查看原文
其他

3月选题预告:安全419《App安全合规解决方案系列推荐》

藏青 安全419 2022-08-17

//导语

/// 


安全419编辑部发现,近三年来,工信部不断开展App侵害用户权益专项整治行动,已有数百款App遭到公开点名,甚至被责令下架,但时至今日,仍然有大量的APP因未完成整改而遭到工信部通报。


虽然当前App“违规收集个人信息”、“违规使用个人信息”等问题已经成为了较为普遍的现象,但我们有理由相信,随着国家各部门对App收集个人信息违法违规行为治理工作的深化,大多数被通报存在合规问题的企业和App运营者绝非“知法犯法”,而是面对强监管政策无从下手,不知道如何开展自查自纠、整改不彻底等等。


针对这一现实问题,安全419计划推出《App安全合规解决方案系列推荐》选题,以进一步发现行业内的优秀厂商,挖掘真正着眼用户痛点,能够解决用户真实合规需求的App安全合规解决方案,为广大的用户提供有价值的参考。


——安全419编辑部



安全419编辑部关注到,2022年2月18日,工信部发布了2022年首批《关于侵害用户权益行为的App通报名单,检测尚有107款App未完成整改。同时,检测过程中发现,13款内嵌第三方软件开发工具包(SDK)存在违规收集用户设备信息的行为。


这是2021年11月1日《个人信息保护法》实施后,监管部门再度重拳整顿违规App。


我们通过梳理通报名单发现,当前未完成整改的App主要是资讯、视频、直播类软件,包括洋码头、好视通云会议、小米直播、龙珠直播、速8酒店、中公教育、爱卡汽车、婚礼纪等知名APP在列,问题重点集中在“强制用户使用定向推送功能”、“违规收集个人信息”、“超范围收集个人信息等”方面。


值得一提的是,工信部检测过程中发现,13款内嵌第三方软件开发工具包(SDK)存在违规收集用户设备信息的行为。这些内嵌第三方软件开发工具包(SDK)包括:网易七鱼SDK、穿山甲SDK、讯飞语音识别SDK、金立手机SDK、畅思广告SDK、百度定位SDK等。



满足合规监管要求已是时代必答题


2021年3月12日,国家网信办、工信部、公安部、国家市场监管总局四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》,明确39类常见类型App的必要个人信息范围,并要求“App不得因为用户不同意提供非必要个人信息,而拒绝用户使用其基本功能服务”。2021年5月1日,《常见类型移动互联网应用程序必要个人信息范围规定》正式印发,加大对违法违规收集使用个人信息行为的调查处理力度。


我国个人信息保护法于2021年11月1日起施行,其中,对于个人信息的收集、使用、保存等提出了明确的规定,进一步彰显了党和国家在保障个人信息方面的态度和决心。实践中,App已成为侵犯公民个人信息的“重灾区”,近年来,国家相关部门也在不断加大针对侵犯个人信息行为的惩治力度。


随着国家法律的不断完善,逐渐趋严的监管政策,对App的开发、运营者提出了更高的要求,保障旗下产品满足相应的法律、规范及标准已经是当前互联网大环境下的必答题。


第三方SDK引入亦需关注安全合规风险


据了解,内嵌第三方软件开发工具包(SDK)是指应用开发人员在软件开发过程中使用的第三方成品开发工具,使用现成的开发工具可以提升软件开发效率,快速实现业务功能、降低开发成本、缩短开发周期、有效节约资源,具有广泛的应用场景和价值空间,与移动互联网产业高度共生。按照SDK功能划分,目前比较成熟的SDK有广告类、推送类、数据统计分析类、地图类、第三方登录类、支付类等等。


但SDK提供便利的同时,也面临的合规风险、安全风险问题。首先SDK本身因为更聚焦于功能实现,很容易因为存在代码缺陷导致安全问题,而这些安全问题会进一步传导至这些SDK的宿主APP侧,进而给用户带来安全风险。


此外,在个人信息合规风险方面,部分SDK也存在未经用户同意收集个人信息、超范围收集个人信息、未经授权使用个人信息,同时进一步的违规传输个人信息等违规问题。虽然很多第三方SDK会提供隐私政策,将SDK的个人信息收集行为进行公示,说明了SDK在收集个人信息时候的目的、类型等情况,但一方面,部分APP开发者对嵌入SDK的安全管理意识上存在不足;另一方面,从技术层面上来看,APP开发者也很难采取相应的技术手段对第三方SDK进行安全合规检测,这也进一步增加了APP本身的不合规风险。


如何才能有效地管控SDK行为?或许答案是需要安全厂商们的技术加持,来帮助SDK开发者与App开发者开展安全评估和排查,并对SDK的安全性进行动态监测。


与企业一同寻找更具价值的解决方案


《App安全合规解决方案系列推荐》系列选题将寻找业内优秀的移动安全服务厂商,详细调研相应的App安全合规解决方案及产品,最终我们将邀请其中部分厂商来结合不同行业、不同业务类型的典型场景分享自身实践经验,并以系列选题文章形式予以展示、传播。


安全419编辑部正在积极沟通相关网络安全厂商开展调研,也欢迎更多新朋友自荐,向我们展示和分享自家的解决方案和成果。如有安全厂商自荐,可添加编辑微信详细沟通交流。


本系列选题将于2022年3月上旬开始发布,敬请关注。


THE END

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存