APP隐私合规系列访谈之安天移动安全篇

首页 / 业界 / 企业 /  正文
作者:laos
来源:安全419
发布于:2022-03-30

本篇是APP隐私合规系列访谈的第三篇文章,这一次我们邀请了长期专注于该领域的移动安全厂商-安天移动安全的资深安全专家,共同围绕当前企业APP隐私合规建设方面存在的问题及如何应对等话题,结合其针对APP隐私合规解决思路以及他们的解决方案进行了深入交流。


关于安天移动安全:

安天移动安全是安天科技集团旗下专注移动用户安全的子公司,安天移动安全自主创新的安全引擎已经成为国民级安全内核,为智能终端的用户生态实现全场景覆盖的移动应用安全治理,对导致用户权益受损的不良行为和黑灰产进行技术响应,并为开发者提供专业安全辅导和配套产品服务。安天移动安全反病毒引擎产品为全球超过20亿移动智能终端设备的使用安全保驾护航,已发展成为全球顶尖移动智能终端设备安全防护厂商。


APP隐私合规问题频发现象背后的三大原因

话题首先来到近期多个部门针对APP存在不合规问题在近三年以来长期保持一个持续高压监管态势,在这一情况之下,为何仍有很多APP依然存在问题,那么从这些APP开发者甚至是技术角度看,他们做不好的原因或者是痛点究竟在哪里?

针对这一问题,安天移动安全自身安全专家周易从整体环境的角度分析了当前这一问题产生的原因,主要来自于三个层面:

1、蓬勃发展的互联网以及数字经济的推动下,涌现出数目庞大的新开发者和研发团队,他们带来了众多的新产品、新服务,并通过APP的方式体现。

2、企业对于APP合规等方面做得还很不够完善,头部企业虽然很重视,但其拥有的APP很多,呈现出碎片化特征,整体的安全协调成本就很高(如需要自上而下层层下达,中间某个环节如果出了问题就会导致最终结果并不能满足要求),这体现出一种研发管理上的问题;中小企业则如果总是出现整改不彻底的现象,相信和其自身的技术能力有一定的关系。

3、部分APP开发者或管理者对相关法律法规的理解不够透彻,有极少的一部分甚至是在APP被检查并通报问题后,选择主动放弃并研发另一个新的APP去博一个几率以逃避监管。

通过上述内容可以看出,在数字经济高速发展这一客观因素之下,加之APP运营者重视程度不够及开发者对政策法规认知不足等人为因素叠加之下,形成了APP隐私保护违规问题频发的部分重要原因。

这里我们再回顾此前采访的另一家厂商所给出的三方面原因——监管通报的标准要求越来越多,众多不同的监管要求,让App个人隐私合规的工作变得十分复杂;相关人员对监管政策理解的不到位,在某种程度上也加大了开展合规工作的困难;随着监管政策的不断深化,靠纯人工的方式依赖肉眼看隐私条款已无法满足合规要求。

在这里我们将两者结合,当前APP隐私合规问题频发背后的多重原因可以说已经基本完整的呈现在面前。

内外兼顾 做好APP隐私合规需双管齐下

当分析完问题产生的原因,接下来就是如何去解决,在这里安天移动安全也给出了自己总结出的一些建议,主要是以下三个方面:

1、企业需要建立合规意识,尤其是管理者及研发团队,时刻保持对国家相关政策法律法规的动态跟进,并对包括工信部等部门对于APP管控的情况去积极了解。

2、意识建立后,就要加强合规建设,并且需要自上而下,必要情况下甚至做到全员参与。例如开发者在设计产品时可以参考以下5原则:合法正当+必要诚信原则;目的明确+影响最小原则;公开透明原则;准确性+完整性原则;安全保障原则;

3、如自身能力不足,可以考虑引入第三方专业的合规咨询平台,在这一类型的平台上可以做到对整个国家政策的动态信息进行全面了解,也包括对一些重要信息的解读,配合平台提供的专业隐私合规检测工具,就可以做到去满足合规要求。

周易表示,要想把问题解决好,也取决于企业管理者看待APP合规这件事情的态度,如果从长期价值来看,内、外部双管齐下所能带来的结果将不仅仅只是可以满足合规,还能够满足未来产品、应用长期发展迭代的运营要求,会有一个长线效应。而对于解决问题的态度,一定不能是得过且过,仅关注眼下,需要注重应用迭代和产品未来长期发展的合规需求。

就此安天移动安全的整体建议可以总结为两句话——内部需要建立合规意识并加强合规建设,外部可以借助第三方专业力量去弥补一些自身建设上的不足和缺失,并通过专业的工具实现最终的合规目的。

知行合一 安天移动安全的解题思路

在沟通过程中我们得知,安天移动安全的“弈合规”移动互联网法规研究平台于当月(2022年3月)正式上线。


据观察,这款产品的功能主要包括以下几点:

1、监管政策、市场及行业资讯的实时更新。这一功能可让用户及时的了解国内监管政策的动态和变化,有利于及时应对。

2、对相关法律法规以及开发者常见问题的深度解读。通过合规专家的专业解读,有利于开发者或相关企业对包括APP隐私合规在内的法律法规进行深入了解。值得一提的是,通过大量真实的案例引入,并辅以分析和拆解,可以更有效的帮助开发者快速且准确的理解法规,避免出现认知偏差,导致在实际工作过程中出现相关问题。与此同时,该平台还会针对开发者的一些常见问题,定期分享与之相关的解决方案和处置建议。



3、通过对违规案例的整理,让开发者感同身受的去审视问题。据介绍,弈合规平台所提供的问题诊断室功能,展示了大量安天移动安全所收集、整理的各类开发者的违规问题,并由专家对问题进行诊断,以帮助开发者有针对性地提升产品的抗风险性和反脆弱能力,在发现问题时能够第一时间完成整改。


除了上述内容之外,该平台还会通过定期的周报、月报以及年报的形式,对开发者、行业出现的违规行为进行汇总分析,以供开发者及时了解相关信息并用作自身合规工作上的参考。

看到这里,大家可以发现这款产品更多的其实是政策内容上的支持,而在具体到产品、应用的风险发现、检测方面,安天移动安全其实也有一款利器——“安鉴”风险应用检测预警平台。


“安鉴”从行为规范、隐私规范、第三方组件安全、用户权益保护等多维度针对应用安装包(APK文件)进行全方位安全检测,并在线生成分析报告。此外,还会为有问题的风险应用提供线上分析报告服务(该项服务目前为免费)。

在实际应用方面,安鉴提供了以下几个核心功能:

1、风险应用检测。开发者只需要在安鉴平台上传应用的安装包(APK)就可以对该款应用进行风险检测及分析。如检测结果中包含有风险提示,那么在相关的分析报告中会有详细的风险描述和证据。


2、应用申诉。在检测出风险之后,开发者可以针对其进行整改,并通过应用申诉的方式提交整改后的APK再次进行检测。



3、开发者风险分析。这是安鉴所拥有的一个很有价值的功能,用户可以在安鉴客户端中上传APK包,通过安全运营平台和威胁情报平台进行分析后,会在线生成开发者风险分析报告,在该报告中可以查看开发者风险评分、历史开发应用、情报参考等信息,对于了解和发现该应用背后的一些潜在风险有着很好的参考作用。

通过上述产品的描述我们可以看出,在安天移动安全所给出的APP隐私合规解决方案中,弈合规移动互联网法规研究平台更偏重于“知”,而安鉴风险应用检测预警平台则更偏重于“行”。

认知决定方向 仅靠检测风险无法从根本上解决问题

在与周易的对话过程中,他提到了一个词——“安全普惠”,这引起了我们的兴趣。

在国家强监管的背景下,APP合规市场也涌进不少玩家,在这样的市场环境中,竞争不可避免,而在周易看来,对APP合规这件事的态度决定了包括他们在内的参与者在发展方向上的一些不同。

“方向是由对这一事情的认知所决定的,在我们看来,做好APP隐私合规绝不仅仅只是一个简单的检测就能完成的。”他告诉我们,“对于隐私保护,无论是用户还是国家都非常关心,在做好检测的基础之上,通过配套的包括政策、案例的相关解读,以一种更全面的视角去帮助开发者从根本上去解决问题,这才是最优解。”

“我们希望同开发者形成一个朋友关系,而不是简单的甲乙方关系。”

到这里,我们也不难看出安天移动安全在设计产品、平台之初并直到最终形成有效解决方案这一过程中的整体思路。根据目前的情况看,这一理念也得到了广泛的认同,这一点根据其官方提供的数据就可以看出一二——“安鉴”风险应用检测预警平台目前持续检测的应用数量已超过240万个,查出涉及违规的APP数量超过20万个。

作为有着12年专注于移动安全领域经验的他们,其“弈合规”+“安鉴”的解决方案实现了从表象到本质的全面覆盖,这一理念在业内有着较强的代表性,对于终端用户而言,其作用和价值不言而喻。