個人信息安全保護
——鑫盾云App個人信息安全合規性檢測
自2019年1月發布《關于開展App違法違規收集使用個人信息專項治理的公告》以來,中央網信辦、工業和信息化部、公安部、市場監管總局四部門對App個人信息安全規范開展了一系列專治行動;隨著邁入2020年,四部委進一步完善相關政策規范并加強對違規App產品及App企業整治措施。5月15日工信部通報了第一批侵害用戶權益行為的16款應用軟件名單,包括當當、租租車、WiFi管家等App;7月3日,工信部通報了第二批侵害用戶權益行為的App名單,主要包括智慧樹、納米盒、悟飯游戲廳等15款App,距離第一批通報的時間不到兩個月;7月24日,工信部再次公布了第三批關于侵害用戶權益行為的APP通報,通報的未整改APP共58款,不乏一些知名上市公司,并首次出現金融類APP,涉及銀行、基金、小貸公司、互金機構等。
央視315晚會對違規APP報道
同月,7月16日央視3·15晚會曝光了54款App中SDK插件涉嫌違規收集用戶個人信息情況,7月17日,工信部發出通知表示,將嚴厲查處3·15晚會曝光的信息通信領域違規收集個人信息行為,7月20日調查發現曝光的此類App已被執行了下架處罰或整改更新。國家短期如此高頻曝光違法違規App事件及嚴厲的整治措施,可見,針對App個人信息安全治理已然成為國家當前重點關注的熱點風口,并將是未來很長一段時間持續整治和規范的重點工作。
App違法違規收集、使用個人信息,導致個人信息泄露,不僅給用戶人身財產造成損失,也對企業商譽造成影響,甚至對國家信息安全造成嚴重的威脅。自2017年6月《網絡安全法》實施以來,相關部門也陸續推出GB/T 34975—2017《移動智能終端應用技術軟件安全技術要求和測試評價方法》、GB/T 34978—2017《信息安全技術移動智能終端個人信息保護技術要求》、GB/T 35273-2020《信息安全技術個人信息安全規范》、《App違法違規收集使用個人信息行為認定方法》等法律規范,并在全國各地開展一系列個人信息安全規范專項檢查整治工作。
APP個人信息安全依法保護
移動互聯網行業中,許多App運營商因未落實好個人信息安全和隱私保護義務被“約談”或受處罰,但絕大多數App企業對App存在的違規行為并不自知,導致這一現象主要原因是App企業內部缺乏對個人信息安全開發的重視,開發人員缺乏個人信息安全法律法規意識,包括對引用第三方SDK存在的威脅缺乏了解;同時,企業缺乏專業有效的App個人信息安全規范檢測手段等。如何應對App個人信息專項檢查和提升個人信息安全開發能力與合規性,成為了許多企業和APP產品面臨的難題。
成都立鑫新技術科技有限公司(以下簡稱立鑫科技)專注于信息安全領域產品研發、生產、銷售的高新技術企業,擁有十七年信息安全領域技術積累;自2014年以來一直專注移動互聯網信息安全領域技術研究,在移動信息安全領域具有成熟的產品體系架構及技術服務流程,一直以來致力為政府部門和監管單位提供產品和技術服務。
鑫盾云APP安全檢測體系架構
鑫盾云移動互聯網應用(App)安全檢測與響應平臺,7×24小時持續自動化運行,截止2020年,已累計收集約800萬樣本,億級規模以上的樣本行為分析數據;平臺核心分析模塊是采用硬件級沙箱仿真設備,通過矩陣式集群部署,實現App智能檢測、腳本式自動化仿真引擎分析、全網應用商店及重點App巡查、App網絡(跨境)通訊事件監測、動態行為數據分析、以及App信息安全評估及自動生成檢測報告等業務功能。
App云監測和大數據分析
App應用7×24小時持續巡查和統計
App行為仿真分析和風險預警
App信息安全分析和威脅預測
App網絡跨境傳輸實時監測和預警
App多維數據模型統計和輿情分析
App應用商店巡查和風險分析
應用商店對象庫
應用商店備案信息管理
應用商店App數量、活躍度統計
應用商店安全風險分析
App個人信息安全符合性檢測和評估
App個人信息安全檢測業務以《網絡安全法》、GB/T 35273-2020《信息安全技術個人信息安全規范》、《APP違法違規收集使用個人信息認定辦法》、《移動智能終端應用軟件預置和分發管理暫行規定》等法律規范為檢測依據,提供約100項App個人信息安全檢測項。
App信息檢測:如開發者信息、基本信息、屬性信息等
App應用類別、業務功能、隱私政策、用戶協議、權限聲明、行為事件等技術驗證
App信息安全規范符合性檢驗記錄和引用依據
App檢測數據分析及安全評估
App應用信息安全檢測和評估
App惡意代碼特征檢測
App惡意行為事件檢測和溯源取證
App網絡安全風險分析
App引用第三方SDK異常事件分析
App信息安全檢測報告及整改建議報告
主報告:App信息安全檢測報告
附件1:App基本信息及屬性檢測記錄
附件2:App個人信息符合性檢測記錄
附件3:App應用信息安全檢測記錄
同時,立鑫科技可為App企業提供關于APP涉及個人信息規范的合規性技術開發指導培訓,協助企業用戶全方位完善APP個人信息安全規范符合性開發設計,讓App產品符合國家相關政策規范和標準。
技術優勢
服務對象
2019年11月,全國開展App侵犯用戶權益專項治理行動,重點整治四方面8大類突出問題行動中,成都立鑫為四川省通管局開展省內App四方面8大類突出問題專項治理行動提供App個人信息安全檢測技術支撐,包括App個人信息安全檢測報告輸出,App企業現場約談技術服務支撐,App整改復測服務支撐工作。
一直以來,立鑫科技持續向App信息安全相關監管部門報送重點App信息安全檢測月度報告,并在日常監管工作中,提供重點App信息安全檢測服務和調查取證的支撐工作。