告别形同虚设 走好个人隐私信息保护的合规之路
星期五, 八月 9, 2019
想必安全圈内最近应该是被个人信息保护的新闻刷了屏,过度索权、强制授权、超范围收集、注销难、缺乏隐私条款等导致个人信息长期裸奔的现象屡屡被曝光。从2018年的《通用数据保护条例(GDPR)》、《个人信息安全规范》到今年1月25日四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》、App专项治理小组成立、《App违法违规收集使用个人信息自评估指南》、《App违法违规收集使用个人信息行为认定方法(征求意见稿)》、《儿童个人信息网络保护规定(征求意见稿)》、《个人信息安全规范-2019修订(征求意见稿)》、《个人信息和重要数据出境安全评估办法-征求意见稿》、《互联网个人信息安全保护指南》、《数据安全管理办法(征求意见稿)》、工信部《电信和互联网行业提升网络数据安全保护能力专项行动方案》等一系列针对于个人信息保护的指南、标准、法规、行业要求不断出台,监管部门连出重拳,2019年也因此而被称为个人信息保护监管元年。在近期App专项治理小组通报的两批违法违规收集使用个人信息App名单里,其中不乏用户量巨大的社交App、金融App。由此可见,国家对于个人信息保护的重视程度之高。
近年来个人隐私数据泄露事件频发,大量数据被肆意贩卖,人们对于个人信息保护的意识也随之觉醒,国家有关部门开始对App违法违规收集使用个人信息的强制监管,将个人隐私数据保护落到了实处。
一、个人隐私数据窃取案件频发
从2018年开始,网上多次爆出部分App中的引入第三方SDK窃取用户敏感数据,影响范围大。这些个人隐私数据窃取的案件充分体现了宿主App对于引入代码的监管不力,导致第三方代码借壳作恶。尤其在Android平台,由于热更新机制的存在,导致部分引入的第三方SDK在应用发布后运行阶段更新恶意代码,窃取用户信息,以逃避集成环节的审查。
二、超范围采集用户隐私数据
随着移动互联网、物联网等新技术的飞速发展,各行各业都在拥抱新技术,开发出各种类型的App,为用户的生活、社交、支付、政务提供着巨大的便利,但是新技术发展的同时,由于标准的滞后、法律的缺失,导致许多企业所提供的App会收集用户在使用中提供的、产生的海量个人信息,甚至很多企业为了业务的发展以及企业利益,会收集大量诸如手机通讯录、精准定位、行动轨迹、银行卡信息、征信信息、个人健康数据等涉及用户生命、财产安危的个人敏感信息,也有许多企业会收集众多与业务功能完全无关的个人信息,整个行业在个人信息的收集、使用和保护方面呈现野蛮生长状态,使得用户变得没有隐私如同在互联网上裸奔。
三、个人隐私数据保护肆意贩卖
当前的网络环境是复杂多变的,组织的信息系统所面临的网络安全威胁来自于方方面面。国内大部分企业的信息系统并未采取有效的安全措施,企业对于个人信息的安全管理更是无从谈起,从而导致数据泄露事件时有发生。这些泄露的数据中,绝大部分都是企业采集的用户个人信息、个人敏感信息,这些信息被肆意盗取、售卖,给用户带来了巨大的风险,同时对社会稳定也造成了严重的影响。
正是在这种背景之下,国家才对企业在个人信息保护的技术和管理方面进行监管,希望通过一系列的监管活动使企业提高在个人信息保护方面的安全意识,强化企业对个人信息的安全保护能力。
然而,大量的企业在进行个人隐私数据保护的过程中面临着众多困难,主要包含以下几个方面:
一、如何整改才能安全合规?
目前,国内外都在颁布或者即将颁布众多与个人隐私数据保护相关的法律法规,各类型的法规均对企业App的个人隐私数据保护提出了不同程度的安全保护要求,从数据采集、传输、保存、使用、销毁等不同环节都提出了安全规范。企业需要根据自身的业务范围、业务类型,通过深入了解法规要求,结合企业自身的安全措施,制定个人隐私数据保护的整改方案。
二、App中的第三方代码审核?
由于业务丰富程度的不断发展,企业App众多,且每个App中引入的第三方代码众多,建立一套完善的第三方代码接入管理、审核检测机制对于大部分企业来讲是一个巨大的工作,如何能够将对于第三方代码的接入审查自动化实现,是目前众多企业在个人隐私数据保护中的落地难题。
三、如何持续对于第三方代码的监控?
由于移动互联网代码下放的典型特点,App在发布后运行在用户的终端环境,借助于热更新机制的存在,第三方代码先天具备动态加载恶意代码的能力,以此来规避接入前的审查。而这种动态加载代码的行为,在传统的移动安全防护机制中难以发现。如何做到对于应用发布后的持续监控,防止第三方代码运行过程中作恶,是个人隐私数据保护完整落地极为重要的第三步。
为了保障个人信息安全,维护广大网民合法权益,同时满足合规要求,企业需要对其App的个人信息保护实现、以及企业个人信息保护管理制度、App的信息安全技术、企业应用安全开发管控流程等内容相关标准、法规对企业进行整体评估和整改工作,通过合规评估、整改工作来判断企业在个人信息保护以及信息安全技术方面的技术和管理措施是否完善,是否满足国家监管机构要求。企业若不积极开展个人信息合规工作,提升App、业务系统的个人信息保护能力、信息安全保护能力,将会面临监管机构通报、App下架、罚款、甚至吊销营业执照等惩罚,给企业正常发展带来严重的合规风险。
梆梆安全针对当前个人隐私数据保护存在的困难,特推出个人隐私数据保护解决方案,提供个人隐私保护全流程安全服务和安全产品:
一、咨询服务
1、App个人信息保护现状快速评估服务
对企业App的合规情况进行快速评估,让企业能够快速了解当前个人信息保护合规方面的实际情况,为后续开展个人信息合规工作提供支撑。
2、企业个人信息保护合规咨询服务
通过对App的产品功能、业务流程、信息安全技术进行梳理,同时对企业在个人信息保护管理、安全开发管理流程规范方面进行全面、深入的梳理,基于标准及法规要求,评估当前企业在个人信息保护技术与管理方面与国标的差距,并为企业提供可支撑相关功能、流程整改的个人信息保护合规整改方案,提升企业在个人信息技术、个人信息安全管理、信息安全技术等方面的能力。同时,梆梆安全也提供App信息安全认证的相关咨询和协助认证服务。
二、安全产品
1、应用安全测评
通过静态和动态应用安全检测技术,能够帮助企业快速发现自身应用中集成的第三方代码,精准检测出应用中集成的第三方代码的类别、权限申请、敏感信息获取等信息。通过对应用进行全面的检测评估,能够帮助客户全面梳理目前的个人隐私获取现状。
2、应用安全监测
帮助企业客户建立起持续隐私数据保护安全监测能力。在应用发布后,能够监测第三方代码是否会通过热更新机制更新恶意代码,盗取用户敏感信息。通过制定第三方代码隐私获取权限范围策略,当第三方代码在应用发布后的运行阶段通过任何其他机制试图窃取用户敏感信息时,提供监控、审计、阻断、溯源能力。
梆梆安全个人隐私保护解决方案,采用咨询服务+产品的组合方式,能够帮助企业的App、信息系统满足合规要求,提升企业在个人信息保护方面的相关能力,使得最终用户能够安心使用企业所提供的服务。