发展不忘合规DT时代看业内大佬如何做好数据合规建设

近年来,因过度收集用户信息被曝光的App数不胜数,移动应用俨然已成数据泄露的重灾区。都说数据如水,做为开发者既要最大限度挖掘其价值,也应筑牢安全的堤坝。那么,用户的隐私权谁来捍卫?

在DT时代的背景下,数据逐渐成为推动数字经济发展的核心生产要素,成为各行业的战略资源,给社会生产与生活方式带来了深远的影响。人们在享受大数据带来便利的同时,也面临着个人隐私数据泄露的风险。

图片来自网络

近年来,因过度收集用户信息被曝光的App数不胜数,移动应用俨然已成数据泄露的重灾区。都说数据如水,做为开发者既要最大限度挖掘其价值,也应筑牢安全的堤坝。那么,用户的隐私权谁来捍卫?

3月16日至20日,由MobTech发起的【移动应用安全系列直播课】,特邀来自爱加密、游族网络、360等知名互联网企业的5位资深行业大咖坐镇,从国家政策、第三方监控、技术防护等多重维度出发,帮助开发、产品、运营为App做好信息安全防守,并有的放矢、可操作地解决App开发中的数据合规使用及安全隐私问题的处理。

政策解读:企业如何把握数据合规的底线

3月6日,国家标准《个人信息安全规范》2020版正式发布。对于新规范中对个人信息的界定,MobTech法务总监叶娟是这样解读:“新规中凸显了个人信息的“关联性”特征;但关联有强关联与弱关联之分,如果强关联,则从某种程度确实可以做到《网络安全法》中对个人信息的界定‘识别特定自然人身份或者反映特定自然人活动情况‘;但如果是“弱关联”,则‘识别’或‘反映’特定自然人就有些牵强了。”

而对于业内关注度较高的精准营销行业,在数据隐私安全的处理上,叶娟反映:“业内多是运用IMEI/IDFA+标签进行营销活动。投放平台、数据提供方应关注数据来源的授权合规、做好相关数据保护、并且应将数据在存储及传输过程中进行加密,以防止相关数据的泄露。”

在分享末尾,叶娟提示广大使用App的用户,一定要慎重阅读并理解App的隐私政策,在从中列明的符合信息收集的合理、正当、必要原则所采集的信息,才可被收集。如遇到App读取手机号等敏感信息,应采取合理的措施进行加密等,以防止个人敏感信息被泄露而导致信息主体受到损害。

业内分析:移动App隐私安全与合规的要点

“在用户注销账户过程中,再次验证也存在这一定风险。”爱加密移动安全研究院副院长魏超在分享课程上画了重点,“在注销账户的过程,如遇到需收集个人敏感信息核验身份时,应明确对收集个人敏感信息后的处理措施,如达成目的后,应当立即删除或匿名化处理等。”

在分享课程中,关于企业如何自查整改进度的网友提问,魏超表示:“自查整改进度,需要个人信息主体接收并授权同意时,不能仅仅通过某一个业务功能的描述,而让客户一次性接受。如果用户三个业务功能都需要使用,则在申请时,三个业务功能都要描述清楚。不应通过捆绑产品或服务各项业务功能的方式,要求个人信息主体一次性接受,并授权同意其未申请或使用的业务功能,收集个人信息的请求。”

第三方应用:如何应对政策调整优化产品

随着App“隐私”纠纷日益增多,“隐私政策”现已成为产品设计的重中之重。对于开发者而言,应率先自查,完善产品隐私政策,或对有涉嫌违规的内容进行整改,才可避免今后纠纷的发生。MobTech战略项目总监余勋杰表示:“为规范开发者用户接入第三方应用的合规性,MobTech特编写《MobTech开发者应用合规指南》,避免开发者因违反相关法律法规而遭受损失。 ”

“作为一家多年专注服务移动应用开发者的平台,MobTech在物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等十个方面均达到国家信息等级保护三级认证标准,有能力并且有信心持续为开发者用户提供可靠、安全的服务支持。” 余勋杰说道。

安全检测:Linux反弹下如何利用Shell检测

针对网友提问,对于反弹shell检测机制如何与告警平台联动? “AgentSmith-HIDS可以将Hook的信息实时传递到Kafka,可以通过自己到SIME或者其他平台进行联动分析/自动告警”游族网络安全工程师陈越回答道。

另外,他在分享中提示从业者:“如遇到反弹shell发生的问题,防御可通过出口Proxy定制主动外连白名单,防止主动连接非业务IP;在主机层进行通过HIDS对异常进程/网络行为进行联动封禁/阻断。”。

编程开发:移动应用如何做好代码安全防护

针对非核心及核心功能的弹框次数限制,360高级技术经理贾俊涛指出:“当非核心功能权限申请被拒绝后,用户再次用到这个业务功能时,才可再次发起引导用户开启权限,但总体引导开启权限县次数不得高于3次,避免对用户使用应用产生干扰。“

“而核心功能在首次安装启动,或者使用功能时,应明确、合理的告知用户使用场景和功能说明,确保用户能够清晰明了地知道应用所申请权限的场景、用途、目的等信息;避免频繁弹框申请多个权限,通过一次弹窗批量申请核心功能所需权限;对于其他敏感权限,需要在用户使用对应业务功能时动态申请。” 贾俊涛表示。

分享课程历时5天,大佬们在直播课堂上的分享干货满满,吸引近4000名(UV)相关从业人士前往观看学习,最高在线观看量高达8904次(PV)。

写着末尾,建设数字中国,既要发展世界领先的数字经济,也要形成相应的数据安全制度,构建规范、合法、高效的数据流通环境。唯有安全,方可行稳致远。为了规范开发者用户接入第三方应用的合规性,MobTech作为全球领先的数据智能科技平台,已全新升级隐私条款细则,愿与您一同保护终端用户的个人信息安全,合法合规地为移动App开发者服务。

0条评论 添加新讨论

登录后参与讨论
Ctrl+Enter 发表