百度隐私合规助手对外开放 助力隐私安全生态建设

2019-02-12 14:53:1025483人阅读

在刚刚过去的2018年,频繁发生的个人隐私信息泄露事件成了不少网民的心病。作为信息泄露的主要渠道之一,部分APP对终端设备隐私权限的违规获取与利用也饱受诟病,并引发了来自国家监管层面的高度关注。


针对这一问题,1月31日,百度安全正式对外上线百度隐私合规助手,助力企业高效、低成本完成包括APP在内的端上产品隐私合规检测,规避隐私违规风险

640.jpg

根据2018年底生效的国家《信息安全技术个人信息安全规范》要求,APP在个人信息收集方面应当遵循合法性、最小化、自主授权同意等原则,并公开隐私政策。而就在本月,中央网信办、工信部、公安部、市场监管总局等四部门也联合发布《关于开展APP违法违规收集使用个人信息专项治理的公告》,指出“APP强制授权、过度索权、超范围收集个人信息的现象大量存在,违法违规使用个人信息的问题十分突出”,专项治理行动也将覆盖2019年全年。

 

对于企业来说,隐私合规已成为事关用户信任和法务、舆论风险的大事。

 

但是,在实际的应用过程中,上述规则的贯彻执行却存在一定困难,其中两个具有代表性的检测难点便在于“申请权限无调用”和“调用权限未申请”——前者指APP向用户申请了相关权限,却无对应功能;后者指APP的部分功能使用了相关权限,却未提前向用户申请;两者均涉嫌触及国家在APP个人信息收集方面的红线。

 

抛开极少数恶意获取用户个人信息的APP不谈,单纯从技术的角度上讲,造成权限申请与调用不一致的主要原因,在于未对冗余隐私权限和冗余隐私API调用代码进行有效甄别和及时清理。一方面,这受到一定客观因素的制约,如Android系统自身版本的复杂性、第三方SDK的不可控性及开发人员变动等;另一方面,对于APP隐私合规的具体检测方式,标准和流程的制定,巨大的检测量、时间成本和人力成本也推高了企业的实际执行难度。

 

事实上,正如以欧盟GDPR通用数据保护条例为代表的一系列政策法规向企业提出了隐私合规要求,用户个人信息安全维护的规则愈发严格,边界愈发明确。从一定维度来看,百度隐私合规助手的初始目标也正是为了进一步规范和提升百度庞大产品线的信息保护策略,以更好地保障用户权益。截至目前,包括百度APP、DuerOS、百度地图、百度贴吧、百度手机助手在内的百度旗下主要APP和SDK均已实现了对隐私合规助手的接入,并成功通过检测。

 

2018年11月,上海市消保委对市场上主流的输入法、浏览器等APP进行了权限合规检测。作为被检测对象的百度输入法、百度浏览器两款APP均顺利“过关”,对“在敏感权限的申请、使用方面做到了合理申请、自主授权,充分保证了用户的知情权、选择权”等方面给予了充分肯定,而背后为这两款产品提供规则保障的,正是当时还处于内部开放阶段的百度隐私合规助手。

 

基于内部长期实践、百度安全在移动安全领域先进的AI技术、Android系统API样本库以及SDK知识库的积累,百度隐私合规助手已建立了一套完整的权限映射关系图谱,并实现了对国家监管标准的分析比照和Android版本的同步更新,覆盖了在产品设计、开发测试、上线前安全测试和产品上线后等各个阶段不同的隐私权限合规检测需求。

 

在静态隐私权限层面,隐私合规助手可通过自动化检测,及时发现过度申请权限、冗余权限和代码等问题,并确认隐私权限使用的合理性;在动态层面,则可检测敏感权限的申请情况、使用场景及使用频次;并通过静态检测与动态检测的有机结合,运用沙箱技术对APP的隐私采集和使用行为进行深入分析,提供可视化的精确报告。

 

而针对全新APP的开发,隐私合规助手可提供市场同类APP通行的合规权限规范指引,帮助企业更快捷地制定隐私规则和申请相关权限,保证隐私协议的合规性,从源头规避相关风险。

 

秉承“有AI更安全”的使命,百度安全始终致力于在全面覆盖百度各种复杂业务场景的同时,为生态合作伙伴提供技术支点和完善的产品解决方案。此次隐私合规助手的对外开放正是践行这一理念的最新进展,也是继“七大武器”开源技术和智能电视安全解决方案之后,百度安全推出的在云管端、大数据和算法层面又一项对外开放的技术能力。

 

保护个人信息安全,是AI时代互联网运行及治理的关键命题,也是企业保障用户权益、维护自身发展的重要行动组成。百度隐私合规助手,将为企业的端上产品树立起一道隐私保护规则的安全屏障。


*点击了解百度隐私合规助手


0
现金券
0
兑换券
立即领取
领取成功