朱凯：移动应用安全合规治理实践｜数据合规论坛经典演讲

律新社编者按

数据作为新型生产要素，已成为推动我国数字经济发展不可或缺的基础战略资源。作为数字经济健康发展的关键所在，数据安全的重要性日益凸显。在国家政策法规和监管标准不断细化和完善的背景之下，面对移动应用在提供便捷服务时暴露出的风险漏洞、个人信息违规采集等问题，加强移动应用安全合规治理已成为企业和开发者的重要任务。

2024年6月30日，“循规而行·数据致远——2024数据合规法律服务发展论坛”召开。360集团信息安全部移动应用合规专家朱凯作“移动应用安全合规治理实践”主旨演讲。他在总结当前合规监管趋势和常见合规风险的基础上，结合360公司在移动应用安全合规治理方面的实践，提出了一系列针对性整改建议和合规治理策略。朱凯先生的主题分享整理如下：

一、合规监管趋势

随着移动互联网的深入发展和普及，国家安全部门、行业监管机构、各大应用市场对移动应用的管理和审核越来越严格，监管标准也越来越规范和完善。一方面体现在大量数据安全法规和政策文件相继出台，一方面体现在监管专项整治及通报常态化。APP开发方需要面临的政策风险也在逐步增加。

二、常见合规风险及案例

1

个人信息数据采集

近年来，对于个人信息的保护愈发受到重视。在APP开发中，违规收集个人信息成为一个重要的监管焦点，包括未经用户合法授权、违背个人意愿、采取隐瞒欺骗手段等非正当方式和手段进行采集。

案例一：某工具类应用的隐私协议设计存在缺陷，未提供明确的拒绝按钮，且用户同意按钮的设计不够明确，容易使用户在不清楚的情况下点击同意。根据相关政策文件（如《关于开展纵深推进APP侵害用户权益专项整治行动的通知》）的规定，这种场景属于违规收集个人信息。

案例二：某物业服务类应用在隐私政策方面看似提供了拒绝和同意的选项，但实际上在用户点击同意隐私政策前，就已经开始采集用户数据。这种行为同样违反了个人信息保护的原则。

整改建议：

1. APP在征求用户同意时，应提供明确的同意或拒绝按钮，避免使用“好的”“我知道了”等模糊词语，确保用户能够清晰理解并作出选择。

2. 在未征得用户明确同意前，APP不应收集任何用户个人信息。运营者需要确保获得用户同意的实践先于收集使用行为，并能够提供有效的证明。 

2

权限申请使用

APP在权限申请使用方面也存在一些问题，如强制、频繁、过度索取权限，要求用户授予不相关或过多的权限，未遵循最小授权原则。

案例一：某租房应用在首次启动时申请了拨打电话和管理电话的权限，但没有明确说明这些权限的用途，且这些权限与租房业务无直接关联。

案例二：某读书应用在首次启动时申请了拨打电话和管理电话等与其业务无关的权限，同样未对权限用途进行说明。

整改建议：

1. 应用在向用户索取权限时，应通过显著方式同步告知用户申请该权限的目的，对目的的描述要求明确易懂。

2. 应用在首次打开或运行过程中，如果未见使用权限对应的相关功能或服务时，不应提前向用户弹窗申请开启权限。

3. 根据应用类型对申请的权限进行梳理，删除多余且无合理服务场景的权限申请行为。

3

关联启动和自启&自动续费默认同意

用户把应用关闭后，应用为了保活或其他目的，采用一些技术手段将自己启动。

案例一：某金融应用在用户将其关闭后，利用系统广播机制等技术手段将自己启动，以达到保活或其他目的。这种行为可能会消耗用户设备资源并影响用户体验。

案例二：某应用在提供自动续费服务时，存在多处会员开通入口。正常的开通流程具备二次同意逻辑，但在使用优惠券开通时却缺少二次确认环节，导致用户直接开通会员。

三、合规治理策略与安全建议

在数据治理中，由于开发者合规意识薄弱，缺乏专业的审计工具以及关键流程存在缺失项，导致对合规问题不够重视。针对这些问题，360集团创新解决方案，基于DevSecOps安全融入研发运维流程的核心理念，将治理工作融入APP开发生命周期，建立开发前培训、上线时审计、发布后预防的合规治理方案。

1

隐私合规治理策略

01. 开发阶段：合规意识培训

定期开展数据合规的培训，通过解读国家标准、制定合规开发指导手册来引导用户合规开发，培养公司内部开发者的安全合规意识；统一业务数据采集的方式，设立专门的数据合规团队来负责采集SDK的研发，当业务有采集需求时，统一集成该SDK来实现。

02. 上线阶段：技术手段检测

• 自动化合规检测平台：支持前后端的应用上传、功能配置、报告生成，可以对APP采集权限、收集信息以及集成第三方SDK进行分析，并运用机器学习和AI智能技术对检测结果进行分析，以验证用户收集信息是否合规。其检测引擎包括静态和动态监控模块、隐私协议获取模块。真机沙箱检测引擎动态监控模块支撑。

• 隐私政策获取：判断合规风险的时候时常需要结合应用内的隐私协议，所以需要自动化获取这些内容。

• 软件成分分析：基于静态分析技术，对目标应用的基础信息、申请权限、第三方SDK等信息进行提取。

• 程序行为监测：基于定制化系统，对目标应用运行过程中的行为进行监测，包括数据采集行为、网络请求行为、境外域名访问行为。

03. 运行阶段：合规运营预防

通过360安全应急响应中心，构建了一个对外收集360产品安全风险、合规风险、威胁情报的平台，致力于保障产品及业务的安全。第三方SDK违规阻断则用于拦截对敏感API的调用。当调用者不是应用自身或属于未知调用者时，该SDK会立即禁止对该接口的调用，从而有效防止了潜在的安全风险。

2

合规安全建议

01 内部建立供应链合规审核机制，第三方SDK建议从官方渠道下载，对接入的第三方SDK进行严格的合规审计。

02 移动应用前后端数据传输过程中建议对涉及用户数据的通信进行高强度加密，避免被第三方恶意应用截获，导致用户信息泄露。

03 积极参与移动应用相关安全认证，获取明确标识和合规认证。对于特殊行业的移动应用，则应当根据相应的备案要求进行备案。

04 持续关注应用相关的法律法规出台情况，根据监管部门的关注动向随时调整应用收集使用个人信息的规则。

 ↓扫码观看演讲视频↓

相关阅读

►加“数”信任基建 撬动万亿市场！2024数据合规法律服务发展论坛隆重举行

►数据合规领域“品牌之星”闪耀登场！律新社《精品法律服务品牌指南（2024）：数据合规领域》重磅发布

►“守正创新”：数据合规管理新次元丨律新社2024数据合规领域见解洞察

►探索合规之道 精算数据机遇！律新社《数据合规法律服务调研报告（2024）》发布

►数据合规是技术活、管理活还是艺术活？7位行业精英支招企业如何炼“数”成“金”丨律新观察

►孔祥俊：商业数据保护的实践反思与立法展望丨数据合规论坛经典演讲

►张继红：数据出境的法律合规——现状、实践及趋势｜数据合规论坛经典演讲

►李华：释放数据要素价值——新质生产力的开启与赋能｜数据合规论坛经典演讲

►吴博峰：大模型数据隐私与资产安全在抖音集团的应用实践丨数据合规论坛经典演讲

END

了解更多行业干货

欢迎关注律新社新媒体矩阵

商务合作

 lvxinnews@126.com