安全419编辑部发现,近三年来,工信部不断开展App侵害用户权益专项整治行动,已有数百款App遭到公开点名,甚至被责令下架,但时至今日,仍然有大量的App因未完成整改而遭到工信部通报。
虽然当前App“违规收集个人信息”、“违规使用个人信息”等问题已经成为了较为普遍的现象,但我们有理由相信,随着国家各部门对App收集个人信息违法违规行为治理工作的深化,大多数被通报存在合规问题的企业和App运营者绝非“知法犯法”,而是面对强监管政策无从下手,不知道如何开展自查自纠、整改不彻底等等。
针对一系列现实问题,安全419计划推出App隐私合规解决方案系列选题,以进一步发现行业内的优秀厂商,挖掘真正着眼用户痛点,能够解决用户真实合规需求的App隐私合规解决方案,为广大的用户提供有价值的参考。
作为该系列文章的首篇,安全419邀请了业内最早一批扎根移动安全领域的安全厂商梆梆安全作为代表,结合自身在App隐私合规方面的产品及解决方案,分享自身在App隐私合规方面的解决之道,并带来自身的思考和趋势研判。
关于梆梆安全:
北京梆梆安全科技有限公司(简称"梆梆安全")成立于2010年,是业内主流的移动应用安全厂商。坚守“成为全球安全服务领跑者”愿景,勇担“保护智能生活”使命,始终以客户为中心,通过专业的安全服务为政府、企业、开发者和消费者等客户打造安全稳固可信的网络空间生态环境。以App安全加固起家,发展至今已经围绕App的全生命周期安全管控打造了全系列的安全产品和相应解决方案,建立了全面的移动应用安全防护生态体系。在App加固的维度上,梆梆安全不断拓宽深度,从安卓的App加固到iOS的App加固,再到H5/小程序的安全加固,在安全加固方面积累了丰富的案例和能力。
从App全生命周期安全管控的广度上,梆梆安全的产品与服务已经横向覆盖了App合规检测、App威胁检测、应急处置、安全开发、API安全检测、风险评估、数据合规治理等领域,能够有效解决用户从App开发到运营的全生命周期安全需求。
为何在高压监管政策下,大量App仍然存在隐私合规问题?
梆梆安全——安全服务中心负责人方宁告诉我们,当前隐私合规方面用户主要存在三个方面的痛点:
首先是监管通报的标准要求越来越多,包括工信部、网信办、公安部、市场监督管理总局等部委都在逐渐出台针对App个人隐私合规方面的要求,虽然有一部分内容是重合的,但在细节要求方面还是存在很多差异和针对性的特点。除了监管单位之外,还有一些国家标准、行业监管单位也在推出不同的监管要求,让App个人隐私合规的工作变得十分复杂。
其次,面对众多的标准要求,虽然会有检测项会搭配指导规范,告诉企业应该如何去做自检,但合规工作实际上十分依赖人员的能力,可能同样一份标准解读,在不同的人看来都会有自己的理解,相关人员对监管政策理解的不到位,在某种程度上也加大了开展合规工作的困难。
再有,随着监管政策的不断深化,靠纯人工的方式依赖肉眼看隐私条款的时代已经成为历史了。当前的合规监测工作对技术的依赖程度越来越深,比如在SDK集成方面,非授权的情况下是否存在违规调用获取第三方的隐私权限,非法传输数据等等,这些方面都需要结合技术的手段去深度的检测。
一方面,隐私合规自动化检测的技术存在一定的门槛,并非所有的企业服务类厂商都能够具备;另一方面,工具和技术也需要配合相应的专家团队支持,结合对监管政策要求的理解来输出高质量的合规检测报告,来指导企业推进合规工作的开展。
方宁指出,除了众多的中小企业外,这些痛点也普遍存在大型的互联网头部企业身上。他表示,大型互联网企业虽然都有自己的安全团队,但他们的安全部门更多是解决传统的信息、网络、主机、通信等传统安全层面的问题,但隐私合规当前仍然是一个较为新兴的领域,很多头部的互联网企业在对应的检测工具和合规评估方面投入存在不足,能力也仍然有所欠缺,仍然需要借助专业安全厂商的技术力量和经验来解决合规方面的需求。
“拿梆梆自己来说,梆梆每年服务的客户群体很大,每年在App个人隐私合规方面的客户有近500家,通过跟客户的交流、跟监管单位的交流,储备了在多种场景下App个人隐私合规建设的经验。但企业或许只能接触到自家的App,他们自己的App的功能也有限,当他们的App上了新的功能,涉及到另外一个监管要求时,无论是在经验上、积累上都是欠缺的,这也是大多数厂商当前面临的问题”,方宁谈到。
产品+服务双管齐下 打好隐私合规组合拳
方宁介绍,当前梆梆安全的App隐私合规解决方案主要以服务+产品的形式交付,以服务输出为主,人工配合产品和检测工具来共同完成,根据用户行业安全监管要求,帮助企业在监管部门检查前自查自纠,提前发现问题,确保其符合行业安全合规、个人信息合规要求。在他看来,梆梆安全App隐私合规解决方案的价值和优势更多还是体现在专家的经验积累以及服务的广度层面。
在专家经验方面,梆梆安全扎根移动安全领域多年,在个人隐私合规方面也积累了大量的技术和经验。“梆梆在大量的监管要求还未发布之前就已经在做App个人隐私合规方面的业务了,因此梆梆的专家对各类标准和监管文件的认识是连续性的,有着极为深刻的理解。在一些容易存在争议的地方,以及当前监管尚未明确的灰色地带,梆梆也都形成了自己的专家知识库,能够给到企业用户更深度的经验支持。”
在App个人隐私合规服务的广度上来看,除了基础的合规评估外,梆梆还搭建了从企业的个人信息合规评估的赋能培训,到长效的合规评估,突发事件的应急处置,再到配合应用商店和监管单位开展检测工作等全链条的产品服务,既能满足客户短期监管通报应急处置的需求,又能满足客户长期的这种长效合规评估、个人隐私体系建设,赋能企业自身合规团队能力建设的全面建设需求。
方宁表示,安全服务是当前行业内开展App隐私合规工作的主要方式,纯自动化产品的准确率还无法达到商业化的水平,仍然存在需要突破的技术瓶颈和现实问题。他指出,纯产品、纯自动化的合规评估只在部分面向监管侧或是面向应用商店侧的场景中适用,比如当大批量的应用需要集中检测评估时施行一票否决的原则,只要查出某一项不合规就拒绝上架,而不需要考虑自动化检测是否全面的场景中,是可以完全采用自动化的手段开展的。但对于开发者和企业来说,如果想完全达到合规的要求,看清全盘不合规风险,还是需要依赖于安全服务。
“即使产品中已经具备了强大的检测引擎,也仍然需要根据新出台的监管文件和具体要求来动态升级检测规则,目前只有部分检测项能够做出非此即彼的准确判断,但更多的检测项是自动化代码无法实现的,需要依赖人和专家来结合具体的用户场景,结合过往服务经验做出准确判断。比如一些需要结合行为分析的上下文这种判断的情况,或者说牵扯到一些语义分析的情况,包括隐私政策条款里边是怎么描述的,描述的清晰不清晰?描述用词是否准确?跟你后面调用的功能是不是一致的?单单靠自动化的智能判断的方式,目前还是无法实现的”,方宁补充道。
梆梆如何助力企业更安全的集成第三方SDK?
安全419注意到,在2月份发布的2022年第一批侵害用户权益App通报名单中,工信部将13款第三方SDK纳入其中,公开通报了其中存在的违规问题。随着对个人信息保护治理的推进,监管思路更加清晰,第三方SDK同App一同被纳入监管范围之内,让过去隐藏于“宿主App”之下的SDK能够更容易被检测。
众所周知,集成SDK能够使App开发者的开发工作更加高效,但由于第三方不可控也会导致开发者和企业频频踩雷。作为专业移动安全厂商,梆梆安全在第三方SDK方面如何助力厂商更安全的集成第三方SDK?
方宁表示,在第三方SDK和开源组件方面,梆梆安全会从事前检查、事后评估以及建立动态安全监测机制等维度来着手帮助用户监测风险。在SDK集成前的阶段,梆梆安全会从静态代码分析层面对商业SDK以及开源SDK进行检测,评估其是否存在合规风险。全面排查App隐私权限调用行为,确保App在发布前不存在已知的隐私采集超范围问题。
在SDK集成到App中后,梆梆安全会通过行为分析技术,帮助用户对App中集成的SDK进行检测,并将SDK与App的权限使用、数据通信等行为进行关联,通过深度检测技术,全面评估SDK的隐私合规情况,及时发现在集成后出现的SDK越权及超范围采集用户隐私数据情况。
他指出,很多的SDK有动态加载、动态升级的功能,有可能在集成的时候这些SDK是合规的,但上线运行后,这部分SDK动态下载了一部分代码,或者版本迭代升级,又会造成不合规的情况。因此在这种情况下,梆梆安全还会帮助企业建立安全监测机制,以防范App上线后第三方SDK出现的不合规问题。
App开发者和企业应该如何选择适合自己的解决方案?
谈及企业应该如何选择合适的解决方案的话题,方宁认为,企业除了要实现短期的合规目标外,更重要的是与服务厂商一同建立一个长效的机制。
他谈到,App的开发者应该从开发App业务逻辑的同时,就去考虑安全合规的因素,真正把合规嵌套在App的开发、设计、测试、上线的整个生命周期流程中去,让开发人员、测试人员还有运营人员都具备基本的安全合规意识,共同配合企业建立起个人信息的合规体系,最终来达成一个长效的合规目标,这才是企业所追求的正向结果,同时这也是监管部门和国家层面希望企业能达到的标准。
在这个过程中,企业不可避免的需要依赖于一些安全产品和服务的输出,这种情况下应该根据自身信息化建设的成熟度,预算,以及自己信息安全团队的人员能力配置等等因素来综合考量,虽然所选择的产品和服务会有一定差异,但最终的目标一定都是实现长效的合规体系建设。