首页> 安全资讯 > 牢筑屏障,个人信息安全合规如何有章可循

牢筑屏障,个人信息安全合规如何有章可循

发布时间:2022-09-28

大数据时代背景下,个人信息面临着大规模收集和广泛使用、透明化和网格化趋势,引发了诸多个人信息安全保护问题,越来越多个人信息被不当泄露、滥用、买卖,公民的个人信息处于“裸奔”状态。且个人信息的非法收集和泄露行为屡禁不止,信息非法买卖行为猖獗,严重影响着公民的信息安全。

 

 

个人信息安全保护与公民的人格权益和财产权益息息相关,与社会发展、经济繁荣昌盛紧密相连。作为国内知名的移动信息安全综合服务提供商,爱加密时刻关注我国的个人信息安全发展状况,致力于通过优质的核心技术,帮助企业、应用商店、监管机构、测评机构等实现移动应用的合法合规,并从行业实践着手大力推动我国移动应用个人信息安全保护生态的良好发展,帮助进一步障公民个人信息的全面安全。

 

深耕于移动应用的个人信息安全保护领域多年,爱加密积累了丰富的行业实践经验和服务经验,可提供专业的移动应用安全检测、移动应用个人信息安全检测、移动应用个人信息安全合规评估服务等。具备全方位的个人信息安全检测、安全规范合规、安全应用备案、持续监督等能力,可帮助应用开发企业在应用发布前评估个人信息的安全性和合规性;出具专业的个人信息测评报告,助力企业提升个人信息安全合规能力。

 

评估依据

 

1、全国人大常委会《中华人民共和国网络安全法》

2、全国人大常委会《个人信息保护法》

3、全国信息安全标准化技术委员会《GB/T 35273-2020-信息安全技术 个人信息安全规范》

4、全国信息安全标准化技术委员会《GBT 41391-2022-信息安全技术 移动互联网应用程序(APP)收集个人信息基本要求》

5、全国信息安全标准化技术委员会《信息安全技术 移动互联网应用程序(APP)收集个人信息基本规范(征求意见稿)》

6、全国信息安全标准化技术委员会《移动互联网应用程序(APP)收集使用个人信息自评估指南》

7、全国信息安全标准化技术委员会《网络安全标准实践指南—移动互联网应用程序(APP)个人信息保护常见问题及处置指南》

8、全国信息安全标准化技术委员会《移动互联网应用程序(APP)系统权限申请使用指南》

9、APP专项治理工作组《APP违法违规收集使用个人信息自评估指南》

10、APP专项治理工作组《APP申请安卓系统权限机制分析与建议》

11、四部委《APP违法违规收集使用个人信息行为认定方法》

12、四部委《常见类型移动互联网应用程序必要个人信息范围规定》

13、工业和信息化部《关于开展APP侵害用户权益专项整治工作的通知(工信部信管函〔2019〕337号)》

14、工业和信息化部《关于开展纵深推进APP侵害用户权益专项整治行动的通知(工信部信管函〔2020〕164号)》

15、国家互联网信息办公室《个人信息出境安全评估办法(征求意见稿)》

16、国家互联网信息办公室《儿童个人信息网络保护规定》

17、电信终端产业协会-工信部团体标《移动智能终端与应用软件用户个人信息保护实施指南》

18、电信终端产业协会-工信部团体标《APP收集使用个人信息最小必要评估规范》

19、电信终端产业协会-工信部团体标《APP用户权益保护测评规范》

20、电信终端产业协会-工信部团体标《移动互联网应用程序(APP)用户权益保护测评规范》

21、全国信息安全标准化技术委员会《移动互联网应用程序(APP)使用软件开 发工具包(SDK)安全指引》-只针对SDK检测

22、中国信通院《小程序个人信息保护研究报告》-只针对小程序检测

 

 

核心能力

 

1、应用行为检测

提供硬件级“手机沙箱仿真系统”,实现代码应用“真实”运行分析。沙箱内核跟踪、识别、记录代码的行为活动以及获取行为结果数据。
通过脱壳、反编译分析APK、IPA应用包,解析个人信息关键行为函数,定位代码位置,输出代码片段。
目前手机沙箱及静态行为函数分析可识别100种左右的应用行为。

2、SDK检测能力

静态、动态相结合;
静态:通过唯一标识精准识别SDK信息、版本;
动态:行为调用栈判别、区分行为应用主体或SDK;
识别内容:收集使用个人信息行为、权限使用情况、通信IP次数、收集使用个人信息。

3、通信传输行为分析

Android:对Android原生系统进行行为识别,拦截网络数据,再将数据包发送到后端进行数据解析。
iOS:对iOS原生系统进行行为识别,拦截网络数据,再将数据包发送到后端进行数据解析。

4、存储、传输个人信息

存储个人信息:分析APP运行过程中新建,修改的文件内容,是否将个人信息明文存储至本地;
传输个人信息:分析APP运行过程中传输的数据,是否明文传输,是否对个人信息进行发送至第三方服务器;

通过分析存储、传输个人信息判断个人信息的收集使用是否符合个人信息保护政策内容;

a.可定位行为触发主体;b.函数调用栈分析APP触发的功能位置;

5、云手机(Android、iOS)

全程web端执行,无需安装客户端、插件,无需配备实体沙箱手机,操作更简便;
解决实体沙箱手机升级不及时、故障排查难等问题;
多线程并行,提高检测效率,减少等待过程;
兼容实体沙箱手机,解决云手机繁忙等待问题,适配不同需求。

 

优势价值

 

全面性:
从应用自身到第三方SDK、存储数据到传输数据、代码漏洞到业务漏洞等多维度,实现对移动应用个人信息合规的全面检测。
规范性:
全面覆盖《信息安全技术 个人信息安全规范》、《App违法违规收集使用个人信息自评估指南》等主流安全检测标准、法规条文及行业标准。
准确性:
采用自主研发的沙箱系统和DPI技术对移动应用深度检查,确保报告准确性。
自动化:
采用全自动化功能遍历技术,模拟移动应用真实运行场景,快速全自动生成报告。
加入收藏