近日,个人信息处理“最小必要”案例专家评审会在京顺利召开。会议邀请了来自中国法学会法治研究所、公安部一所检测中心、中国科学院信息工程研究所、清华大学、中国人民大学、北京邮电大学、北京市软件测评中心等单位的十余位专家参加案例评审。
会上,中国信息通信研究院泰尔终端实验室介绍了本次案例征集工作的背景情况和评选标准。各企业代表介绍了落实个人信息处理“最小必要”相关实践方案,相关专家结合专业研究及经验进行了提问和打分点评。海云安凭借在移动应用安全领域创新的产品及专业的服务从众多案例中脱颖而出,成功入选个人信息处理“最小必要”优秀案例。
海云安个人信息保护“最小必要”典型案例
案例概述:
“某移动应用”是一款旅行助手类移动应用,旨在为用户提供全方位的旅行规划、景点推荐、酒店预订等服务,帮助用户轻松愉快地规划和享受旅行。然而,随着移动应用的普及,个人信息保护成为用户和监管机构关注的焦点。为了确保用户隐私安全,"某移动应用"特别注重个人信息的最小化收集和保护最小必要原则。
为了应对个人信息保护的问题,"某移动应用"采取了一系列解决方案:
(一)最小必要原则:"某移动应用"在个人信息收集时遵循最小必要原则,只收集与应用功能相关且必要的信息,如目的地、出行时间、用户账户等。不会过度收集敏感信息,以降低用户隐私泄露的风险。
(二)应用在用户注册和登录时向用户明确展示隐私政策,并在应用内提供随时查阅的入口。隐私政策详细说明个人信息的收集、使用、共享和保护方式,让用户清晰了解信息处理过程。
(三)在获取用户权限时,"某移动应用"向用户详细解释权限用途,并严格控制权限使用。应用定期进行合规性检查,确保符合相关法律法规和监管要求。
(四)经验证,"某移动应用"采用AES、RSA等加密算法对用户个人信息进行加密处理,保障信息在传输和存储中的安全性。建立数据备份和恢复机制,防止数据丢失和被黑客攻击。
案例创新点:
一、技术创新点多:细粒度动静融合检测,人工结合工具进行深度智能检测。
1)采取SAST、DAST和IAST等多维AST技术提高检测准确性。充分发挥各种技术优点,进行移动应用动态模糊测试、运行时行为监测、移动应用漏洞智能识别,能够准确高效地发现被测程序存在的安全问题缺陷;
2)基于深度学习的场景化隐私政策合规辅助判定方法。基于被测移动应用代码,动态量化识别安全风险,从数据安全和隐私合规角度,进行基于深度学习的场景化隐私政策合规辅助判定问题和风险级别,给出测试结论;
3)采取基于虚-实结合的动态加固自对抗技术,可以识别APP程序常见厂商的加壳加固处理手法不少于10种,可对APP程序实行自动脱壳处理,发现更深层次的移动应用安全问题、恶意行为等。支持自动下载、自动安装、自定义脚本、自动登录、自动遍历等,已经自动卸载等情场,形成面对大规模检测需要的隐私保护的移动应用功能自动遍历方法;
4)通过多插件架构进行隐私保护多行为检测组合,支持获取和修改移动应用软件多种基本静态信息,也可以通过对运行时函数调用、权限授权、文件读取、网络通信等行为分析,对APP的个人信息收集、保存、传输、使用过程进行监控,对违法违规行为进行检测,有助于细粒度、深层次发现APP隐私违法违规行为。
5)平台辅助以深度学习的场景化隐私政策合规判定方法,确保检测结果漏/误报率低,高危漏洞95%以上准确,准确率高。项目成果应用广泛,可应用于不同省市监管、应用市场等场景。工具目前已在全国多地进行推广和落地,主要包括广东、北京、江苏、湖北等。工具的核心价值有助于企业提升自身个人信息保护能力和水平,进而促进整个行业对个人信息保护能力的提升。
产业价值:
(1)用户增长和留存:个人信息保护能提升用户对应用的信任和满意度,促进用户增长和留存。量化指标成效包括用户新增量、用户活跃度提升、用户留存率增加等。
(2)收入增长:用户对于个人信息保护的关注意味着他们更愿意选择安全可靠的应用,因此个人信息保护将带来更多收入来源,如广告收入、付费服务等的增长。
(3)市场竞争优势:在个人信息保护成为消费者重要考量的时代,移动应用通过良好的个人信息保护实践,将获得竞争优势,吸引更多用户选择该应用,进一步扩大市场份额
(4)合规风险降低:严格遵守个人信息保护法律法规和规范,降低应用因违规而可能面临的处罚和诉讼风险,保障企业的长期发展和稳健运营。
综上所述,通过移动应用对个人信息最小必要保护的实现,将为用户、企业和产业带来多重价值。在社会层面,提高用户隐私保护水平,增强用户满意度,推动产业信用体系建设;在产业层面,提升用户增长和留存,增加收入来源,获得市场竞争优势,降低合规风险。通过这些价值和效果的实现,应用将在不同的应用市场上脱颖而出。同时,该应用的个人信息保护实践也将为整个移动应用产业树立良好的典范和标杆,推动整个产业向着更加安全、可信赖的方向发展。