据数据统计，超过80%的人遭遇过信息泄露事件。个人信息泄露的主要途径为未经本人同意收集个人信息、经营者或不法分子故意泄露、网络服务系统存在漏洞、通过木马、钓鱼网站等手段盗取等。为此，国家相关部门陆续出台各种法律法规，监管机构联合进行合规治理，在宏观背景、政策驱动下，运营者需进行移动应用个人信息安全自查，安全企业应携手一切力量构建和谐安全的生态圈，信息使用者也应提高安全保护意识。

爱加密监管事业部负责人谢仰，有着14余年的信息安全行业经验，对个人信息安全问题有着独到的看法。他认为，移动应用个人信息安全虽已经在部分责任企业中高度重视起来，并纷纷开始研究相关的法律法规，却不尽完善。

简单来说，应该从以下维度进行梳理：

1、隐私政策条款的内容合规性。

2、移动应用业务功能对应的个人信息需要清晰明确。

3、使用权限、收集用户信息应遵循最少够用原则。

4、嵌入引用第三方sdk、h5时，要对引入的业务功能、个人信息安全负责任的核实。

5、个人用户信息收集、传输、存储、脱敏、删除等一系列管理需要规范合规。

除此之外，谢仰还指出App违法违规收集使用个人信息乱象丛生，个人信息安全保护刻不容缓。作为专业的移动应用安全综合服务提供商，爱加密积极响应国家政策，为进一步帮助监管机构、企业客户等落实移动应用合法合规，推出了爱加密移动应用个人信息安全检测平台。

平台依托相关的法律法规，针对移动应用可能出现的个人信息安全风险，对移动应用进行合规检测，提供多维度的技术验证，并出具专业的个人信息安全检测报告。主要面向具有监管职能的各地网信办、CNCERT、通管局等监管机构，测评机构，移动应用开发、运营企业等客户，该平台能完全满足不同客户的需求，帮助其实现自身的合规治理。

主要功能包括：对权限的声明、使用、越权等行为的检测，对运行中产生的所有高危行为进行检测，对嵌入的SDK运行时产生的行为进行识别检测，对应用产生的数据传输进行动态扫描，对隐私政策合规进行检测和判定等。

通过静态检测、动态检测，对App隐私条款可能导致的隐私政策文本、收集使用个人信息行为、运营者对用户权利保障等30多个评估点进行检测及合规性判定。帮助政府机构对移动安全市场进行监管，对违规移动应用的企业信息、发布渠道、问题特征、IP等信息进行溯源取证，为行政执法提供有效证据。进而通过行政手段责令发布渠道下架应用、风险内容告警、出具风险报告等，辅助行政执法。

还能为移动应用开发商提供合规依据；为企业开发者发现移动应用个人信息安全风险、建立安全开发基线，提供App整改建议。系统支持管理与升级，通过用户及角色管理机制对系统使用者进行分权管控，提高系统使用安全性；支持系统升级更新，从而保证以最新的安全检测技术服务于用户。

目前，监管机构鼓励企业进行个人信息安全认证，通过认证的应用，将得到重点推荐和使用。明年还有可能会强制企业进行个人信息安全认证，同时开发企业应确保移动应用各大分发渠道认证时的一致性。因此，渠道监测将是企业和监管机构接下来关注的重点，需要在移动应用更新迭代、新增功能时建立自查自检机制，保障应用上线的合规合法。

最后，移动应用主要存在的问题诸如超范围采集用户信息、SDK的权限和行为监管存在难点、大量应用的隐私政策缺失或不规范等，都需要监管机构、企业开发者、运营者等加强合法合规监管，共同推动移动应用安全生态圈的健康发展。

爱加密

转载请注明来自网盾网络安全培训，本文标题：《移动应用个人信息安全保护，运营者应该如何去做？》

标签：移动安全