大資料時代下的App資料隱私安全
簡介:隨著資訊科技快速發展,大資料為我們帶來資訊共享、便捷生活的同時,還存在著資料安全問題,主流商業模式下APP面臨新的挑戰。工信部持續開展APP侵權整治活動,進行了了六批次集中抽檢,檢查了76萬款APP,通報748款違規APP,下架了245款拒不整改的APP。阿里雲移動研發平臺EMAS高度重視個人資訊的保護,對裝置許可權獲取遵循最小化原則,為使用者構築隱私保護的堅實防線。
App資料安全,主流商業模式下的新挑戰
近年來隨著資訊科技快速發展,大資料時代已經來臨。大資料為我們帶來資訊共享、便捷生活的同時,還存在著資料安全問題。
目前不少公司依託於推送等採集資料工具沉澱使用者原始資料,通過上層資料服務變現,其作為一種商業模式為App業務引入了巨大的資料隱私風險。例如在某推送服務提供的《開發者協議》中,服務商明確要求App開發者《隱私政策》中須告知其App使用者主體同意SDK提供者收集並使用其個人資訊。其中可能包括:
1、裝置資訊,裝置資訊包括:裝置識別符號(IMEI、IDFA、Android ID、MAC、OAID、IMSI等相關資訊)
2、應用資訊(應用崩潰資訊、通知開關狀態、軟體列表等相關資訊)
3、裝置引數及系統資訊(裝置型別、裝置型號、作業系統及硬體相關資訊)
4、網路資訊,網路資訊包括:IP地址,WiFi資訊,基站資訊等相關資訊。
5、地理位置資訊。
個人資訊是現行法律重點保護的資料型別。
此外,目前在手機APP的使用過程中開啟某個APP,能連帶開啟好幾個別的App的情況層出不窮,這種自動操作引發使用者對手機裡資訊被盜取的擔憂,事實上究其原因是App為了保證被使用者繼續使用,就要儘可能多的“刷存在感”,否則久而久之使用者就會棄之不用,甚至解除安裝。如果App開發者選擇了採用聯合喚醒的機制或者其他類似機制來“保活”,這就可能導致大量的服務程序在後臺被喚醒、駐留,從而造成不同應用之間的交叉喚醒、關聯啟動的現象。
基於上述技術規範內容分析,App通過自啟動、關聯啟動等方式喚醒後,如果存在通過許可權等機制收集個人資訊的行為,且並未在隱私政策等規則中明確指出具體的目的的,其收集個人資訊的頻度則涉嫌超出了業務功能實際需要。而在我國的《App違法違規收集使用個人資訊行為認定方法》第四條第3點指出,收集個人資訊的頻度等超出業務功能實際需要,可認定為“違反必要原則,收集與其提供的服務無關的個人資訊”。
資料顯示,近年來工信部持續開展APP侵權整治活動,開展了六批次集中抽檢,檢查了76萬款APP,通報748款違規APP,下架了245款拒不整改的APP。在南方都市報發表於2020年11月27日的文章中
基於上述問題,為了保障App業務的隱私合規安全,阿里雲移動研發平臺EMAS近期上線了隱私合規檢測專項服務,對移動App隱私安全、個人資料收集和使用進行合規分析。服務提供了全面的隱私合規檢測報告和專家建議,從確保形式合規(隱私政策文字合規性)及實質合規(程式碼層合規性)的一致性,從個人資訊收集、許可權使用場景、隱私政策等多個維度幫助企業和開發者提前識別App隱私合規相關風險,規避監管通報、應用下架等重大風險。
形式合規:從重知識重人力轉為自動檢測
監管檢查的一大重點是隱私政策協議文字是否按照要求進行了宣告。傳統的隱私政策由法務編寫、檢查,對法務專業知識要求較高,並且需專人跟蹤監管動態和相關規章,對開發者來說投入比較大。
EMAS形式合規檢測基於現行法律法規、標準、部門規章和監管動態等,總結了若干檢測點。同時。基於小樣本學習、資訊抽取、文字分類等AI技術,可對隱私協議文字進行細粒度解析,能精準定位到包括不限於隱私資料採集、儲存、第三方SDK使用等描述性資訊。
在此基礎上,依託於自建的合規知識圖譜+智慧合規分析引擎,自動化、標準化產出形式合規監測點的檢測結果,最大限度地降低人力和時間成本。
實質合規:黑盒App的程式碼檢測
合規檢測的另一個問題是,我們如何判斷實際執行的採集行為與隱私政策宣告一致。EMAS合規檢測產品服務底層整合的隱私合規檢測引擎基於控制流、資料流、汙點分析、動態沙箱等動靜態分析技術,深度融合隱私專家經驗,提供了準確的程式碼層實質合規檢測能力。
實質合規關注敏感許可權呼叫、資料採集、資料傳輸、資料儲存等APP實際資料使用行為,通過靜態分析和動態分析兩種分析引擎,基於抽象語法樹、控制流圖、資料流圖,刻畫App程式碼控制鏈路和資料流轉鏈路,結合真機預覽及模擬點選的動態分析結果,產出具體的實質合規檢測點檢測結果,包括敏感資料洩露、超範圍採集、彈窗打擾等。
本文為阿里雲原創內容,未經允許不得轉載。