的一致性,從個人信息收集、權限使用場景、超範圍採集、隱私政策、三方SDK等多個維度幫助企業和開發者提前識別App隱私合規相關風險,規避監管通報、應用下架等重大風險。
三、EMAS App隱私合規檢測什麼?
依據工信部164號文《工業和信息化部關於開展縱深推進APP侵害用戶權益專項整治行動的通知》等規範要求,對App進行隱私合規評估服務,並出具合規報告。
- 隱私政策協議合規分析
- 代碼權限檢測
- 個人信息採集項檢測
- 三方SDK檢測
- 風險項及整改建議
四、產品技術介紹
形式合規:從重知識重人力轉爲自動檢測
監管檢查的一大重點是隱私政策協議文本是否按照要求進行了聲明。傳統的隱私政策由法務編寫、檢查,對法務專業知識要求較高,並且需專人跟蹤監管動態和相關規章,對開發者來說投入比較大。
EMAS形式合規檢測基於現行法律法規、標準、部門規章和監管動態等,總結了若干檢測點。同時。基於小樣本學習、信息抽取、文本分類等AI技術,可對隱私協議文本進行細粒度解析,能精準定位到包括不限於隱私數據採集、存儲、第三方SDK使用等描述性信息。
在此基礎上,依託於自建的合規知識圖譜+智能合規分析引擎,自動化、標準化產出形式合規監測點的檢測結果,最大限度地降低人力和時間成本。
實質合規:黑盒App的代碼檢測
合規檢測的另一個問題是,我們如何判斷實際運行的採集行爲與隱私政策聲明一致。EMAS合規檢測產品服務底層集成的隱私合規檢測引擎基於控制流、數據流、污點分析、動態沙箱等動靜態分析技術,深度融合隱私專家經驗,提供了準確的代碼層實質合規檢測能力。
實質合規關注敏感權限調用、數據採集、數據傳輸、數據存儲等APP實際數據使用行爲,通過靜態分析和動態分析兩種分析引擎,基於抽象語法樹、控制流圖、數據流圖,刻畫App代碼控制鏈路和數據流轉鏈路,結合真機預覽及模擬點擊的動態分析結果,產出具體的實質合規檢測點檢測結果,包括敏感數據泄露、超範圍採集、彈窗打擾等。相關隱私政策點擊:EMAS隱私權政策,該隱私政策適用於移動推送/HTTPDNS/移動熱修復/遠程日誌/崩潰分析/性能分析/移動用戶反饋等EMAS全平臺產品。
五、EMAS App隱私合規檢測流程
- 上傳未加固的APK安裝包
- 下載檢測報告
- 根據檢測報告裏的報錯和建議修改,再次檢測,修改完善。
六、產品功能優勢
原文鏈接:https://click.aliyun.com/m/1000360455/
本文爲阿里雲原創內容,未經允許不得轉載。