阿里雲EMAS｜App隱私合規“免費”自動化檢測

為什麼要進行App隱私合規檢測

2021年11月1日《個人資訊保護法》正式生效；今年6月14日，國家網際網路資訊辦公室公佈《移動網際網路應用程式資訊服務管理規定》，這是針對App的最強監管新規，於8月1日起正式實施。新規要求應用程式提供者和應用程式分發平臺應當履行資訊內容管理主體責任，建立健全資訊內容安全管理、資訊內容生態治理、資料安全、個人資訊保護、未成年人保護等管理制度。

工信部資訊通訊管理局副局長魯春叢去年曾在中消協第五屆理事會第七次會議上表示，針對消費者投訴熱點，工信部將繼續加強App體系化治理： “彈窗資訊標識近於無形、關閉按鈕小如螻蟻、頁面偽裝瞞天過海、誘導點選暗渡陳倉……工業和資訊化部針對網友提出的彈窗資訊不勝其煩等問題進行了集中整治。”

8月-10月上海相關部門將聚焦於在國內單一應用市場內下載量/安裝量達500萬次以上的App應用進行集中嚴格檢查。

EMAS App隱私合規檢測

EMAS App隱私合規檢測可解決App應用關於隱私合規的問題，防止被下架。

App隱私合規檢測 提供了全面的隱私合規檢測報告和專家建議，從確保形式合規（隱私政策文字合規性）及實質合規（程式碼層合規性）的一致性，從個人資訊收集、許可權使用場景、超範圍採集、隱私政策、三方SDK等多個維度幫助企業和開發者提前識別App隱私合規相關風險，規避監管通報、應用下架等重大風險。

EMAS App隱私合規檢測什麼？

依據工信部164號文《工業和資訊化部關於開展縱深推進APP侵害使用者權益專項整治行動的通知》等規範要求，對App進行隱私合規評估服務，並出具合規報告。

• 隱私政策協議合規分析
• 程式碼許可權檢測
• 個人資訊採集項檢測
• 三方SDK檢測
• 風險項及整改建議

產品技術介紹

形式合規：從重知識重人力轉為自動檢測

監管檢查的一大重點是隱私政策協議文字是否按照要求進行了宣告。傳統的隱私政策由法務編寫、檢查，對法務專業知識要求較高，並且需專人跟蹤監管動態和相關規章，對開發者來說投入比較大。

EMAS 形式合規檢測基於現行法律法規、標準、部門規章和監管動態等，總結了若干檢測點。同時。基於小樣本學習、資訊抽取、文字分類等 AI 技術，可對隱私協議文字進行細粒度解析，能精準定位到包括不限於隱私資料採集、儲存、第三方 SDK 使用等描述性資訊。

在此基礎上，依託於自建的合規知識圖譜+智慧合規分析引擎，自動化、標準化產出形式合規監測點的檢測結果，最大限度地降低人力和時間成本。

實質合規：黑盒App的程式碼檢測

合規檢測的另一個問題是，我們如何判斷實際執行的採集行為與隱私政策宣告一致。 EMAS 合規檢測產品服務底層整合的隱私合規檢測引擎基於控制流、資料流、汙點分析、動態沙箱等動靜態分析技術，深度融合隱私專家經驗，提供了準確的程式碼層實質合規檢測能力。

實質合規關注敏感許可權呼叫、資料採集、資料傳輸、資料儲存等APP實際資料使用行為，透過靜態分析和動態分析兩種分析引擎，基於抽象語法樹、控制流圖、資料流圖，刻畫App程式碼控制鏈路和資料流轉鏈路，結合真機預覽及模擬點選的動態分析結果，產出具體的實質合規檢測點檢測結果，包括敏感資料洩露、超範圍採集、彈窗打擾等。相關隱私政策點選： EMAS隱私權政策 ，該隱私政策適用於移動推送/HTTPDNS/移動熱修復/遠端日誌/崩潰分析/效能分析/移動使用者反饋等EMAS全平臺產品。

EMAS App隱私合規檢測流程

1 、上傳未加固的 APK 安裝包

2 、下載檢測報告

3、根據檢測報告裡的報錯和建議修改，再次檢測，修改完善

產品功能優勢