大数据时代下的App数据隐私安全

本文涉及的产品
移动研发平台 EMAS,开发者版免费套餐
简介: 目前不少公司依托于推送等采集数据工具沉淀用户原始数据,通过上层数据服务变现,为App业务引入了巨大的数据隐私保护风险。阿里云移动研发平台EMAS近期上线的隐私合规检测专项服务提供了全面的隐私合规检测报告和专家建议,从确保形式合规及实质合规的一致性,规避多重风险。

App数据安全,主流商业模式下的新挑战


近年来随着信息技术快速发展,大数据时代已经来临。大数据为我们带来信息共享、便捷生活的同时,还存在着数据安全问题。


目前不少公司依托于推送等采集数据工具沉淀用户原始数据,通过上层数据服务变现,其作为一种商业模式为App业务引入了巨大的数据隐私风险。例如在某推送服务提供的《开发者协议》中,服务商明确要求App开发者《隐私政策》中须告知其App用户主体同意SDK提供者收集并使用其个人信息。其中可能包括:

1、设备信息,设备信息包括:设备标识符(IMEIIDFAAndroid IDMACOAIDIMSI等相关信息)

2、应用信息(应用崩溃信息、通知开关状态、软件列表等相关信息)

3、设备参数及系统信息(设备类型、设备型号、操作系统及硬件相关信息)

4、网络信息,网络信息包括:IP地址,WiFi信息,基站信息等相关信息。

5、地理位置信息。

个人信息是现行法律重点保护的数据类型。

 

此外,目前在手机APP的使用过程中打开某个APP,能连带打开好几个别的App的情况层出不穷,这种自动操作引发用户对手机里信息被盗取的担忧,事实上究其原因是App为了保证被用户继续使用,就要尽可能多的刷存在感,否则久而久之用户就会弃之不用,甚至卸载。如果App开发者选择了采用联合唤醒的机制或者其他类似机制来保活,这就可能导致大量的服务进程在后台被唤醒、驻留,从而造成不同应用之间的交叉唤醒、关联启动的现象。


基于上述技术规范内容分析,App通过自启动、关联启动等方式唤醒后,如果存在通过权限等机制收集个人信息的行为,且并未在隐私政策等规则中明确指出具体的目的的,其收集个人信息的频度则涉嫌超出了业务功能实际需要。而在我国的《App违法违规收集使用个人信息行为认定方法》第四条第3点指出,收集个人信息的频度等超出业务功能实际需要,可认定为违反必要原则,收集与其提供的服务无关的个人信息

 

数据显示,近年来工信部持续开展APP侵权整治活动,开展了六批次集中抽检,检查了76万款APP,通报748款违规APP,下架了245款拒不整改的APP。在南方都市报发表于20201127日的文章中点击查看可以看出目前存在的问题。

 

基于上述问题,为了保障App业务的隐私合规安全,阿里云移动研发平台EMAS近期上线了隐私合规检测专项服务,对移动App隐私安全、个人数据收集和使用进行合规分析。服务提供了全面的隐私合规检测报告和专家建议,从确保形式合规(隐私政策文本合规性)及实质合规(代码层合规性)的一致性,从个人信息收集、权限使用场景、隐私政策等多个维度帮助企业和开发者提前识别App隐私合规相关风险,规避监管通报、应用下架等重大风险。

1.png

 

形式合规:从重知识重人力转为自动检测

监管检查的一大重点是隐私政策协议文本是否按照要求进行了声明。传统的隐私政策由法务编写、检查,对法务专业知识要求较高,并且需专人跟踪监管动态和相关规章,对开发者来说投入比较大。

EMAS形式合规检测基于现行法律法规、标准、部门规章和监管动态等,总结了若干检测点。同时。基于小样本学习、信息抽取、文本分类等AI技术,可对隐私协议文本进行细粒度解析,能精准定位到包括不限于隐私数据采集、存储、第三方SDK使用等描述性信息。

在此基础上,依托于自建的合规知识图谱+智能合规分析引擎,自动化、标准化产出形式合规监测点的检测结果,最大限度地降低人力和时间成本。

2.png


目前,形式合规检测部分已有10余篇专利保护。


实质合规:黑盒App的代码检测

合规检测的另一个问题是,我们如何判断实际运行的采集行为与隐私政策声明一致。EMAS合规检测产品服务底层集成的隐私合规检测引擎基于控制流、数据流、污点分析、动态沙箱等动静态分析技术,深度融合隐私专家经验,提供了准确的代码层实质合规检测能力。

实质合规关注敏感权限调用、数据采集、数据传输、数据存储等APP实际数据使用行为,通过静态分析和动态分析两种分析引擎,基于抽象语法树、控制流图、数据流图,刻画App代码控制链路和数据流转链路,结合真机预览及模拟点击的动态分析结果,产出具体的实质合规检测点检测结果,包括敏感数据泄露、超范围采集、弹窗打扰等。

3.png


阿里云移动研发平台EMAS高度重视个人信息的保护,对设备权限获取遵循最小化原则,相关隐私政策点击:EMAS隐私权政策,该隐私政策适用于移动推送/HTTPDNS/移动热修复/远程日志/崩溃分析/性能分析/移动用户反馈等EMAS全平台产品,我们欢迎对App隐私合规话题感兴趣或存在疑问的开发者加入EMAS开发者社区(钉钉群号:35248489),共同探讨合规话题,为用户构筑隐私保护的坚实防线。

 

相关实践学习
基于MaxCompute的热门话题分析
本实验围绕社交用户发布的文章做了详尽的分析,通过分析能得到用户群体年龄分布,性别分布,地理位置分布,以及热门话题的热度。
SaaS 模式云数据仓库必修课
本课程由阿里云开发者社区和阿里云大数据团队共同出品,是SaaS模式云原生数据仓库领导者MaxCompute核心课程。本课程由阿里云资深产品和技术专家们从概念到方法,从场景到实践,体系化的将阿里巴巴飞天大数据平台10多年的经过验证的方法与实践深入浅出的讲给开发者们。帮助大数据开发者快速了解并掌握SaaS模式的云原生的数据仓库,助力开发者学习了解先进的技术栈,并能在实际业务中敏捷的进行大数据分析,赋能企业业务。 通过本课程可以了解SaaS模式云原生数据仓库领导者MaxCompute核心功能及典型适用场景,可应用MaxCompute实现数仓搭建,快速进行大数据分析。适合大数据工程师、大数据分析师 大量数据需要处理、存储和管理,需要搭建数据仓库?学它! 没有足够人员和经验来运维大数据平台,不想自建IDC买机器,需要免运维的大数据平台?会SQL就等于会大数据?学它! 想知道大数据用得对不对,想用更少的钱得到持续演进的数仓能力?获得极致弹性的计算资源和更好的性能,以及持续保护数据安全的生产环境?学它! 想要获得灵活的分析能力,快速洞察数据规律特征?想要兼得数据湖的灵活性与数据仓库的成长性?学它! 出品人:阿里云大数据产品及研发团队专家 产品 MaxCompute 官网 https://www.aliyun.com/product/odps 
相关文章
|
7月前
|
开发框架 前端开发 Android开发
专刊:随着技术进步,未来在线生成App将有更多可能性,为移动应用开发带来便利
【4月更文挑战第27天】在数字化时代,移动App变得不可或缺,而在线生成App的技术正逐渐兴起,为开发者提供快捷创建移动应用的途径。本文探讨了网页到App的转变过程,介绍了WebView嵌入、混合式开发框架和云端打包技术等方法,以及在线生成App的步骤、优势和挑战。虽然存在性能和功能限制,但随着技术进步,未来在线生成App将有更多可能性,为移动应用开发带来便利。
78 2
|
SQL 存储 监控
解析汽车APP面临的18种攻击风险
一文解析汽车APP面临的攻击风险
137 0
|
算法 数据可视化 搜索推荐
数据如何指导决策:优酷主客APP播转率的C端优化
数据如何指导决策:优酷主客APP播转率的C端优化
365 0
|
移动开发 缓存 安全
如何提升App用户隐私合规性?以YonBuilder移动开发平台APICloud为例
在移动应用开发领域,如果企业的应用程序未采用动态权限方式获取用户的隐私权限,将无法上架Google Play及国内的各大应用市场。对于一款标准的移动端商业app,动态权限功能已经成为必不可少的标配功能。 本文主要介绍如何使用YonBuilder移动开发技术,实现移动端的动态权限功能。
173 0
|
存储 安全 算法
移动 APP 风险现状|学习笔记
快速学习移动 APP 风险现状
移动 APP 风险现状|学习笔记
|
存储 缓存 安全
APP端上通用安全体系建设
APP的每个业务场景都有其既定的运行模式,若被人为破坏就可认为是不安全的。举个栗子,比如秒杀场景:大量用户在特定时间点,通过点击抢购来秒杀优惠商品,从而营造一种紧迫而有噱头的营销场景,但如果能通过非法手段自动抢购、甚至提前开始刷接口抢购,那就彻底破坏了业务的玩法,这就是一种不安全的运行模式。
241 0
APP端上通用安全体系建设
|
安全 大数据 定位技术
大数据时代下,App数据隐私安全
你是否有过这样的经历:你和朋友聊天表达你近期想要购买某件商品,第二天当你打开某购物软件时,平台向你推送的商品正是你想要购买的;或者,你是否接到过陌生来电,他们准确的报出了你的名字和年龄......近年来,信息技术快速发展,大数据时代已经来临。大数据为我们带来信息共享、便捷生活的同时,还存在着个人隐私泄漏等诸多数据安全的问题。
|
安全 大数据 定位技术
大数据时代下,App数据隐私安全你真的了解么?
你是否有过这样的经历:你和朋友聊天表达你近期想要购买某件商品,第二天当你打开某购物软件时,平台向你推送的商品正是你想要购买的;或者,你是否接到过陌生来电,他们准确的报出了你的名字和年龄......近年来,信息技术快速发展,大数据时代已经来临。大数据为我们带来信息共享、便捷生活的同时,还存在着个人隐私泄漏等诸多数据安全的问题。
|
存储 数据采集 人工智能
大数据时代下的App数据隐私安全
随着信息技术快速发展,大数据为我们带来信息共享、便捷生活的同时,还存在着数据安全问题,主流商业模式下APP面临新的挑战。工信部持续开展APP侵权整治活动,进行了了六批次集中抽检,检查了76万款APP,通报748款违规APP,下架了245款拒不整改的APP。阿里云移动研发平台EMAS高度重视个人信息的保护,对设备权限获取遵循最小化原则,为用户构筑隐私保护的坚实防线。
|
存储 运维 安全
App 时代,如何解决近 9 亿网民的个人隐私安全难题?
  个人隐私安全已经成为这个时代最重要的话题之一。如今,我们生活在数字化社会,上网已经成为生活和工作的必备。如果说智能手机是我们上网的“大路”,那 App 则是这“路”上跑的车。然而,随着 App 的快速发展,这条“路”上危机四伏,充满危险,作为驾驶员的我们随时可能“翻车”,轻则“伤筋动骨”,重则“车毁人亡”。   近几年,App 侵犯个人隐私安全的行为愈演愈烈。这不仅招来广大网民的不满和投诉,而且引起政府监管部门的重视。毫无疑问,它已经成为亟待解决的社会问题。
253 0