App隐私及合规评估服务

随着移动应用种类和数量呈爆发式增长，APP侵害用户权益事件层出不穷，为规范个人信息的收集使用，打击涉及个人信息违法犯罪行为，我国相继出台多个涉及个人信息保护相关法律法规。与此同时，中央网信办、工信部、公安部、市场监管总局已指导成立App违法违规收集使用个人信息专项治理工作组（App专项治理工作组）组织开展App收集使用个人信息评估工作，已逐步形成常态化的App侵害用户权益行为通报，截止目前累计通报21批次，仅2021年就通报了11批次，通报中涉及的未及时整改条目2000余条。

App隐私保护以及合规毫无疑问已经成为企业发展红线。这就要求企业在App研发过程中对App进行持续的隐私合规评估，避免研发出来的App上线时因违反相关的法律法规，导致不能上架，或是被下架。

App隐私及合规评估服务典型应用场景

图片
隐私合规检测

主要针对App的隐私收集行为进行监测，模拟真实用户环境的机器检测、静动态检测，针对APP的隐私数据采集等行为进行识别，依据国家相关法规及规范检测行为合规性。

图片
行为合规检测

动态监测App行为，确保App的行为符合APP用户权益保护测评规范，基于静动态检测，对各类权限的获取进行识别，检测敏感权限使用合规性。

图片
SDK合规监测

大数据结合静动态检测，对于APP集成的第三方SDK的隐私合规性进行检测，并提供代码漏洞分析。

03

App隐私及合规风险预防

安全评估

虽然问题很多，但是解决办法始终是一样的——做安全评估，推动提供者整改，在公司内把控接入。并根据相关规范完成相关最佳实践。

持续性合规

在App版本更新后及时完成增量评估工作。一般触发安全评估是在版本发生变化的时候。当然还可以根据情况增加一起触发安全评估的场景，如接入方式发生变化、年度评估等等。

及时更新

及时跟进App相关技术线路，内嵌的SDK等的更新，保证APP最新可用。其实，现在很多家SDK提供者都在为了更合规而优化产品，SDK迭代的速度很快，保持SDK的随时更新并参见其定制的合规指南，可以解决一部分合规问题。

来源性评估

针对在APP中使用的第三方SDK进行基本信息梳理，包括：SDK名称、版本、公司名称、公司资质、是否签署数据处理协议、隐私政策、合规指南、SDK安全性资质、沟通回复速度、是否有发生过安全事件等。

代码安全性评估

使用专业的代码安全工具/漏洞扫描工具完成App代码已经第三方SDK的代码评估，减少潜在的使用风险。

《隐私政策》对使用第三方SDK的使用情况披露详尽

对第三方SDK的基本情况调研（网站、合规指南、数据处理协议等等）获取的信息+测试结果信息，就是最终需要对外披露的信息了，这里会存在披露颗粒度的问题，是披露到大类还是到字段需要自己把控。

《信息安全技术-移动互联网应用程序（App）SDK安全指南》中附录D给出了一个披露第三方SDK的示例表格（很细），包括SDK名称、命名空间、公司名称、SDK用途、收集个人信息、申请权限情况、隐私政策链接。