“零信任”的App合规技术能力(DPO社群成员观点)
2021年上半年网信办、工信部等部门总共发布了近10批次关于侵害用户权益App名单的通报。App合法合规收集个人信息成为了前提条件,但是,随着低代码概念的兴起,App的研发越来越趋向于结构化、模块化、低耦合化。现在App的研发工作更像是搭积木,使用现成的SDK、开源框架、开源代码,像搭积木一样搭出一个App。不难看出,App中的很多代码并不是自己研发的了,而是由无数第三方形成单一业务功能模块,自己将这些模块整合起来实现自己的业务功能。通过模块整合方式开发的App带来的最大问题就是无法控制各个模块对个人信息收集的行为。
SDK对App主体来说就是相对独立的,SDK的接口一旦初始化后,理论上App主体就无法控制它了,SDK能够通过多线程等技术方式在后台持续运行,从而给App主体带来很大的合规性风险。App开发者可以通过以下三个方面来提高自己的合规技术能力。
1、对开源框架、开源代码进行代码审查
代码审查属于静态检测技术的一种,合规性代码审查不必使用专业的代码审查工具,只需拥有对应模块的完整源代码,使用普通的文本检索工具,对所有源代码进行文本检索即可。
这项代码审查工作的关键在于检索关键词的丰富性。检索关键词包括:getDeviceId、getSimSerialNumber、getMacAddress、getLongitude、getLatitude等与个人信息相关的API,通过关键词检索的方式检测出开源框架、开源源代码中是否可能存在获取个人信息的代码。如果检测到源代码中包含这些关键词信息,还需要对包含代码进行业务流程的梳理,查看这段代码是否被真正运行,而非不运行的测试代码、临时代码或冗余代码,最后再根据实际的业务场景确定这个个人信息的收集是否为违法违规行为。
通过静态代码合规性审查的方式,在App开发过程中集成开源框架、开源代码之前,判断出待集成的开源框架、开源代码是否存在合规性风险,从而达到,让App合规的目的。
2、对SDK进行黑盒安全性行为检测
上面一种方法是能够对有源代码的模块进行审查,对于没有源代码的模块,比如SDK,代码审查技术就难以施展了。
SDK一般来说是已封装完成的开发工具包,它能通过API的形式给App主体提供相应的功能(比如导航等)。SDK能够给App研发工作带来很大的便利性,以Android为例,现在比较成熟和知名的SDK包括推送、导航、数据统计分析等。
SDK是没有源代码的,所以无法采用代码审查的方式进行合规性审查。目前最好的合规性审查的方式是将SDK打包为App,通过动态行为检测的技术对已完成打包的App进行检测,间接达到SDK检测的目的。这个App的壳需要完成对SDK所有API的调用,通过遍历所有的API触发SDK中所有的行为,让动态行为检测系统能够最大化的发现SDK的行为并记录下来,为进行合规性判定提供技术支撑。
通过动态行为检测技术完成对SDK的检测,研判出SDK的合规安全性,App在集成SDK功能的时候进行判定,不要集成有风险的SDK,让App自身的合规性问题得到提升。
3、采用动态行为拦截技术
动态行为拦截技术是目前已知的最能够解决App合规性问题的一种技术。它能实现,运行时对App中未知权限使用的拦截和App中未知个人信息收集行为的拦截,拦截率为100%。前两项技术主要是通过技术审查的方式,完成App收集个人信息的合规性提升,此项技术的最大特点是通过拦截的方式完成合规性能力提升。
应用了动态行为拦截技术以后,对开源模块和SDK的集成之前,无须进行繁琐的代码审查和检测,通过在触发业务场景之前进行动态的策略配置,实现在业务场景过程中收集个人信息行为的可控。比如:购物下单业务场景中,按照最小必要的原则,只需要收集手机号、收货人姓名、收货地址,从技术层面,为了方便用户输入地址信息,可以采用获取GPS信息来帮助用户填写地址,此场景就需要用到1次GPS定位功能。我们可以在购物下单业务场景进入时,采用配置策略的方式,实现业务场景只能获取1次GPS信息,这个业务场景下,无论是SDK还是其他代码,均不能实现对其他个人信息的获取(如IMEI等),从而实现了单一业务场景只获取对应的最小个人信息的目的,达到对个人信息合法合规的收集。
最后,App合规技术能力主要体现为,集成之前的事前审查和运行时刻的动态行为拦截。事前审查除了技术需要完善以外,还需要配合管理制度才能很好地发挥审查的作用。运行时刻的动态行为拦截技术,更能够从业务场景的角度来规划个人信息的收集,更有效和可控的掌握个人信息收集的时机、频率,能够让App合理合法的收集个人信息。
域外数据安全和个人信息保护领域的权威文件,DPO社群的全文翻译:
DPO线下沙龙的实录见:
自动驾驶系列文章:
数据安全法系列文章:
个人数据与域外国家安全审查系列文章
围绕着TIKTOK和WECHAT的总统令,本公号发表了以下文章:
第29条工作组/EDPB关于GDPR的指导意见的翻译:
关于美国出口管制制度,本公号发表过系列文章:
供应链安全文章:
数据跨境流动政策、法律、实践的系列文章:
传染病疫情防控与个人信息保护系列文章
关于欧盟技术主权相关举措的翻译和分析:
关于数据与竞争政策的翻译和分析:
数据安全法系列文件:
中国个人信息保护立法系列文章:
健康医疗大数据系列文章:
网联汽车数据的系列文章:
人工智能安全和监管的系列文章:
关于中美与国家安全相关的审查机制的系列文章:
美国电信行业涉及外国参与的安全审查(一):基本制度介绍
美国电信行业涉及外国参与的安全审查(二):国际性的第214节授权
美国电信行业涉及外国参与的安全审查(三):建立外国参与安全审查的行政令
美国电信行业涉及外国参与的安全审查(四):FCC对中国企业的陈述理由令
网络空间的国际法适用问题系列文章:
赴美上市网络、数据安全风险系列文章如下:
人脸识别系列文章: