大数据时代下的App数据隐私安全

简介:随着信息技术快速发展,大数据为我们带来信息共享、便捷生活的同时,还存在着数据安全问题,主流商业模式下APP面临新的挑战。工信部持续开展APP侵权整治活动,进行了了六批次集中抽检,检查了76万款APP,通报748款违规APP,下架了245款拒不整改的APP。阿里云移动研发平台EMAS高度重视个人信息的保护,对设备权限获取遵循最小化原则,为用户构筑隐私保护的坚实防线。

App数据安全,主流商业模式下的新挑战

近年来随着信息技术快速发展,大数据时代已经来临。大数据为我们带来信息共享、便捷生活的同时,还存在着数据安全问题。

目前不少公司依托于推送等采集数据工具沉淀用户原始数据,通过上层数据服务变现,其作为一种商业模式为App业务引入了巨大的数据隐私风险。例如在某推送服务提供的《开发者协议》中,服务商明确要求App开发者《隐私政策》中须告知其App用户主体同意SDK提供者收集并使用其个人信息。其中可能包括:

1、设备信息,设备信息包括:设备标识符(IMEI、IDFA、Android ID、MAC、OAID、IMSI等相关信息)

2、应用信息(应用崩溃信息、通知开关状态、软件列表等相关信息)

3、设备参数及系统信息(设备类型、设备型号、操作系统及硬件相关信息)

4、网络信息,网络信息包括:IP地址,WiFi信息,基站信息等相关信息。

5、地理位置信息。

个人信息是现行法律重点保护的数据类型。

此外,目前在手机APP的使用过程中打开某个APP,能连带打开好几个别的App的情况层出不穷,这种自动操作引发用户对手机里信息被盗取的担忧,事实上究其原因是App为了保证被用户继续使用,就要尽可能多的“刷存在感”,否则久而久之用户就会弃之不用,甚至卸载。如果App开发者选择了采用联合唤醒的机制或者其他类似机制来“保活”,这就可能导致大量的服务进程在后台被唤醒、驻留,从而造成不同应用之间的交叉唤醒、关联启动的现象。

基于上述技术规范内容分析,App通过自启动、关联启动等方式唤醒后,如果存在通过权限等机制收集个人信息的行为,且并未在隐私政策等规则中明确指出具体的目的的,其收集个人信息的频度则涉嫌超出了业务功能实际需要。而在我国的《App违法违规收集使用个人信息行为认定方法》第四条第3点指出,收集个人信息的频度等超出业务功能实际需要,可认定为“违反必要原则,收集与其提供的服务无关的个人信息”。

数据显示,近年来工信部持续开展APP侵权整治活动,开展了六批次集中抽检,检查了76万款APP,通报748款违规APP,下架了245款拒不整改的APP。在南方都市报发表于2020年11月27日的文章中点击查看可以看出目前存在的问题。

基于上述问题,为了保障App业务的隐私合规安全,阿里云移动研发平台EMAS近期上线了隐私合规检测专项服务,对移动App隐私安全、个人数据收集和使用进行合规分析。服务提供了全面的隐私合规检测报告和专家建议,从确保形式合规(隐私政策文本合规性)及实质合规(代码层合规性)的一致性,从个人信息收集、权限使用场景、隐私政策等多个维度帮助企业和开发者提前识别App隐私合规相关风险,规避监管通报、应用下架等重大风险。

形式合规:从重知识重人力转为自动检测

监管检查的一大重点是隐私政策协议文本是否按照要求进行了声明。传统的隐私政策由法务编写、检查,对法务专业知识要求较高,并且需专人跟踪监管动态和相关规章,对开发者来说投入比较大。

EMAS形式合规检测基于现行法律法规、标准、部门规章和监管动态等,总结了若干检测点。同时。基于小样本学习、信息抽取、文本分类等AI技术,可对隐私协议文本进行细粒度解析,能精准定位到包括不限于隐私数据采集、存储、第三方SDK使用等描述性信息。

在此基础上,依托于自建的合规知识图谱+智能合规分析引擎,自动化、标准化产出形式合规监测点的检测结果,最大限度地降低人力和时间成本。

目前,形式合规检测部分已有10余篇专利保护。

实质合规:黑盒App的代码检测

合规检测的另一个问题是,我们如何判断实际运行的采集行为与隐私政策声明一致。EMAS合规检测产品服务底层集成的隐私合规检测引擎基于控制流、数据流、污点分析、动态沙箱等动静态分析技术,深度融合隐私专家经验,提供了准确的代码层实质合规检测能力。

实质合规关注敏感权限调用、数据采集、数据传输、数据存储等APP实际数据使用行为,通过静态分析和动态分析两种分析引擎,基于抽象语法树、控制流图、数据流图,刻画App代码控制链路和数据流转链路,结合真机预览及模拟点击的动态分析结果,产出具体的实质合规检测点检测结果,包括敏感数据泄露、超范围采集、弹窗打扰等。

原文链接

本文为阿里云原创内容,未经允许不得转载。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/511121.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

基于 Mesh 的统一路由在海外业务的实践

简介:本文主要介绍我们最近在利用 Service Mesh 架构解决海外业务问题中一些实践和价值探索。我们在海外业务引入 Mesh 架构过程中,充分利用 Istio 的基于 yaml 来描述和定义路由的抽象能力,制定了企业流量治理标准,并将集团海外业…

中国RISC-V机遇与变革下,赛昉科技发布两款高性能新品

8月23日,专注于RISC-V芯片研发的赛昉科技举办2022新产品发布会,发布两款重磅新品:全球首款量产高性能RISC-V多媒体处理器——昉惊鸿7110(JH7110),和全球性能最高的量产RISC-V单板计算机——昉星光 2&#x…

小米电商 Apache Dubbo-go 微服务实践

简介:2021 年是小米中国区电商部门变动调整较大的一年,小米中国区早期电商、服务体系建立在 Go 语言构建的微服务体系之上,由内部自研的 Go 语言微服务框架 koala 支撑起数以千计的微服务应用。随着业务的发展,新零售体系的成立以…

RocketMQ 端云一体化设计与实践

简介:本文首先介绍了端云消息场景一体化的背景,然后重点分析了终端消息场景特点,以及终端消息场景支撑模型,最后对架构和存储内核进行了阐述。我们期望基于 RocketMQ 统一内核一体化支持终端和服务端不同场景的消息接入目标&#…

计算机死机的时候,它在干什么?

作者 | 轩辕之风来源 | 编程技术宇宙今天花几分钟跟大家分享一个很有意思又能涨知识的问题:电脑死机的时候到底在干什么?电脑死机,应该每个接触计算机的小伙伴都经历过吧。尤其是早些年,电脑配置还没现在这么高的时候,…

交付铁三角的故事之兵戎相见

简介:大家好,交付铁三角带着全新的故事来啦!一直被应用交付难题所困扰的他们这次又遇到了新的难题,售前大佬的一句客户资源规划缘何让开发铁子暴怒,交付小锤的劝架为何致使自己的交付团队陷入这场漩涡之中,…

一位“老程序员”的反思:C、Python、Java 不可兼得,专心学好一门编程语言就行!...

摘要:大多数程序员在其职业生涯中,接触到的编程语言不止一种,但主要掌握并运用的多数只有一门。那么在数量繁多、适用领域各不相同的编程语言中,哪一门更适合你来学习呢?“老程序员”Eleanor Berger 总结了这些年来他对…

高效使用Java构建工具|Maven篇|云效工程师指北

简介:高效使用Java构建工具|Maven篇。众所周知,当前最主流的Java构建工具为Maven/Gradle/Bazel,针对每一个工具,我将分别从日常工作中常见的场景问题切入,例如依赖管理、构建加速、灵活开发、高效迁移等&am…

布局云与边缘之后,Akamai 为何加码安全领域

作者 | 宋慧 出品 | CSDN 云计算 随着云的深入和普及,云上的安全也变得愈加重要。CSDN 系列技术直播栏目《大咖来了》就曾重点讨论 云上安全的攻防之道 ,以及云原生的安全发展。 最近,发明 CDN 技术的资深技术厂商 Akamai,继增强…

Dubbo-go 服务代理模型

简介:HSF 是阿里集团 RPC/服务治理 领域的标杆,Go 语言又因为其高并发,云原生的特性,拥有广阔的发展前景和实践场景,服务代理模型只是一种落地场景,除此之外,还有更多的应用场景值得我们在研发的…

探索AI视觉技术新应用,夸克扫描王首推“离线模式”端侧AI算法提升隐私安全

手机扫描正在超越传统扫描仪,给大学生和职场人带来更高效、更便捷的信息服务体验。 在基于手机相机功能的搜索行为中,大学生的学习场景占比超过一半。 手机扫描的“离线模式”,让夸克成为第一个将扫描AI算法上端的App。 各大高校开学在即&…

作业帮云原生降本增效实践之路

简介:目前,作业帮已经和阿里云有一个关于 AEP 的 tair 方案的结合,在新的一年希望我们有更大规模的落地。文章里讲得比较多的是关于降本做的一些技术改进,其实在降本增效这里面还有很大一块工作量是运营,成本运营我们也…

基于 Serverless 打造如 Windows 体验的个人专属家庭网盘

简介:虽然现在市面上有些网盘产品, 如果免费试用,或多或少都存在一些问题, 可以参考文章《2020 国内还能用的网盘推荐》。本文旨在使用较低成本打造一个 “个人专享的、无任何限速的、如 Windows 体验的私有云盘”。 作者 | 西流…

Apsara Stack 技术百科 | 数字化业务系统安全工程

简介:数字化平台已经与我们生活紧密结合,其用户规模庞大,一旦系统出现故障,势必会造成一定生活的不便。比如疫情时代,健康码已经成为人们出门必备的条件,一旦提供健康码服务平台出现故障,出行将…

支撑百万级传感器的延时队列

文/升哲科技 刘鹏 摘要:本文主要描述升哲科技在打造物联智慧城市平台过程中关于如何实现延时队列服务的技术选型经验、延时队列服务的架构设计以及延时队列的底层细节实现原理。 背景 升哲科技是一家物联网与人工智能领域的国家高新技术企业、独角兽企业。 要打…

深度解析|基于 eBPF 的 Kubernetes 一站式可观测性系统

简介:阿里云 Kubernetes 可观测性是一套针对 Kubernetes 集群开发的一站式可观测性产品。基于 Kubernetes 集群下的指标、应用链路、日志和事件,阿里云 Kubernetes 可观测性旨在为 IT 开发运维人员提供整体的可观测性方案。 作者:李煌东、炎…

系列解读SMC-R:透明无感提升云上 TCP 应用网络性能(一)| 龙蜥技术

简介:已有的应用若想使用RDMA技术改造成本高,那么有没有一种技术是不做任何改造就可以享受RDMA带来的性能优势? 文/龙蜥社区高性能网络SIG 引言 Shared Memory Communication over RDMA (SMC-R) 是一种基于 RDMA 技术、兼容 socket 接口的内…

技术引领未来, IDC TechScape中国数据安全发展路线图首发

2022年8月26日,IDC 2022 CSO全球网络安全峰会(中国站)在上海隆重开幕,会上首次发布《IDC TechScape:中国数据安全发展路线图,2022》。报告认为,帮助用户构建全方位数据安全治理体系将成为大趋势…

DataV 3D 平面地图 2.0 焕新上线

简介:DataV3月,3D平面地图2.0现已上线~ 3D 平面地图 2.0 现已上线~ 让我们来看看更新了哪些功能吧! 01 交互升级,省市区自由下钻 自带行政区域数据,无需配置: 甚至,可以通过「蓝图编辑器」实…

PolarDB-X 发布 2.1.0 版本,Paxos 开源

简介:2022年4月1号,PolarDB-X 正式开源X-Paxos,基于原生MySQL存储节点,提供Paxos三副本共识协议,可以做到金融级数据库的高可用和容灾能力,做到RPO0的生产级别可用性,可以满足同城三机房、两地三…