本文作者:爱加密CTO程智力
随着以 5G、大数据、云计算、人工智能和物联网等为代表的新兴技术的成熟,数字经济得到了迅速的发展,影响着各行各业和人们的日常生活。伴随着数字经济的发展,政府和企业在数字化改革中产生的数据资产成为其最为重要的核心竞争力。这其中个人信息数据的安全由于关系到国家安全和人民群众的切身利益,显得尤为重要。
个人信息的过度采集、滥用和泄露会导致个人隐私的泄露,对个人的正常生活造成严重影响,使得不法分子利用个人隐私给个人的财产、名誉等带来损失。从国家的层面来看,利用大数据和人工智能等技术对大规模的个人信息数据进行分析,可能造成国民敏感信息泄露,甚至潜移默化地引导民众的思想立场和选择,从而危害国家安全。
正是认识到个人信息安全的重要性,我国在《中华人民共和国网络安全法》的框架下,陆续制定并发布了《数据安全法(草案)》和《个人信息保护法(草案)》,从法律层面明确了个人信息保护的目标和要求,明确了个人的权益和相关方的义务。
无论是《数据安全法(草案)》还是《个人信息保护法(草案)》给出的都是针对数据和个人信息保护的最高目标和原则,但并不会包括具体的落地方案。法律的落实需要通过有效的监管实现,监管的目标是实现长期持续合规的个人信息安全环境,这就需要打造良性运转的监管生态。生态的定义是在一定的空间内,相关因素构成统一整体,相互影响、相互制约,并在一定时期内处于相对稳定的动态平衡状态。所以监管生态的建设就是通过标准规范、技术支撑、流程制度和运营体系的搭建融合,形成自我运转,自主进化的自愈型监管生态,实现持续有效的合规监管,保护个人信息的安全。
监管生态的建设包括如下几个主要部分:
1、健全的标准规范
监管需要标准,只有制定了清晰的合规标准才能有效的执行好监管的动作。为了落实相关法律的监管目标,中央网信办、工信部、公安部、市场监管总局四部委展开了个人信息专项治理活动,陆续发布了《个人信息安全规范》、《移动互联网应用程序(App)收集使用个人信息自评估指南》、《App违法违规收集使用个人信息行为认定办法》和最新的《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》等相关规范。工信部也陆续发布了337号,164号文件。这些标准规范的发布都给监管生态的建设提供了具体明确的方向和标准。
2、成熟的技术支撑
我国目前活跃的APP数量超过400万款,同时APP的特点是更新迭代速度快,往往1-2周就会有新版本的迭代。因此要实现全面的监管靠人工是不现实的,一定需要通过成熟的自动化技术手段提供支撑才能够做到监管范围和检测深度的全面覆盖。技术的关键是根据相关标准规范的具体检测点,提供全面、高效、准确的自动化检测能力,发现违规的APP。
3、完善的流程
有了具体的标准和相关技术,在实际执行监管中,需要有清晰的流程和制度,贯穿整个APP的生命周期,包括设计、开发、测试、防护、发布、运营和回收等。比如,相比较以前的规范,在最新的“暂行规定”中,明确定义了APP开发者、运营者、分发平台、第三方服务提供者,移动智能终端生产者和网络接入服务提供者的责任和义务,从流程上对APP的全生命周期提供了全面的个人信息保护指导依据。同时,在最新的“暂行规定”中,也明确提出了APP违规的投诉举报、处罚措施,完善了APP的发现、备案、监管、检测、认证、投诉举报、整改和处罚的流程闭环。
4、高效的运营体系
监管生态的目标是打造持续合规的APP个人信息安全环境,而持续合规的关键就在于高效的运营体系的搭建。工信部相关领导提出的以省为单位建设个人信息安全运营中心则是高效运营体系落地的具体实现。由监管部门牵头,与相关安全厂商合作,建设APP个人信息安全运营中心,由专业的运营团队对辖区内的APP、小程序、SDK和公众号的泛在应用进行持续监督运营,实现持续合规的监管目标。
目前监管的方式主要是通过监管机构月度通报,责令整改,逾期不改下架的方式来实现的。在当前的环境下,通过通报、责令整改的方式能够达到影响最大化,帮助APP的相关方形成个人信息保护的习惯,满足合规要求,避免APP个人信息风险的主动违背,快速形成APP个人信息安全合规的趋势。同时,我们也对监管提出一些新的挑战和期望:
关于监管范围:
目前的监管范围是各大应用商城及安全支撑厂商报送,大多数的监管是记录在案的正规企业运营的合法APP,这些APP的长期趋势和主观能动性都是在实现长效合规的前提下开展业务。真正具有主观违规采集、滥用、泄露个人信息的往往是未记录在案的黑、灰产APP和涉及黄赌毒等违法活动APP。这些APP往往通过非官方渠道传播,频繁变更名称、运营主体逃避监管,给国家安全和广大群众的个人隐私带来了严重的风险。在监管中,如何能主动的发现这些“地下”APP,同时进行实时封堵,扩大监管范围是我们需要思考的一个问题。
关于监管的时效:
月度的通报整改能够实现点到点的安全合规,但是由于APP的快速迭代特性,在检测通报的时间间隔点之间,如何能够持续对相关APP的合规性、版本一致性等进行持续监督,实现由点到线的持续合规监管,也是在打造监管生态时需要考虑的重要维度。
对于监管生态的建设,我们的目标是依据健全的标准规范,以成熟的技术支撑,建设具有完善流程的最优运营体系,力求以最小代价形成具有自我进化,自我运转的自愈型监管生态。所以,我们建议建设以监管持续合规生态+企业自治合规生态为核心的双生态监管生态体系:
企业自治合规生态包括APP开发者、运营者、分发平台、第三方服务提供者,移动智能终端生产者和网络接入服务提供者等相关方。自治合规生态的意义在于通过规章制度、组织建设、人员分配、技术手段等方式实现APP的主动持续合规。
对于监管机构来说,监管持续合规生态的建设原则包括如下三个维度:
具体说来,监管体系的建设关键能力包括:
资产发现能力:
监管的基础是识别监管目标,在这里也就是辖区内的APP以及SDK、公众号、小程序等泛在应用。APP的资产辖区识别往往以运营者所在地或注册地为标准,通过资产发现技术最大范围地识别辖区APP,实现全面的监管范围覆盖。通过对数据流量的清洗检测,能够最大化的实现快速对黑灰产和涉及黄赌毒APP的识别,提供全面的资产发现。同时,针对已经发现的APP资产,要通过数据格式化、数据清洗等方式对数据进行统一存储,便于后面的使用和分析。
备案:
借助现实社会中对居民的管理,所有居民建立户籍备案发放shenfenzheng ,体现个体的身份识别和操守。监管体系可以通过对正规APP的备案实现白名单管理。备案的APP纳入监管体系,发放证书,打上标记。监管、检测、认证、整改等只针对备案的APP,所有未备案APP一律按不合规处置,极大的减少了监管的工作量,也让所有违规的APP无所遁形。
高效检测:
通过成熟的自动化技术对APP资产进行全方位的合规检测,检测维度不仅是个人信息合规性,还可以同时包括通用安全风险、内容舆情、恶意程序、恶意行为、跨境传输等安全维度。通过检测,能够快速识别APP资产中的违规应用,便于后面的执法、整改和下架等监管动作。
持续监督:
持续监督的关键在于借助资产发现、备案和高效的技术检测能力,要实现对APP合规的持续监督。针对发现的资产和备案的数据,比对其中的版本一致性,涉及个人信息合规的隐私条款、静态动态权限、业务范围等相关一致性等,保障实际流通APP与备案合规APP一致,从而实现持续合规的目标。
以双生态为核心的完整监管生态建设关键在于形成各方的监管平衡,以法律为目标,以各个标准规范为指导,企业实现主动合规,监管机构实现主动监管,通过监管数据的流动,自我运营实现监管能力的最优化。因此,我们也建议借助威胁数据共享的思路,由监管机构牵头,在APP备案大数据库的基础上,建立APP合规行为数据分享平台,由企业按照固定的频率主动上报APP合规主动行为,包括版本变更、隐私调整是否变动、业务是否变动、权限是否变动、SDK是否变动等。借助企业上报数据,能够在检测中更加精准的进行自动化的检测和识别。同时,通过对检测结果的比对,衡量企业上报行为的准确度,建立APP个人信息安全合规的信誉度指标,给个人信息安全监管生态的建设提供更多的指导和监管维度。
爱加密专注于移动应用安全领域多年,针对移动应用的安全防护与建设,可提供完善的产品和解决方案。爱加密技术副总裁程智力提出的移动安全防护双生态体系,分别包括监管生态和企业生态的构建,其中监管生态体系的构建以多项网络安全及个人信息安全法律为依据,着重从APP个人信息安全检测、个人信息合规监管、应用认证备案管理、应用资产发现与梳理、安全合规持续监督管理等方面来构建。
个人信息安全检测
针对移动应用、SDK中出现个人信息的非法收集、滥用、泄露等严重问题,结合相关法律法规和监管要求,为监管机构、测评机构、应用开发企业等推出的合规检测系统。该系统针对移动应用的基本信息、漏洞信息、收集和使用个人信息行为、通讯传输行为、软件和技术供应链情况、技术脆弱性、隐私政策规范性等进行多维度安全检测和合规检测,并出具专业的个人信息安全报告。帮助监管机构准确、有效地提供行政执法依据;帮助测评机构出具专业的个人信息测评报告。
个人信息合规监管
要实现自动化检测能力的不断优化和提升,需要具有APP安全大数据能力,对历史的检测结果进行积累、分析、对比。通过爱加密移动应用大数据平台,可帮助构建APP的隐私知识库、权限库、动态行为库等,提升自动化检测、监测能力。
认证备案管理
平台依据可靠性、可拓展性、灵活性为原则,以移动应用备案业务流程为核心,建立面向企业进行申请、面向公众提供查询、面向监管方审核存档的移动应用备案管理平台,利用动静态检测、大数据抓取、机器清洗聚合等多种技术手段,赋能备案监管的各个流程节点,保障移动应用监管业务的高质量建设。
应用资产发现与管理
资源发现系统,可对各个渠道新增应用数量的监控,根据每个渠道的更新频率,对采集资源进行合理的分配和调度。通过自动化程序,对渠道、SDK进行收集和人工处理,实时监控各个渠道的运行状态和异常情况,进行人工干预和处理。
安全合规持续监督管理
以移动应用安全大数据中心为依托,按区域、行业和功能分类实时发现最新的移动应用及应用的个人信息、漏洞、盗版、仿冒、恶意、违规等风险并预警。帮助监管机构追溯运营主体,对应用风险处置结果(正常、未整改、下架等)进行实时监督。
个人信息安全的监管生态建设从来不是一蹴而就的,需要相关方共同努力,承担各自的责任和义务。相信随着监管生态的不断完善,在监管机构和各行各业的共同努力下,个人信息安全环境会越来越好,给广大群众的个人隐私和国家安全提供全面完善的保护能力。