发展不忘合规DT时代看业内大佬如何做好数据合规建设

在DT时代的背景下，数据逐渐成为推动数字经济发展的核心生产要素，成为各行业的战略资源，给社会生产与生活方式带来了深远的影响。人们在享受大数据带来便利的同时，也面临着个人隐私数据泄露的风险。

图片来自网络

近年来，因过度收集用户信息被曝光的App数不胜数，移动应用俨然已成数据泄露的重灾区。都说数据如水，做为开发者既要最大限度挖掘其价值，也应筑牢安全的堤坝。那么，用户的隐私权谁来捍卫？

3月16日至20日，由MobTech发起的【移动应用安全系列直播课】，特邀来自爱加密、游族网络、360等知名互联网企业的5位资深行业大咖坐镇，从国家政策、第三方监控、技术防护等多重维度出发，帮助开发、产品、运营为App做好信息安全防守，并有的放矢、可操作地解决App开发中的数据合规使用及安全隐私问题的处理。

政策解读：企业如何把握数据合规的底线

3月6日，国家标准《个人信息安全规范》2020版正式发布。对于新规范中对个人信息的界定，MobTech法务总监叶娟是这样解读：“新规中凸显了个人信息的“关联性”特征；但关联有强关联与弱关联之分，如果强关联，则从某种程度确实可以做到《网络安全法》中对个人信息的界定‘识别特定自然人身份或者反映特定自然人活动情况‘；但如果是“弱关联”，则‘识别’或‘反映’特定自然人就有些牵强了。”

而对于业内关注度较高的精准营销行业，在数据隐私安全的处理上，叶娟反映：“业内多是运用IMEI/IDFA+标签进行营销活动。投放平台、数据提供方应关注数据来源的授权合规、做好相关数据保护、并且应将数据在存储及传输过程中进行加密，以防止相关数据的泄露。”

在分享末尾，叶娟提示广大使用App的用户，一定要慎重阅读并理解App的隐私政策，在从中列明的符合信息收集的合理、正当、必要原则所采集的信息，才可被收集。如遇到App读取手机号等敏感信息，应采取合理的措施进行加密等，以防止个人敏感信息被泄露而导致信息主体受到损害。

业内分析：移动App隐私安全与合规的要点

“在用户注销账户过程中，再次验证也存在这一定风险。”爱加密移动安全研究院副院长魏超在分享课程上画了重点，“在注销账户的过程，如遇到需收集个人敏感信息核验身份时，应明确对收集个人敏感信息后的处理措施，如达成目的后，应当立即删除或匿名化处理等。”

在分享课程中，关于企业如何自查整改进度的网友提问，魏超表示：“自查整改进度，需要个人信息主体接收并授权同意时，不能仅仅通过某一个业务功能的描述，而让客户一次性接受。如果用户三个业务功能都需要使用，则在申请时，三个业务功能都要描述清楚。不应通过捆绑产品或服务各项业务功能的方式，要求个人信息主体一次性接受，并授权同意其未申请或使用的业务功能，收集个人信息的请求。”

第三方应用：如何应对政策调整优化产品

随着App“隐私”纠纷日益增多，“隐私政策”现已成为产品设计的重中之重。对于开发者而言，应率先自查，完善产品隐私政策，或对有涉嫌违规的内容进行整改，才可避免今后纠纷的发生。MobTech战略项目总监余勋杰表示：“为规范开发者用户接入第三方应用的合规性，MobTech特编写《MobTech开发者应用合规指南》，避免开发者因违反相关法律法规而遭受损失。 ”

“作为一家多年专注服务移动应用开发者的平台，MobTech在物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等十个方面均达到国家信息等级保护三级认证标准，有能力并且有信心持续为开发者用户提供可靠、安全的服务支持。” 余勋杰说道。

安全检测：Linux反弹下如何利用Shell检测

针对网友提问，对于反弹shell检测机制如何与告警平台联动？ “AgentSmith-HIDS可以将Hook的信息实时传递到Kafka，可以通过自己到SIME或者其他平台进行联动分析/自动告警”游族网络安全工程师陈越回答道。

另外，他在分享中提示从业者：“如遇到反弹shell发生的问题，防御可通过出口Proxy定制主动外连白名单，防止主动连接非业务IP；在主机层进行通过HIDS对异常进程/网络行为进行联动封禁/阻断。”。

编程开发：移动应用如何做好代码安全防护

针对非核心及核心功能的弹框次数限制，360高级技术经理贾俊涛指出：“当非核心功能权限申请被拒绝后，用户再次用到这个业务功能时，才可再次发起引导用户开启权限，但总体引导开启权限县次数不得高于3次，避免对用户使用应用产生干扰。“

“而核心功能在首次安装启动，或者使用功能时，应明确、合理的告知用户使用场景和功能说明，确保用户能够清晰明了地知道应用所申请权限的场景、用途、目的等信息；避免频繁弹框申请多个权限，通过一次弹窗批量申请核心功能所需权限；对于其他敏感权限，需要在用户使用对应业务功能时动态申请。” 贾俊涛表示。

分享课程历时5天，大佬们在直播课堂上的分享干货满满，吸引近4000名（UV）相关从业人士前往观看学习，最高在线观看量高达8904次（PV）。

写着末尾，建设数字中国，既要发展世界领先的数字经济，也要形成相应的数据安全制度，构建规范、合法、高效的数据流通环境。唯有安全，方可行稳致远。为了规范开发者用户接入第三方应用的合规性，MobTech作为全球领先的数据智能科技平台，已全新升级隐私条款细则，愿与您一同保护终端用户的个人信息安全，合法合规地为移动App开发者服务。