APP隐私合规系列选题访谈之娜迦信息篇

首页 / 业界 / 企业 /  正文
作者:藏青
来源:安全419
发布于:2022-03-21
在上一篇APP隐私合规系列选题访谈文章以及选题预告中,我们曾对该系列选题的背景进行了阐述,在此不再反复赘述。本篇是APP隐私合规系列选题访谈的第二篇文章,这一次我们邀请了来自业内另外一家知名移动安全厂商-娜迦信息的两位产品和解决方案专家,分别围绕当前企业APP隐私合规建设方面存在的痛点,娜迦信息自身的隐私合规解决思路,以及对整个细分领域未来发展分享了自身的看法和经验。
 

关于娜迦信息:
 
北京娜迦信息科技发展有限公司(以下简称娜迦信息)成立于2014年,总部位于北京,娜迦专注于移动应用安全,主要产品与服务包括APP个人隐私合规检测、APP安全检测、APP安全加固、APP仿冒应用监测、APP威胁态势感知、APP业务反欺诈等。为金融银行、证券、保险、运营商、能源(电力、石油)、制造业、医疗、教育、政企、政务、互联网公司等提供一站式移动应用APP安全解决方案,除各行业的解决方案外,还提供APP等保解决方案、APP隐私合规解决方案、APP合规备案解决方案等。
 
娜迦团队在软件保护技术与自动化检测技术上有其独特优势,包括华为、平安集团、泰康保险,华润集团,恒大,顺丰等多个世界五百强公司均是其代表客户。
 
 

隐私合规进入强监管时代 APP运营者主动合规是大势所趋
 
娜迦信息安全合规部负责人李羿震告诉我们,随着《个人信息保护法》的出台、用户权益专项整治行动的推进,我国个人信息保护逐步进入强监管时代。移动APP作为个人信息处理的重要载体,已成为监管重点。
 
在他看来,之所以当前还有一些APP存在隐私不合规的问题,部分原因在于监管单位是通过抽检形式检查,因此很多企业因为种种原因并没有被抽检到,这给企业方带来了一定的侥幸心理,因为企业要开展隐私合规整改工作的话,势必会对业务功能实现层面带来一定影响,所以仍然有一批企业对APP合规保持观望态度。
 
李羿震表示,随着APP侵害用户权益专项整治行动的持续推进,如缺乏隐私政策、无同意弹窗等形式合规问题已得到改善,监管重点也开始由形式合规转变为实质合规。
 
所谓实质合规是指,监管单位针对违规收集隐私信息的监管重点正在不断地深化。据他介绍,最早的监管重点会侧重在隐私文本的合规方面,也就是去看法务部门编写的隐私声明是不是合规,有没有按照相关的条例去声明,然后结合企业的业务实现,还有隐私获取情况是否符合声明的场景来判断。
 
但是现在监管的重点方向已经转向了APP的业务功能层面,比如说在实现某个功能的情况下,是否有违规获取权限、是否有违规采集用户数据,以及引入的第三方SDK是否有违规收集个人信息的情况等等。众所周知移动应用的一些业务可能会依赖于第三方程序SDK,但第三方SDK通常都有独立的架构。所以一旦引入第三方SDK,那么APP本身的安全以及隐私合规条款可能都会发生改变。从今年工信部在2022年首批《关于侵害用户权益行为的APP通报》名单中对13款第三方SDK违规的事情上也能看到,监管要求已经升级,实质合规已逐渐成为隐私合规的必然要求。APP运营者只有主动合规、实质合规,才能满足日益严格的监管要求。

 
通报13款第三方SDK违规问题 释放出了更强烈的监管信号
 
娜迦信息产品服务部总监傅薪烨也表示,“看到通报名单里体现了13款SDK的明确问题,这是一件让我们感到欣慰的事情。”
 
他介绍,早在2020年7月,央视播出的“3·15”晚会就曾报道过SDK存在的隐私问题。此后工信部发文要求严查涉事SDK企业。2021年10月,工信部曾通报国3块SDK,称检测发现字节跳动“穿山甲”SDK、腾讯“优量汇”SDK、快手广告SDK问题较多,但当时没有提及违规SDK存在的具体问题。而今年的首批通报则详细列明了13款SDK违规收集个人信息的具体问题,足可见APP隐私合规整治的力度进一步的加强。
 
傅薪烨进一步谈到,在个人隐私合规方面,如“隐私同意前获取”、“超范围获取”等行为往往并非是APP本身在违规收集,反而很多权限都是第三方SDK在不断地调取,对于企业和APP运营者来说,也常常因为无法修改SDK本身的设定而感到头疼。
 
首先部分SDK本身是免费的、开源的,开源开发者们不会因为某个企业的合规需求去做调整,再有SDK行为是否合规也需是结合业务场景来做判断;其次,一些收费的SDK往往也不只是服务于某一个或某几个应用,他们背后往往都有大量的用户,因此想要求这部分SDK开发者去修改也是非常困难的。
 
“工信部通报13款第三方SDK违规问题也释放出了一个信号,那就是监管机构也看到了当下企业用户的诉求和痛点,相信在被通报后,很多SDK开发者会自发的去改掉自身不合规的问题点,站在企业用户的角度上也为此感到欣慰。在我们看来这也是一种警示,说明监管方正在监管供应链的安全问题。”
 
不掌握自身资产的情况 也是企业运营者的通病
 
安全419编辑部发现,在工信部通报的APP名单中,往往不乏被大众熟知的“国民级”应用,但这些应用却并未在隐私合规方面给予用户安全感。
 
在李羿震看来,很多互联网企业在隐私合规建设方面往往会存在一些“通病”,互联网企业的用户量级是非常大的,业务的快速发展会让他们旗下的APP版本也迅速迭代,一旦APP隐私合规检测没有更是业务功能更新的频次,就可能导致出现侵害用户权益的风险。“很多企业现在都已经有了自己的安全部门,旗下应用在上线新的功能时都会经过严格的安全检测,但在隐私合规方面大家仍然比较薄弱,一些问题和风险往往都是暴露在功能上线之后。”
 
傅薪烨补充道,当前大多数企业在做隐私合规检测时仍然较为依赖纯人工的检测方式,也普遍存在对自身资产情况掌握不清的情况。比如在企业级应用中核心功能和业务可能是企业自己的研发团队自主开发出来的,但是一些辅助性的功能或许是交由第三方的服务厂商外包协作完成的,这就会导致企业不了解旗下APP具体集成了哪些SDK、调取了哪些用户权限等等情况。
 
再有,各个研发部门之间也是相对独立的,可能只有隐私文本是由公司法务部门统一编写的,但APP中的各项实际功能和业务,可能就会因为研发人员安全意识的薄弱,为企业引入合规风险。
 
娜迦信息隐私合规解决方案如何解决用户隐私合规需求?
 
傅薪烨表示,企业用户在隐私合规解决方案的选择方面,往往会考虑这样几个维度:其一是厂商的解决方案能够检测的深度;其二是是否能够响应短期内的合规需求;其三是厂商相关产品和解决方案在整体技术方面的先进性。
 
他介绍,娜迦信息的APP隐私合规解决方案主要以自动化+人工辅助检测的形式开展。其中自动化主要是针对通用性的监管点进行检测,对比如用户拒绝授权后仍然继续获取用户权限、未经用户同意前获取隐私权限等方面的要求进行检测,目前娜迦信息自动化检测产品已经能够对监管侧进行较好的支撑,人工辅助检测则更多的是结合当前业内如自认定评估指南等监管要求,结合用户所在行业的具体要求来展开。
 
他表示,娜迦信息的APP隐私合规解决方案会更加侧重于人工检测服务,因为自动化检测产品通常只能帮助用户解决合格线的问题,而娜迦信息更想将自身在行业中多年的能力积累和经验以服务的方式交付给用户,动态的监测监管政策变化,真正帮助用户解决实质性的合规问题。

 
娜迦信息案例分享:以某金融行业客户为例
 
2019年,某南方金融机构因官方APP违规收集用户信息遭到监管单位的通报。被通报后,该机构基于自身的隐私合规需求迅速组建了相关团队,计划自建隐私合规管理平台。但由于自身在隐私合规建设经验方面比较欠缺和薄弱。在后面开发过程中该团队发现,在实现自身的业务功能的基础上,如果想要满足大量的合规监管的条文,同时还不影响业务进程的话,需要投入大量的研发成本、人力成本和时间成本。
 
因此,该金融机构经过对多家安全厂商、企业服务类厂商的比较后,最终从竞标企业中选择了在APP隐私合规领域经验丰富的娜迦信息作为合作伙伴。
 
娜迦信息对该金融客户被通报内容进行梳理后发现,该客户主要被通报问题为隐私声明没有准确说明SDK清单以及详细的权限调用情况,确实存在违规收集用户信息事实,但该客户对内部集成的相关SDK情况掌握模糊。该客户自述旗下集成了近20个SDK,但专家通过技术手段检测发现了SDK约30+个。
 
针对客户尽快完整整改的实际需求,娜迦信息一方面利用自动化工具帮助用户进一步梳理和发现相关资产情况,另一方面通过专家服务形式动态分析当前存在的违规风险项,并从整体隐私声明法律文本的视角给出了修改建议,帮助用户在限期内完成了整改要求。
 
在完成该金融客户的短期目标后,该金融客户与娜迦信息达成了进一步合作意向,计划基于双方在APP隐私合规监管要求和体系化建设方面的共同理解与认知,定制化开发隐私合规检测平台,与该金融客户的APP进行深度的捆绑,以进一步做好日常风险发现工作。
 
基于客户需求,娜迦信息采用了新型隐私检测技术匹配用户的隐私合规检测场景,可深层分析各业务模块,例如同意隐私政策前和同意隐私政策后的业务场景。清晰直观地在隐私合规检测平台中展示出了当前APP使用的权限情况,以及在执行具体功能时有多少次触发、调用了几次权限、在什么时间段获取了哪些数据等等信息。
 
在该平台成功上线后,该金融客户利用该平台功能,多次开展APP合规自检测工作,让研发人员的隐私合规意识也得以提升,旗下的多个重要APP至今未曾再次出现合规风险。