违法违规可导致业务停摆 APP运营者应如何保障个人信息安全合规

时间刚刚迈入2021年下半年，一些赴海外上市的互联网大厂便因存在违法行为而被网络安全审查办公室依法进行网络安全审查，这一事件一时间成为行业内的热点话题。随后在7月10日，国家互联网信息办公室发布《网络安全审查办法（修订草案征求意见稿）》公开征求意见的通知，与此前在2020年6月1日施行的版本相比，对数据安全的重视程度明显提升，同时还进一步强调数据处理活动和上市行为纳入网络安全审查内容和风险考虑。
 
受这一系列事件刺激，国内网络安全上市公司股价在7月12-13日迎来大涨，其中7月12日更是迎来了涨停潮。
 
这里，我们先回顾一下网信办于7月9日发布的通报全文：
 
根据举报，经检测核实，“滴滴企业版”等25款App（列表附后）存在严重违法违规收集使用个人信息问题。国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定，通知应用商店下架上述25款App，要求相关运营者严格按照法律要求，参照国家有关标准，认真整改存在的问题，切实保障广大用户个人信息安全。各网站、平台不得为“滴滴出行”和“滴滴企业版”等上述25款已在应用商店下架的App提供访问和下载服务。
 
特此通报。
   
可以看到，通知中重点强调的是“存在严重违法违规收集使用个人信息问题”。长期以来，我国对于个人信息的收集违规情况一直非常重视，仅工信部每年会有数次通报下架侵害用户权益APP等事件，其中就包括了“违规收集个人信息”及“违规使用个人信息”等诸多问题。

 
就在这个话题大热的现在，也会带来一个问题，作为类似产品或APP的运营者、企业而言，应该如何规避这类问题呢？
 
首先是厘清国家的相关要求，在产品设计、开发时就应该注意遵守，针对这方面的内容，安全419曾经整理过一份详细的说明，如有需求大家可以点击查看——《网络安全红线莫要碰 App运营方应该如何规范化采集用户数据？》。根据截止至该文发布时的整理情况看，今年以来，工信部已累计完成29万款App技术检测，工信部已经连续通报了4批侵害用户权益行为App名单，已有457款App遭到工信部公开点名，被责令下架的App共计197款。其中不乏如花椒直播、芒果TV、艺龙酒店、UC浏览器、QQ输入法、墨迹天气等大众所熟知的应用，此外，如广东南粤银行、珠江直销银行等多款银行App也遭到了官方点名。
 
这说明，这类现象并非只是某一家两家的问题，而是一个较为普遍的问题。
 
其次是可以同专业的网络安全厂商合作，通过专业团队的引入来保障产品的合规问题，避免出现因类似情况而导致违法违规行为的出现，进而影响到产品甚至是企业的正常运营。

根据安全419的不完全整理，将可以提供此类服务的部分厂商列举如下，可供大家参考。
 
1、爱加密——移动应用个人信息安全检测
 
爱加密是我国一家专注于移动应用安全领域的安全厂商，它的产品和解决方案一直紧跟国内企业移动信息安全建设需求的发展而不断迭代和升级，而在针对移动应用的个人信息安全方面，他们也有一款针对性的产品——移动应用个人信息安全检测。
 
这款检测产品由静态检测和动态检测等模块构成，对App隐私条款内容进行多维度检测，出具个人信息安全检测报告，可以可以覆盖当前主流的两大移动操作系统——谷歌的Andriod和苹果的iOS，同时还可以针对第三方SDK进行行为、个人信息、通信境内外IP等方面的检测。在合规方面更是覆盖了包括《信息安全技术个人信息安全规范》、《App违法违规收集使用个人信息自评估指南》等在内的主流安全检测标准及法规。
 
具体到功能层面，该产品可以实现对APP的隐私政策文本、收集使用个人信息、权限申请场景、行为运行场景、业务功能、主流法规合规的检测，同时爱加密可以根据检测的情况提供整改建议。
 
此外，爱加密还能提供个人信息保护合规评估服务。依据个人信息保护相关法律法规和标准要求，由专业服务团队对企业提供的个人信息保护合规评估服务。
 
2、安天移动安全——“安鉴”风险应用检测预警平台
 
“安鉴”风险应用检测预警平台从行为规范、隐私规范、第三方组件安全、用户权益保护等多维度针对应用安装包（APK文件）进行全方位安全检测，并在线生成分析报告，免费为有问题的风险应用提供线上分析报告服务。同时也为合规整改后的应用提供免费便捷的申诉入口，面向订阅应用提供风险预警功能，帮助开发者避免因潜在的安全问题造成经济损失。
 
除此之外，“安鉴”还提供开发者风险分析功能，根据开发者的历史行为和开发应用偏好对其进行综合性评定。与此同时，第三方平台违规广告检测预警等功能也即将上线，帮助开发者深度挖掘APP可能产生的风险及源头。

3、能信安——移动应用安全检测及分析系统

能信安在移动安全领域提供了全面、完整的产品、技术与解决方案，其中移动应用安全检测及分析系统中就包含了对行为检测的分析，其内容包含了针对移动APP获取用户权限、隐私等个人信息行为的合规性进行检测和分析。
 
除此之外，该系统还可以从漏洞检测、权限检测、内容检测等方面对移动互联环境进行全面的检测、防护并对数据进行实时收集、处理、分析，为业务决策提供帮助。当然，自动化程度高也是该产品的一大特点，甚至可以做到一键完成APP信息采集、安全检测以及运行时内容违法违规的监测，并根据监测结果的数据进行汇总出具相关报告。
 
4、启明星辰——APP个人信息安全合规检测平台
 
启明星辰是专业网络安全产品及服务的综合提供商，目前已经实现了对网络安全、数据安全、应用业务安全等多领域的覆盖。在本文所涉及的领域中，启明星辰也有相应的解决方案——APP个人信息安全合规检测平台。
 
该平台通过自动化检测，可以出具个人信息安全合规检测报告，包括基本信息、合规一览表、APP应用权限汇总、检测依据等信息。涵盖了应用隐私权限、重要系统权限调用在内的诸多方面，能够就是否合规等问题进行深度检测，及时发现应用存在的潜在风险与不合规之处，帮助监管部门、用户、企业等组织单位，对APP隐私过度收集、滥用等行为进行高效、低成本地APP合规检测。
 
通过合规平台准确发现移动应用所存在的各类问题，启明APP个人信息安全合规检测平台能够提供全面的安全服务支撑，针对应用中收集个人信息行为是否存在违法违规进行认定并提供参考，为部门监管或应用自查自纠提供指引；能够发现移动应用代码存在未知安全漏洞，在应用发布之前降低应用安全风险，并及时发现个人手机上APP获取信息合规问题及准确定位，准确定位问题源头，对获取隐私的应用给出预警提示。
 
5、梆梆安全——泰极移动应用业务安全咨询
 
梆梆安全是一家专注于移动应用安全的厂商，目前旗下包括移动安全服务平台、移动应用测评平台、应用安全开发管控平台等诸多产品，而本文所涉及的产品则是泰极-移动应用业务安全咨询。
 
该产品可以帮助APP的开发、运营者规避业务合规性风险，包括是否符合国家监管单位的业务安全要求、是否符合行业监管机构的业务风险保障要求等。除了这些内容之外，它还包含了针对移动客户端安全风险、管道通信安全以及应用服务端安全风险等方面提供了相应的解决方案。
 
因此，泰极移动应用业务安全咨询不仅仅只是一款针对合规监测的服务产品，而是可以帮助客户在后续的业务设计、开发、发布、运营等环节中有效的进行安全防范，提升客户业务安全体系的一个整体解决方案。
 
综合而言，目前国内能够提供APP个人信息安全合规检测服务的专业安全厂商其实还有很多，但受篇幅所限，本文只提及了部分厂商。随着国家法律的不断完善，监管不断趋严，对APP的开发、运营者提出了更高的要求，保障旗下产品满足相应的法律、规范及标准已经是当前环境下的必答题。
 
对于企业尤其是中小企业而言，如果自身相关安全建设能力不足，那么后期所面临的风险将很有可能是无法承受之重。因此，在面对专业且复杂的合规问题上，相信借助专业的力量来解决无论从效果还是成本上，都是一个值得优先考虑的选项。