01数据安全的必要性习近平总书记指出“没有网络安全就没有国家安全”，网络安全主要包括数据、信息系统、智能系统、信息物理融合等多方面的广义安全，其中“数据安全”作为网络安全的基础，近几年一些企业以及政企系统频发数据安全泄漏问题[1-5]，已经引起整个社会群体对于数据使用的担忧，数据安全引起整个社会的高度重视。数据安全应保证数据产生、存储、传输、访问、使用、销毁、公开等全生命周期安全，并且需要做到保证数据处理过程的保密性、完整性、可用性。如何安全采集用户数据，并且实现安全地对用户数据进行使用，主要包括在整个数据周期中保证安全，即在数据的生产、传输、存储、访问、销毁等全生命周期的数据安全。数据生产与采集阶段，需要采取数据的分级分类管理制度，同时使用区块链以及数字水印等技术对数据进行身份鉴别以及记录，并通过数据过滤技术将数据的伪造样本、对抗样本等进行过滤；数据传输阶段，通过采用加密算法对数据进行加密，并通过密钥管理，实现密钥全周期的安全管理；数据存储阶段，通过机密和认证来保证文件数据完整性、可靠性以及安全性，具备安全、加密以及授权认证等优点；数据访问阶段，采用基于区块链技术的多因子认证机制来对用户身份进行验证授权可以改善该类问题；数据使用阶段，采用数据匿名化以及脱敏的技术，防止数据泄漏以及损坏等问题；数据销毁阶段，主要通过软硬销毁结合方式彻底销毁删除数据。图1：数据端云交互过程的泄露场景数据安全在整个社会发展中不可忽略，随着网络技术的发展，越来越多的网民开始关注个人的数据隐私，大型企业也因为担心数据被窃取导致泄漏事件发生，对企业造成负面的影响，并且企业之间很难进行数据元素的流通，从而导致“数据孤岛”现状。02隐私计算技术破解“数据孤岛”困局随着国家对数据安全的重视，各企业告别数据明文时代，启程数据密态时代，根据专家判断，数据密态时代大致发展为三个阶段，计算密态化、大数据密态化以及数据要素密态化，考虑到目前大多数企业正在进行明文计算向密文计算转换的初始阶段，即：计算密态化。目前各行业在计算密态化阶段主要应用在较为基础和经典的场景，采用“隐私计算”的相关技术。“隐私计算”一系列技术的提出，主要用于解决海量数据之间的安全流动，既需要保证数据发挥价值，又需要保护数据隐私安全，防止数据信息泄漏，隐私计算主要是指在数据全生命周期中，实现数据的“可用不可见”，兼顾数据流通与隐私保护两大方面，目前隐私计算想要实现的功能主要涵盖为两点：数据可用不可见，数据不动模型动。隐私计算的技术主要分为三类：以密码协议为底层基础的安全多方计算技术，其底层技术均为密码学相关原语技术，主要用于实现大数据分析、查询以及统计的功能函数。以人工智能技术奠基的联邦学习技术，该类技术依托人工智能技术，主要用于机器学习的建模过程，并在其过程中，需要多次应用到安全多方计算的相关技术。安全可信硬件技术。其核心思想主要是构建可信执行环境，在该安全环境中进行数据的计算，但是该类技术的安全性主要依赖于芯片硬件厂商。03浅析安全多方计算技术路线3.1

概述：笔者对PendingIntent劫持问题进行深入分析，从系统源码出发，了解PendingIntent会被劫持的原因，并给出了可行的防护建议。近期遇到一个PendingIntent劫持的问题，一个三方应用可以拦截系统应用发送的通知，并从通知中劫持PendingIntent，实现发送自己的恶意调用的目的。本篇就借此讨论PendingIntent劫持是什么、为什么以及怎么做，来记录并分享一下如何应对该问题。01什么是PendingIntent1.1

9月28日，博鳌亚洲论坛国际科技与创新论坛第二届大会在广州举行，vivo首席安全官鲁京辉受邀出席，就人工智能赋能千行百业带来的经济红利的同时，如何做好数据安全和隐私保护提出了主张，并阐述了vivo在数据安全与隐私保护方面的战略与实践。以下为鲁京辉的主要观点。vivo首席安全官鲁京辉在大会现场发表观点01数据安全可信是管理好人工智能行业生态圈的“基石”随着数据、算法、算力等基础要素的不断积累，以及机器学习深度学习等技术的不断突破，人工智能技术近年来呈现蓬勃发展的态势，国家层面也将人工智能技术列为“十四五”期间重点攻关的科技前沿领域之一。然而，伴随人工智能行业生态圈的快速建立和发展，许多数据安全和隐私保护相关的问题也随之而来。鲁京辉认为，人工智能需要利用数据进行学习、优化算法，比如用户画像和生物特征识别等，都需要有大量的数据进行训练。如果这些数据、训练模型遭到恶意攻击，用户个人信息、生物特征等隐私数据就可能泄露，进而被恶意利用，不管是从合规的角度还是从伦理的角度，必须有效识别和消减人工智能技术背后的隐私风险。数据是人工智能时代的基础设施，是人工智能技术得以发展的底层架构。因此，必须重视数据安全和个人信息保护，二者是人工智能行业生态圈健康、有序、可持续发展的“基石”。02数据安全、隐私保护与守法合规，是企业研发经营活动中绝对不可以触碰的红线和基本底线鲁京辉表示，作为人工智能行业生态圈的一环，科技企业必须为数据安全担负起应尽的责任，数据安全和隐私保护是必须上升到企业战略层面的“铁律”。作为一家科技企业，vivo认为数据安全与隐私保护是消费者的基本权利，是企业获得消费者信任的基石，vivo把数据安全、隐私保护与守法合规作为企业研发经营活动中绝对不可以触碰的红线和基本底线，来指导各项工作的开展。同时，vivo在数据安全与隐私保护之外，还有对人文价值的思考。一直以来，vivo都是一家坚持长期主义的科技企业，是一家坚持用户导向的科技企业，vivo认为技术进步应当回归能令用户幸福本身，回归以人为本的源头,

极客少年，集结vivo“千镜杯”逐鹿网安江湖共同守卫亿万用户的隐私安全！9月15日2022

https://edpb.europa.eu/system/files/2022-01/edpb_guidelines_012022_right-of-access_0.pdf[2]

9月15日，由vivo千镜安全实验室主办，以“集结！极客少年”为主题的2022千镜杯网络安全挑战赛正式上线并开启报名，赛事奖金丰厚，兼具趣味性和挑战性。去年，vivo举办首届“千镜杯”网络安全攻防挑战赛，集结众多高校学子，通过攻防竞赛和技术论坛等形式，为学子们提供优质的安全实践平台和条件，为安全人才的培养添砖加瓦。今年，“vivo千镜杯”再度起航，以全新的赛制，丰厚的奖金，向全国所有安全极客发出邀请，对vivo产品进行安全漏洞检测，共同守护亿万用户的隐私安全。共护用户隐私安全，为用户而战！全球化信息技术的全面发展，随之而来的是日益复杂的网络环境。在网络世界里，没有“绝对的安全”，只有尽可能地减少安全漏洞。多一个漏洞被白帽黑客发现并提交厂商修复，恶意攻击者就少一条攻击路径。vivo把“数据安全、隐私保护与守法合规”作为企业研发经营活动中不可以触碰的红线和基本底线，长期致力于提升用户的产品安全体验。本次比赛，vivo主动邀请安全极客们对vivo产品发起挑战，目的就是为了凝聚全社会的力量，进一步提升vivo产品的安全性，更好地守护用户安全。兼具趣味和实战，大赛更具挑战性为提升活动的趣味性与实战性，“vivo千镜杯”挑战升级，奖金更丰厚。大赛分线上解题赛和线下决赛，需由选手们组队参赛。线上赛赛题由业务赛题和开放赛题组成，参赛选手需要对指定范围内的vivo手机设备自有客户端的业务应用APP进行漏洞检测。作品提交入口将于9月26日正式开放。

引言：随着数字经济的快速发展，全球进入数据时代。数据就像人体中的血液一样，在社会发展和民众生活中扮演起了至关重要的角色。作为一个身处数据时代的自然人，在每一天的生活当中，都无时无刻不在生产和处理个人数据。数据的生命周期为：收集、传输、存储、使用、共享和销毁。数据收集作为数据生命周期的起点，合法合规的收集个人数据，是隐私保护的首要环节。在各国已出台的隐私保护的法律法规中，对合法合规收集个人数据进行了明确的规定，其中同意作为数据收集的合法性基础之一，应用的场景非常广泛。本文对中国的《个人信息保护法》和欧盟的《General

前情回顾：《没有免费午餐——移动互联网软件供应链安全初探》软件供应链安全作为国家近几年新提出的网络安全理念，不再是针对软件供应链上单一环节进行安全防护，而是针对软件供应链全链路进行安全监控防护。移动互联网软件开发具备开发工具链、第三方组件与开源组件等供应链要素不可或缺的特点。根据《2022年中国开源软件产业研究报告》显示，开源项目的数量从2017年的283万个增长到2020年的1500万个，在4年时间里提升了430%[1]。第三方组件与开源组件生态的繁荣发展，在为企业节省大量人力物力的同时，能够提高软件生产质量与业务的敏捷性。图1

，自主访问控制）。DAC的核心思想是：由资源（如文件、目录）的所有者确定该资源的访问权限（如读、写、执行）。DAC的控制策略灵活，但不严谨，存在一定的安全隐患。例如，基于DAC的Linux，由于

前言密码并非是当前数字世界才有的产物，诸如故事中的《阿里巴巴与四十大盗》的“芝麻开门”口诀，还是江湖中“天王盖地虎，宝塔镇河妖“的江湖黑话，都是使用密码进行身份认证的基本形态。但随着密码使用场景越来越敏感，密码技术的自身安全性也不断受到挑战。特别是日新月异的今天，不断推陈出新的互联网服务都需要通过密码进行用户的身份认证，但是也随着网络安全的发展，密码这一传统身份认证方式已经难以得到可靠的认证保障，随之进化出各色新认证方式，其中就包括近几年风头正劲的无密码身份认证。01密码的困境先来谈谈密码的问题。常见只以密码作为身份认证凭证，当前面临各类安全挑战：弱口令暴力破解、口令数据库被拖库、密码重用被撞库、木马钓鱼定向攻击等。时至今日，密码问题依然是全世界范围重大网络安全事件最主要因素。图1

在数据处理的过程中，通常存在控制者、共同控制者和处理者等多方主体参与的情况，而厘清各方主体的概念及其在数据处理中的互动关系，对GDPR的正确适用起着至关重要的作用。2021年7月7日，欧盟数据保护委员会（EDPB）正式通过了《GDPR下数据控制者及数据处理者概念的指南（07/2020）》，本文将根据EDPB指南解读对控制者和处理者的判定方法。一控制者GDPR

2022年7月30日~8月2日，第十届互联网安全大会（以下简称“ISC

一、前言随着互联网时代的发展，利用互联网技术实现的新型网络犯罪事件层出不穷，黑灰产技术不断升级且越来越复杂，“作案工具”也越来越多，这给黑灰产对抗带来了越来越多的挑战。根据业界公开材料显示：2021年黑灰产行业研究及趋势洞察报告中有这样一项数据：手机端黑灰产作恶工具中，42%为脚本工具，其中26.35%使用了按键精灵工具实现黑灰产盈利。与此同时，云真机、群控也是经常出现的网络黑产技术。这些工具均应用到了“虚假”点击技术。因此笔者对常见的

攻击利用场景上述分析可以看出，AK/SK硬编码导致的泄露风险较大，所以请勿将机机接口认证方式用于客户端与服务提供方直接交互，可以引入人机接口认证方式和机机接口认证方式来实现业务方案，如图7所示：图7

PART1背景介绍Intent是Android程序中不同组件传递数据的一种方式，翻译为意图，Intent既可以用在startActivity方法中来启动Activity，也可以用在sendBroadcast中来发送携带Intent的广播，甚至可以使用startService(Intent)

7月18日晚，iQOO10系列新机正式发布，首发量产的200W超快闪充，将快速高效且安全的充电体验做到了行业天花板。新机搭载全新一代骁龙8+旗舰芯及自研芯片V1+，双芯加持下，除了影像更上一层楼外，延续专业电竞基因，实现游戏、摄像性能双提升。同时，iQOO10系列带来了多项安全隐私功能的升级优化，提供更细致的安全防护和更透明的权限管控，为用户的隐私安全构筑更可靠的保护屏障。更细致的安全守护在个人隐私和数据安全保护成为重中之重的今天，iQOO持续加大安全投入，致力于为用户打造更好的安全体验。为此，iQOO10系列从定支付安全、定位跟踪防护、重要数据保护等多方面进行了更专业的优化。千镜可信引擎：防止恶意应用欺诈，守护财产安全随着互联网技术发展，电信诈骗手段也不断升级。不少黑灰产分子通过隐匿调用链关系来隐藏黄赌毒等欺诈类应用的真实属性，利用浏览器等进行二次跳转，绕过一般APP层的云端检测，诱导用户交易。iQOO10系列内置反欺诈防护神器——千镜可信引擎，

在物联网、车联网等领域中，OTA这个词越来越为人所知且备受设备厂商青睐，例如蓝牙耳机、手表手环和汽车等嵌入式智能设备往往采用OTA的方式进行设备固件升级。为什么OTA升级在物联网系统中变得如此重要？这种远程更新设备的方式会不会为成为物联网安全的一个新攻击点呢？话不多说，让我们一起来了解一下设备固件升级的过程、可能存在的安全风险以及相应的缓解措施吧。一设备固件升级DFU在学习OTA技术前，我们首先了解一下设备固件升级DFU（Device

年，成员推理攻击已成为针对人工智能系统的第三大攻击手段，占全年攻击数量的比例达到3.5%[2]。尽管成员推理攻击只是一种间接的隐私窃取，但当成员推理攻击作为高级可持续威胁攻击(Advanced

如今，随着世界数字经济发展，数据已成为用户的核心资产，互联网给生活带来便利的同时，随之而来的安全风险不断加剧。隐私泄露也对个人造成了巨大的安全风险，轻则造成个人财产损失，重则影响人身安全。vivo认为隐私是用户的基本权利，必须全力保障，同时也把安全与隐私保护提升到公司战略层面，通过最新最好的科技手段来保护用户隐私，对标行业率先开发了领先的技术架构和产品功能点，在数据流动的全链路、用户体验的全场景，全面守护用户隐私。基于vivo在安全行业长期坚持和领先竞争力，近日，国内领先的网络安全行业门户——FreeBuf，邀请vivo安全产品总监刘洪善出席专访，分享了vivo对于隐私和安全议题的独特洞察与思考。本期嘉宾介绍：刘洪善，网络安全硕士毕业，现任vivo安全产品总监，历任国际知名智能终端科技公司、互联网大厂的应用安全产品负责人、安全隐私规划负责人、云安全产品负责人、高级安全工程师等职务。曾参与多个影响行业格局的安全隐私项目，在网络安全行业拥有丰富的战略规划、技术与产品落地、市场营销与运营管理等经验。▶

AST替换为PSI，同时弃用JavaScanner，推荐使用JavaPsiScanner。PSI是JetBrains在IDEA中解析Java源码生成语法树后提供的API。相比之前的Lombok

实现拦截恶意三方SDK获取敏感数据DemoTransform可以在class文件编译成dex文件过程中做一些操作。在APK/AAR文件编译过程中，可以看成是一个个Transform

3月vivo千镜发布了《如何优化HTTPS实现访问加速》文章，介绍了HTTPS访问速度优化的一种思路：减少RTT的次数以实现对TLS握手过程的优化。在本文中，我们将继续介绍其他HTTPS优化方案：针对TCP握手的过程进行优化-TCP

Criteria），https://www.commoncriteriaportal.org【4】Android安全讲座第九层(二)

Android任意URL跳转的这些危害你知道吗？浅析污点分析技术什么是非导出组件的越权访问？开发者必看

构建内核文件构建通用内核和特定的供应商内核，该命令应在输出文件夹中生成和bzImage和initramfs.img，如下图：3.3配置cuttlefish使用我们之前构建的内核和初始化器启动一个

evil.com上图因为从浏览器发起跳转，而浏览器自身做了跳转提示，对用户有一定的安全提示作用。当获取到一个任意URL跳转漏洞，能达到什么样的危害取决于业务功能和利用方式。在

信息流分析是防止信息的保密性和完整性被破坏的一种有效手段，它通过分析程序中数据传播的合法性来保证信息安全。而污点分析技术作为信息流分析技术的一种实践方法，目前被广泛用于系统隐私数据泄露检测、系统安全漏洞发掘等领域。基本原理污点分析定义污点分析可以抽象成一个三元组的形式：sources：污点源，代表直接引入不受信任的数据或者机密数据到系统中sink：污点汇聚点，代表直接产生安全敏感操作（违反数据完整性）或者泄露隐私数据到外界（违反数据保密性）sanitizer：无害处理，代表通过数据加密或者移除危害操作等手段使数据传播不再对软件系统的信息安全产生危害污点分析就是观察程序中由source引入的数据是否能不经sanitizer，直接传播到sink。如果不能，说明系统信息流是安全的；否则，说明系统可能存在隐私数据泄露或危险数据操作等安全问题。污点分析的处理过程可以分为三个阶段，如下图所示：（1）识别污点源和汇聚点（2）污点传播分析（3）无害处理

攻击者应该将自身的组件设置为extra_intent的目标，并设置以下flagsIntent.FLAG_GRANT_PERSISTABLE_URI_PERMISSION

pad。新机搭载了多项业界首创技术与功能，在隐私安全保护方面也带来了众多创新提升。其中，独家首发的千镜可信引擎通过系统级的可信安全判断能力，可提供多场景下的全链路安全防护，反欺诈就是防护场景之一。

1对抗样本产生的背景随着深度学习技术的兴起，深度神经网络在包括图像识别、自然语言处理等多个领域都发挥了巨大的作用。然而，研究人员发现，深度神经网络会受到对抗样本的威胁，即现有深度神经网络存在一定的安全漏洞，可能会出现绕过深度神经网络系统判别的样本。简而言之，对抗样本可以通过在良性样本中加入一些特别设计的小量级干扰来生成。尽管这些对抗性干扰对人类来说是难以察觉的，但它们可以很容易地欺骗性能良好的深层神经网络。综上所述，对抗样本给深度神经网络在高安全性等级系统中的应用带来了极大的威胁。基于攻击者可获得的信息量，对抗样本生成方法可分为两类：一个是白盒方法，另一个是黑盒方法。在白盒攻击中，攻击者拥有深度神经网络的所有信息，包括模型层级，各层模型参数等。他们可以依据深度神经网络的参数信息来修改良性样本，达到生成对抗样本的目的。在黑盒攻击场景下，攻击者只知道输入样本信息和深度神经网络的输出，并且通过这两个信息决定如何对于良性样本进行修改。2对抗样本的原理对抗样本产生的根本原因业界并无具体的结论，现在普遍认同的产生原因大致有如下三点：数据样本集覆盖不全面:

spring.cloud.function.routing-expression参数存在SPEL表达式注入漏洞，攻击者可通过该漏洞进行远程命令执行。二影响版本3.1.6

近日，工信部再次公开征求对《工业和信息领域数据安全管理办法（试行）》的意见。本次公开征集意见的文稿相较于2021年公开征集意见的版本有较多变动，在第二章中明确了开展数据分类分级保护的多项具体要求[1]。预示着工信部今年将大力落实工业和信息化领域的数据分类分级治理。1什么是数据分类分级？数据分类分级是我国近年来数据安全治理的高频热点词汇。“数据分类”一词早在2016年在《网络安全法》第二十一条中提及。此后，在2021年6月发布的《数据安全法》第二十一条“

一前言HTTPS（超文本传输安全协议）是HTTP协议的安全版本，它使用SSL/TLS协议进行加密和身份验证。通常，SSL/TLS协议需要完成四次握手，然后开始发送Application

随着互联网的发展，数据已经成为人类现在最重要的虚拟资产。数据资产的整个生命周期包括采集、传输、存储、处理、交换、销毁等6个阶段。为了保护数据的安全，人们已经提出并实践了针对每个阶段的保护措施。如下图所示：

Android的内核是Linux，而root作为Linux系统中最高权限的管理员账户，在Android也一直都是兵家所必争的战略要地。下面我们来回顾一下Android系统root的前世今生，然后分析各种root检测方案及其对抗思路或弊端。手机在root后会使许多安全措施失效，所以一般不建议个人对手机进行root。一root的前世今生1、远古时代的root方式在Android

Ticket，服务器使用STEK解密后获取会话密钥并验证有效期，若没问题，就恢复会话开始加密通信，过程如下图所示。详细流程说明如下：第一次建立会话连接（1）客户端与服务端首次连接时，在Client

在2021年12月举行的vivo开发者大会上，vivo在业界率先提出了人文安全的理念，即在用户隐私保护上，除了用科技守护用户隐私，还需要更透明可控的安全设计、更优雅易用的安全体验、更关注特殊人群的隐私保护需求，从更科技，转变到更人文更有温度的安全守护。“希望在保护你的过程中让你感到更简单、更实用，多一点考虑你的感受，多一点人文的温度”。儿童作为vivo一直关注的特殊人群，vivo对其数据特别是隐私保护又有着怎样的理解？请看下文↓↓↓一、儿童隐私保护制度概况（一）专门立法《儿童个人信息网络保护规定》（2019.10.01正式实施）我国第一部专门针对儿童网络保护的立法，针对中华人民共和国境内通过网络收集、存储、使用、转移、披露不满十四周岁的儿童个人信息进行规范。（二）其他部门法《个人信息保护法》（2021.11.01正式实施）就处理儿童个人信息，在个人信息处理要求的基础上，额外提了两个层面要求：要求一：告知层面的要求“个人信息处理者处理不满十四周岁未成年人个人信息的，应当制定专门的个人信息处理规则”；要求二：取得同意层面的要求，同时满足以下两点（a）要求征得监护人同意（b）要求取得单独同意《未成年人保护法》(2020修订)（2021.06.01正式实施）

311572,311575,

2021年8月20日，《个人信息保护法》通过中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议，2021年11月1日正式实施。参与话题讨论#《个人信息保护法》通过中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议，2021年11月1日正式实施了#广大网友有很多问题需要询问，有没有兴趣回答下？义不容辞基本知识QA什么是个人信息？个人信息，是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。根据GB/T35273-2020

2021年8月20日，《个人信息保护法》通过中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议，2021年11月1日正式实施。参与话题讨论#《个人信息保护法》通过中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议，2021年11月1日正式实施了#上次关于《个人信息保护法》的Q&A大受好评呢，大家在问什么时候出企业篇？感谢大家支持处理场景QA作为企业（个人信息处理者），什么情况下可以处理个人信息？要将“充分知情”作为“同意”的前提条件。通过用户主动勾选、浏览隐私政策等获得个人信息的授权使用，还要赋予用户撤回同意的权利。《个人信息保护法》也规定，在部分场景下，如获得处理敏感个人信息的授权使用、向他人提供或公开个人信息、向境外提供个人信息、收集个人图像等，均需要取得个人的单独同意。所以，除了法律规定的特殊情形，未经同意就处理个人信息是违法行为。QA同意与单独同意是什么关系？什么情况下一定要获取个人的单独同意？同意和单独同意是包含的关系。是否需要取得个人的单独同意的前提，是基于取得个人同意处理个人信息。如果属于法律规定的特殊场景，则无需考虑是否需要取得个人的单独同意。QA根据上面说的，不需要获得个人同意就处理个人信息的特殊场景有哪些？一共有6种特殊场景：1、签订合同后，在合同范围内需要处理个人信息的场景；2、为履行法定职责或法定义务需要的处理个人信息的场景；3、因保护个人生命健康和财产安全需要的处理个人信息的场景；4、在合理范围内，为公共利益实施新闻报道、舆论监督等行为，需要处理个人信息的场景；5、在合理范围内处理已公开的个人信息；6、法律法规规定的其他情形。职责要点QA现在还提到了“个人信息保护负责人”，这是什么角色？《个人信息保护法》的52条提到，“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人。”但是，“规定数量”在法律中并没有明确。不过，根据GB/T

引言同意是数据处理中的一个很重要的合法性因素之一，也是数据保护合规工作中一个重点，本文将聚焦欧洲、亚洲的法规，深入探讨在不同场景下，该如何考虑选择性同意和退出的合规要点。01什么是选择性同意（opt-in）和选择性退出（opt-out）？选择性同意，通常为用户积极主动执行同意的过程，一般可以通过主动“勾选”、“同意”、“注册”等主动填写或主动同意的方式来进行。选择性退出，是指用户撤回同意或拒绝同意执行某些操作的过程。

近日，国家出台了《个人信息保护法》。在此之前，由于大部分跨国企业的隐私保护合规设计是基于欧盟《通用数据保护条例》（后简称GDPR），《个人信息保护法》和GDPR的相似和差异成为了大多数企业合规工作的关注重点。个人信息的合法性基础是决定企业隐私保护合规设计的重点之一，在确定了目的和相应的合法性基础之后，公司才能根据实际情况和不同的场景来决定与数据主体的交互方式、数据主体权利响应（后简称DSR）的设计、数据存储的时间、数据跨境是否需要额外合规工作等等。本篇重点回顾GDPR背景下个人数据处理合法性基础（不包含个人敏感信息），为相关解读提供参考和支持。一、GDPR背景下个人信息处理合法性基础介绍1

引言同意是数据处理中的一个很重要的合法性因素之一，也是数据保护合规工作中一个重点，本文将聚焦欧洲、亚洲的法规，深入探讨在不同场景下，该如何考虑选择性同意和退出的合规要点。01什么是选择性同意（opt-in）和选择性退出（opt-out）？选择性同意，通常为用户积极主动执行同意的过程，一般可以通过主动“勾选”、“同意”、“注册”等主动填写或主动同意的方式来进行。选择性退出，是指用户撤回同意或拒绝同意执行某些操作的过程。

Palmieri谈论完公司隐私政策后，他惊讶于Facebook这种跨国数据处理巨头对欧洲隐私法缺乏了解，打算以此为题写学期论文。在撰写论文过程中，施雷姆斯行使了数据访问权（Right

我们的社会面临日益严峻的信息安全与隐私保护形势。其中包括如下3个方面的特点：1、安全事件频发。安全威胁深入社会的每个角落，对社会的健康发展构成严重挑战；2、法规监管趋严。国家层面网络空间安全是企业合法经营的基础；3、用户担忧加重。消费者对于隐私和安全的担忧不断上升；发生这些现象的一个原因是我们逐渐进入了M-IoT(Smart

概述：WebView是Android系统常用组件，也是安全问题的重灾区。本文主要对WebView中白名单绕过的安全问题进行分析和介绍，为研发同学补齐知识盲区，避免安全问题的发生。WebView简介WebView是一款功能强大的组件，主要用于展示网页内容，核心功能包括：加载和渲染H5页面、本地（Android

Hook的中文意思就是“钩子”，也可以说成“插桩”，安全人员对它再熟悉不过了，Hook目的就是截获系统中的进程执行某个API函数调用，使得API的执行流程转向我们自定义实现的代码片段，这里自定义的功能可以性能监控、安全加固、热补丁，再或者包括一些劫持数据，篡改等恶意行为，当然我们这里介绍Hook的初衷是希望利用它做一些正能量的事情。小编原先接触过IAST（交互式应用安全测试），RASP（实时应用程序防护）等WEB安全产品的开发，尝试过将其落入到SecDevOps流程中，利用IAST是将安全工作前置到了功能测试阶段，它们的实现原理就是基于Hook的方式，那么在Android端有哪些可用的Hook框架呢？Xposed：实则通过替换

应用程序模块化：Android系统可以允许同一个证书签名的多个应用程序在一个进程里运行，系统实际把他们作为一个单个的应用程序，此时就可以把我们的应用程序以模块的方式进行部署。4

STARTING引言前段时间，工作中经常会出现测试webview跳转的场景，所以对其中的跳转协议进行了简单的学习。在android开发中，因为一个应用程序的功能往往很集中，但是又需要一些第三方应用拥有的扩展功能的支撑，这时候就会使用到android提供的跳转功能，跳转到某些第三方应用的展示页面。若应用程序需要使用Webview打开一个第三方应用的页面时，有两种跳转方式比较常用，分别是：Scheme协议和Intent协议。Scheme协议Scheme页面内跳转协议，是一种比较好的实现机制，开发者通过自定义的scheme协议，可以非常方便跳转app中的各个页面，它遵循

电信终端产业协会发布《APP用户权益保护测评规范》10项标准及《APP收集使用个人信息最小必要评估规范》8项标准，涉及人脸、通讯录、麦克风录音、位置、图片、软件列表、设备、录像信息等多个方面（4）