大資料時代下，App資料隱私安全你真的瞭解麼？

你是否有過這樣的經歷：你和朋友聊天表達你近期想要購買某件商品，第二天當你開啟某購物軟體時，平臺向你推送的商品正是你想要購買的；或者，你是否接到過陌生來電，他們準確的報出了你的名字和年齡......

近年來，資訊科技快速發展，大資料時代已經來臨。大資料為我們帶來資訊共享、便捷生活的同時，還存在著個人隱私洩漏等諸多資料安全的問題。

筆者發現不少公司目前依託於推送等採集資料工具沉澱使用者原始資料，透過上層資料服務變現，其作為一種商業模式為App業務引入了巨大的資料隱私保護風險。例如在某推送服務提供的《開發者協議》中，服務商明確要求App開發者《隱私政策》中須告知其App使用者主體同意SDK提供者收集並使用其個人資訊。其中包括1、裝置資訊，裝置資訊包括：裝置識別符號（IMEI、IDFA、Android ID、MAC、OAID、IMSI等相關資訊）2、應用資訊（應用崩潰資訊、通知開關狀態、軟體列表等相關資訊）3、裝置引數及系統資訊（裝置型別、裝置型號、作業系統及硬體相關資訊）4、網路資訊，網路資訊包括：IP地址，WiFi資訊，基站資訊等相關資訊。 5、地理位置資訊。這些隱私資料是新個保法重點保障的物件，相關資訊的蒐集為個體隱私保障引入了巨大風險。

同時也有使用者發現，目前在手機APP的使用過程中開啟某個APP，能連帶開啟好幾個別的App，這種自動操作引發使用者對手機裡資訊被盜取的擔憂，事實上，究其原因，是App為了保證被使用者繼續使用，就要儘可能多的“刷存在感”，否則久而久之使用者就會棄之不用，甚至解除安裝。如果App開發者選擇了採用聯合喚醒的機制或者其他類似機制來“保活”，這就可能導致大量的服務程式在後臺被喚醒、駐留，從而造成不同應用之間的交叉喚醒、關聯啟動的現象。 

基於上述技術規範內容分析，App透過自啟動、關聯啟動等方式喚醒後，如果存在透過許可權等機制收集個人資訊的行為，且並未在隱私政策等規則中明確指出具體的目的的，其收集個人資訊的頻度則涉嫌超出了業務功能實際需要。

而在我國的《App違法違規收集使用個人資訊行為認定方法》第四條第3點指出，收集個人資訊的頻度等超出業務功能實際需要，可認定為“違反必要原則，收集與其提供的服務無關的個人資訊”。

公民個人資訊不容侵犯，確保APP不“越界”，國家一直在行動。資料顯示，近年來工信部持續開展APP侵權整治活動，開展了六批次集中抽檢，檢查了76萬款APP，通報748款違規APP，下架了245款拒不整改的APP。在南方都市報發表於2020年11月27日的文章中，指出個推、小米SDK（軟體開發工具包），以及舊版本的360加固工具等軟體存在違規收集個人資訊的第三方元件的問題。

為了保障App業務的隱私合規安全，阿里雲移動研發平臺EMAS近期上線了隱私合規檢測專項服務。該服務是依據國家相關法律法規及行業規範，對移動App隱私安全、個人資料收集和使用進行合規分析。服務提供了全面的隱私合規檢測報告和專家建議，從確保形式合規（隱私政策文字合規性）及實質合規（程式碼層合規性）的一致性，從個人資訊收集、許可權使用場景、隱私政策等多個維度幫助企業和開發者提前識別App隱私合規相關風險，規避監管通報、應用下架等重大風險。

阿里雲移動研發平臺EMAS高度重視個人資訊的保護，對裝置許可權獲取遵循最小化原則，禁止蒐集任何裝置隱私資料用於其他場景的資料服務變現，EMAS隱私政策適用於移動推送/HTTPDNS/移動熱修復/遠端日誌/崩潰分析/效能分析/移動使用者反饋等EMAS全平臺產品，我們歡迎對App隱私合規話題感興趣或存在疑問的開發者加入EMAS開發者社群，共同探討合規話題，為使用者構築隱私保護的堅實防線。

>>歡迎加入EMAS開發者釘釘交流群<<

群號：35248489