一、为什么要进行App隐私合规检测
2021年11月1日《个人信息保护法》正式生效;今年6月14日,国家互联网信息办公室公布《移动互联网应用程序信息服务管理规定》,这是针对App的最强监管新规,于8月1日起正式实施。新规要求应用程序提供者和应用程序分发平台应当履行信息内容管理主体责任,建立健全信息内容安全管理、信息内容生态治理、数据安全、个人信息保护、未成年人保护等管理制度。
工信部信息通信管理局副局长鲁春丛去年曾在中消协第五届理事会第七次会议上表示,针对消费者投诉热点,工信部将继续加强App体系化治理: “弹窗信息标识近于无形、关闭按钮小如蝼蚁、页面伪装瞒天过海、诱导点击暗度陈仓……工业和信息化部针对网友提出的弹窗信息不胜其烦等问题进行了集中整治。”
8月-10月上海相关部门将聚焦于在国内单一应用市场内下载量/安装量达500万次以上的App应用进行集中严格检查。
二、EMAS App隐私合规检测
EMAS App隐私合规检测可解决App应用关于隐私合规的问题,防止被下架。
App隐私合规检测提供了全面的隐私合规检测报告和专家建议,从确保形式合规(隐私政策文本合规性)及实质合规(代码层合规性)的一致性,从个人信息收集、权限使用场景、超范围采集、隐私政策、三方SDK等多个维度帮助企业和开发者提前识别App隐私合规相关风险,规避监管通报、应用下架等重大风险。
三、EMAS App隐私合规检测什么?
依据工信部164号文《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》等规范要求,对App进行隐私合规评估服务,并出具合规报告。
- 隐私政策协议合规分析
- 代码权限检测
- 个人信息采集项检测
- 三方SDK检测
- 风险项及整改建议
四、产品技术介绍
形式合规:从重知识重人力转为自动检测
监管检查的一大重点是隐私政策协议文本是否按照要求进行了声明。传统的隐私政策由法务编写、检查,对法务专业知识要求较高,并且需专人跟踪监管动态和相关规章,对开发者来说投入比较大。
EMAS形式合规检测基于现行法律法规、标准、部门规章和监管动态等,总结了若干检测点。同时。基于小样本学习、信息抽取、文本分类等AI技术,可对隐私协议文本进行细粒度解析,能精准定位到包括不限于隐私数据采集、存储、第三方SDK使用等描述性信息。
在此基础上,依托于自建的合规知识图谱+智能合规分析引擎,自动化、标准化产出形式合规监测点的检测结果,最大限度地降低人力和时间成本。
实质合规:黑盒App的代码检测
合规检测的另一个问题是,我们如何判断实际运行的采集行为与隐私政策声明一致。EMAS合规检测产品服务底层集成的隐私合规检测引擎基于控制流、数据流、污点分析、动态沙箱等动静态分析技术,深度融合隐私专家经验,提供了准确的代码层实质合规检测能力。
实质合规关注敏感权限调用、数据采集、数据传输、数据存储等APP实际数据使用行为,通过静态分析和动态分析两种分析引擎,基于抽象语法树、控制流图、数据流图,刻画App代码控制链路和数据流转链路,结合真机预览及模拟点击的动态分析结果,产出具体的实质合规检测点检测结果,包括敏感数据泄露、超范围采集、弹窗打扰等。相关隐私政策点击:EMAS隐私权政策,该隐私政策适用于移动推送/HTTPDNS/移动热修复/远程日志/崩溃分析/性能分析/移动用户反馈等EMAS全平台产品。
五、EMAS App隐私合规检测流程
- 上传未加固的APK安装包
- 下载检测报告
- 根据检测报告里的报错和建议修改,再次检测,修改完善。
六、产品功能优势
本文为阿里云原创内容,未经允许不得转载