- 综合排序
- 最热优先
- 最新优先
- 来自专栏lib库
隐私合规综合实践
隐私合规综合实践目录介绍01.整体概述介绍1.1 遇到问题说明1.2 项目背景1.3 设计目标1.4 产生收益分析02.隐私合规测什么2.1 隐私合规是什么2.2 为何做隐私合规2.3 隐私合规政策案例 2.4 为何做权限合规04.隐私合规检测4.1 违规收集个人信息4.2 超范围收集个人信息4.3 违规使用个人信息4.4 过度索取权限4.5 自启动和关联启动05.隐私合规实践5.1 整体合规思路5.2 02.隐私合规测什么2.1 隐私合规是什么对客户端而言,权限隐私可分为 权限 和 隐私 两个大的方面。 2.3 隐私合规政策案例隐私合规案例比如获取设备信息:获取设备id,sim,androidId等;比如获取危险权限信息:获取读写存储卡权限,获取电话权限等。 05.隐私合规检测库实践5.1 整体合规思路开发了一个针对 Android APK 的敏感方法调用的静态检查工具。
2.8K31编辑于 2022-10-12 - 来自专栏codelang
隐私合规代码排查思路
隐私合规整治不仅仅是排查一次就完,而是要做一个完整的体系来规范后面的编码,避免隐私代码调用又出现而触发合规问题。 一个体系的完善,总体流程为: 发现问题 更改问题 规范问题 1、如何检查 “同意用户隐私” 之前的隐私代码调用? 通过 as 去手动 Find in Fies ? 所以,静态检查隐私代码调用是不合适的。有没有一种能在运行的时候知道是哪些类调用了隐私 API 呢? 1、解压 apk 取出所有 dex,将 dex 反汇编成 smail 文件,根据规则扫描 smail 文件中的方法是否有调用隐私相关的 API,代表作有网易云的 Android 隐私合规静态检查 2、自定义 /master/mamba-plugin/src/main/groovy/com/codelang/mamba/core/MambaClassVisitor.groovy 3、基于 lint 去做一套隐私合规检查
2.1K20编辑于 2021-12-24 - 来自专栏codelang
Android 隐私合规检查工具套装
之前写过一篇《隐私合规代码排查思路[1]》的文章,但文章没有将方案开源出来,总觉得差了那么点意思,这次打算把几种常规的检测方法都开源出来,给大家一些借鉴思路。 对于一套完整的隐私合规检查来说,动静结合是非常有必要的,静态用于扫描整个应用隐私 api 的调用情况,动态用于在运行时同意隐私弹框之前是否有不合规的调用,以下列出一些常规的检查方案: 思维导图中 ✅ 打钩的部分都已经实现 集成方案查看 github 的 DepCheck 插件 README[2] 说明 2、基于 apk 的 smali 扫描 网易云音乐曾经发表过一篇基于 smali 扫描的《Android 隐私合规静态检查 ] ART上的动态Java方法hook框架[26] 参考资料 [1] 隐私合规代码排查思路: https://juejin.cn/post/7042967031599071269 [2] Android 隐私合规静态检查: https://musicfe.com/android-privacy/ [3] VirtualXposed: https://github.com/android-hacker/
2.3K11编辑于 2024-01-15 - 来自专栏游戏安全攻防
浅谈APP的隐私合规检测
更干净的信息环境,国家工业和信息化部开展了《纵深推进APP侵害用户权益专项整治行动》以及《App违法违规收集使用个人信息行为认定方法》 《常见类型移动互联网应用程序必要个人信息范围规定》的通知,在APP合规上都需严格按照国家工业和信息化部 所有提交上架市场或各平台的APP,都需要经过隐私合规性检测,只有通过该检测(自身检测和平台检测)且没有其他违反审核规则内容前提下,APP才可以正常上线,如果APP隐私合规检测未通过,APP将会被驳回不允许上架 合规检测 在APP合规检测方面,存在比较突出的问题主要有5个,下面就针对5个突出问题做个稍微解析。 整改建议: 用户首次打开APP必须有隐私政策协议弹窗,隐私协议中请真实完整说明APP和集成的第三方SDK收集用户个人信息的规则;隐私政策隐私弹窗必须使用明确的“同意\拒绝”按钮;只有当用户点击“同意”后 检测方法方式 1、检测是否存在隐私政策 2、停留在隐私政策弹窗界面,模拟用户同意隐私政策前阶段,自动化遍历检测APP是否收集IMEI、MAC等个人信息 3、识别并点击隐私政策后,自动化遍历检测APP前台运行
4.8K22编辑于 2023-02-28 - 来自专栏用九智汇分享
数据视角下的隐私合规
本文并不从法律视角去解读各个场景的隐私合规要求,而是尝试用技术视角去看隐私合规的数据脉络。 隐私合规完美的形态可能是打开任意一个数据,你都能知道他关联了哪个RoPA,场景,方式,目的,关联了哪个PIA,关联了哪个隐私协议,关联了哪些同意记录,关联了哪些实际使用场景,关联了哪些留存策略,关联了哪个数据主体 东船西舫悄无言,唯见江心秋月白 之前有位客户问了我们一个问题,隐私合规为什么要做数据治理? 这篇文章是我们的一些思路,但是从落地角度是否一定要做,答案是不一定,每个企业的业务复杂度、合规压力、系统复杂度都不同,举个例子,比如工业企业的隐私合规,采集的个人信息以供应商及员工的个人信息为主,PIA 和DSAR都可以轻量化的方式实现,以性价比最高的方式落地隐私合规义务。
77540编辑于 2023-11-01 - 来自专栏用九智汇分享
数据视角下的隐私合规2
———— 《数据出境安全评估办法》 “事前”是隐私合规与数据安全非常大的区分点, 隐私合规的整个逻辑是建立在“见本而知末”之上,即敏感数据的处理需事前记录及评估,后续的实际处理应该与事前记录一致 那数据发现或者流量检测在隐私合规领域是否就一无是处呢,我们认为也不是,他可以起到后续的持续监督作用做到及时补救,以及在隐私合规体系冷启动的时候,帮助做已上线业务的数据梳理 当下市场存在的误区之二是隐私合规是合规 最简单的一个逻辑就是隐私合规评估的对象本身就是业务和技术,是需要业务技术深度参与甚至主动发起的。 那如何将合规、法务、产品、技术在隐私合规层面形成好的配合效果,用九智汇也做了非常多的创新探索,Privacy Scan便是其中之一,它以代码扫描作为手段切入研发流程中来帮助梳理数据流图并发现合规风险点, 这篇我们通过“见本而知末,执一而应万”介绍了隐私合规在数据处理层面存在事前与事后的两面性。下篇我们将从数据流转层面介绍隐私合规的两面性,此处先用两句偈语埋个伏笔。
55530编辑于 2023-11-01 - 来自专栏用九智汇分享
App隐私合规评估实务和要点
本文将深入探讨App隐私合规评估的要点和难点,提供详细的信息,并提供一套轻量级和自动化的App隐私合规治理方案,降低App业务被通报和下架等合规风险,以保障企业App业务正常运营。 App隐私合规评估要点 随着移动互联网的高速发展及监管部门针对App隐私合规监管趋严,各公司对保护用户的个人隐私安全意识也在愈发重视。 App隐私合规评估主要依据的法律法规、标准指南和规范要求包括: 最终梳理完成的App隐私合规评估内容主要包括: 完成App隐私合规评估Chelist梳理后,需要综合利用人工自查、 9)合规性评估:定期评估隐私政策的合规性,确保它仍然符合法规的要求。随着法规的变化,可能需要对政策进行更新和修改。 3. 进行App隐私合规评估可以帮助组织识别潜在的隐私风险,确保数据安全性和透明度, 并维护受影响个人的权利和利益。 3. 隐私合规评估是否只需一次进行? 不是的。
1.3K20编辑于 2023-11-01 - 来自专栏用九智汇分享
数据视角下的隐私合规3
,如果整改那么业务要延迟甚至推倒重来,如果不整改业务要带隐私合规风险上线,变成了鱼和熊掌不可兼得的问题。 但对于输出ID画像的隐私计算方案,比如SGX,隐私求交等技术的合规性,其实并没有充分保障,它依然无法解决数据来源的合法性问题,无法绕开个人信息保护影响评估等合规义务,无法绕开单独同意,也并非匿名化方案, 隐私计算更多的是保障“最小化”处理的合规义务,更多解决了数据最小化的安全性问题5。 但是在国内依然存在不少假借隐私计算来标榜其合规性,也需要监管和企业一起来推动明确认知,这样才有利于行业和市场的长远发展。 数据流通利用系列 | 同意管理平台:高效数据合规的技术方案探索-叶玲 3. 苹果隐私政策重大升级,Facebook为何强烈反对? 4.
46310编辑于 2023-11-01 - 来自专栏顶象技术业务安全专栏
顶象推出应用隐私合规检测服务
为帮助开发者更高效地进行App隐私合规检测,顶象推出应用隐私合规检测服务,快速发现App可能存在的各类隐私安全漏洞,并提供详细的检测报告,给出专业的合规整改建议。 隐私合规检测助力App合规为了帮助开发者更高效地进行App隐私合规检测,聚焦更多的精力构建功能齐全、用户体验良好的高质量App,顶象推出应用隐私合规检测服务。 该服务基于顶象内部积累多年的App隐私合规检测能力,帮助开发者发现App可能存在的各类隐私安全漏洞,提供详细的检测报告,并给出专业的合规整改建议。 上架前隐私检测。在各个移动应用市场在应用上架前,对App进行隐私检测,确保安全合规、发现存在的风险。应用合规检测。 合规检测对开发者的帮助顶象应用隐私合规检测服务应用隐私合规检测服务对于应用程序开发者来说非常重要,可以帮助他们保护用户个人信息安全和隐私,保证应用程序的合规性和可靠性,提高应用程序的市场竞争力,并节省开发成本和时间
54310编辑于 2023-04-24 - 来自专栏FreeBuf
APP隐私合规介绍和实施方案
近期咨询app隐私合规的人有点多,正好借这个机会把相关内容整理一下供大家学习参考。 一、背景 目前,大量的移动app在使用过程中,涉及个人隐私信息和敏感信息。 未经用户同意收集使用个人信息 4)违反必要原则,收集与其提供的服务无关的个人信息 5)未经同意向他人提供个人信息 6)未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息 三、APP隐私合规怎么做 内容如下: 1)、隐私政策文本 评估项 1:隐私政策的独立性、易读性 评估点 评估标准 1. 是否有隐私政策 在App界面中能够找到隐私政策,包括通过弹窗、文本链接、常见问题(FAQs)等形式。 隐私政策是否易于访问 进入 App 主功能界面后,通过 4 次以内的点击,能够访问到隐私政策,且隐私政策链接位置突出、无遮挡。 4. 实际收集的个人信息类型是否超出隐私政策所述范围 各业务功能实际收集的个人信息类型应与隐私政策所描述内容一致,不应超出隐私政策所述范围。 26.
4.4K41发布于 2020-05-14 - 来自专栏Android源码框架分析
APP隐私合规审查现状与应对措施
Android与iOS在隐私合规上的区别对待 (一)Android是隐私合规的重点处理对象 整体来讲,iOS的生态更加健康、完善,相对于Google,苹果对隐私的重视程度更高,在系统层面支持的更好。 (二)Android的合规审查标准比较混乱 隐私合规主要是工信部、网信办、各地通管局在一起推动的,但是具体的审查工作并不是这些部门在承办,而是交给第三方进行审查。 APP隐私合规上的审查方式 目前,隐私合规基本是人工+自动化工具配合来共同完成,100%自动化审核还是比较困难,合规检测一般由专门的机构提供服务。 :是否提供定向推送的开关、是否提供隐私策略、隐私策略内容是否完整,规范、权限的申请是否合规等,更关注法务法规上显性的要求;工具审查更注重隐私信息的获取,是否调用了某些系统接口非法获取了用户信息,更注重隐式合规需求 总结 目前国内的隐私合规审查稍有些过于严苛,但是重病需猛药,先拨乱反正一下,将来也许会稍微放开一些, 作者:看书的小蜗牛 APP隐私合规审查现状与应对措施
4.1K21编辑于 2023-01-30 - 来自专栏逆向与安全
移动APP隐私合规检测解决方案初探
图1-1 各监管部门不断开展APP专项治理工作及核查通报,不合规的APP通知整改或直接下架。 1.2、应用场景 企业: 针对企业开发的移动应用中收集个人信息行为是否存在违法违规进行认定并提供参考,为企业APP运营者自查自纠提供指引,移动应用个人信息安全提供多方位全面体检,APP是否合规等问题的深度检测 ,及时发现应用存在的潜在风险与不合规之处,帮助企业对APP隐私、过度收集、滥用等行为进行检测,高效、低成本地做APP合规自查形成专业并易理解的检测报告,为移动应用运营者提供专业的合规、安全提供整改依据。 这些的确是非常重要的用户隐私,但是并没有覆盖所有的用户隐私和敏感数据。在很大程度上忽视了一个非常重要的用户隐私来源——用户输入隐私。 第二:及时发现个人手机上APP获取信息合规问题及准确定位,提前发现应用中个人信息的安全、合规风险,并准确定位问题出现的源头,对获取隐私的应用提出预警提示。
3.4K61发布于 2021-04-29 - 来自专栏腾讯安全
腾讯安全发布《APP隐私合规白皮书》
关注腾讯安全(公众号TXAQ2019) 回复APP隐私合规获取原报告 微信图片_20211014124931.jpg 违规频发,监管重视:APP隐私合规问题丞待解决 近年来,手机移动应用超范围收集个人信息等违规新闻屡见不鲜 对于企业而言,提前自查、整改并满足合规要求,也是业务稳健、可持续发展的前提。 然而,APP隐私合规检测并非易事。 动态检测技术+云手机技术支撑,灵鲲推出自动化App合规方案 在《白皮书》提出,腾讯安全灵鲲结合过去多年安全攻防经验的沉淀,打造了全面、精准、高效的APP隐私合规解决方案。 腾讯安全灵鲲隐私合规服务的检测范围覆盖应用基本信息检测、APP违法行为检测、APP违法权限检测、第三方SDK检测、APP通信传输、APP数据存储、APP源文件安全、身份认证风险,其中行为合规检测、权限合规检测与第三方 目前,灵鲲APP隐私合规检测服务的产品能力,主要依托背后强大的动态检测技术和云手机技术支撑。
2.5K21发布于 2021-10-15 - 来自专栏云计算D1net
云中的合规性:避免云合规陷阱
但这种想法是不切实际的,而且在目前的监管环境中,这是危险的,并且可能是潜在的合规性陷阱。 ? 当然,组织可以通过提高效率、灵活性和降低业务成本从云计算服务中受益。 云合规差距 在数据保护条例越来越严格的情况下,更多地使用云计算的举措正在出现。 因此,具有可靠数据保护和隐私政策的组织应该能够遵从GDPR法规。 但是,组织采用云计算的举措可能会暴露在合规性方面的差距,特别是对于主要处理个人数据的组织。 但是对于合规性,首席信息官和安全官员面临的关键问题是组织存储的数据类型以及数据的位置。运行自己的内部数据库、档案和存储系统的组织应该能够识别大部分数据的位置。 但任何采用云计算的组织都需要意识到,无论他们对IT部门如何改进,都不能将合规责任推卸出去。而确保云计算提供商符合当前标准是膙尽职调查流程的一部分。
2.1K40发布于 2018-06-08 - 来自专栏绿盟科技研究通讯
透过隐私合规,看数据安全技术发展趋势
可见,企业应足够重视个人信息安全与数据隐私合规性问题,并落实相关举措。 [6],后者与隐私合规性紧密相关。 用于在产品设计时考虑隐私合规与可用性问题等。 随着法规的完善,可预计国内SRR、CPM隐私合规技术与市场正逐步形成。 《数据匿名化:隐私合规下,企业打开数据主动权的正确方式?》
2.4K50发布于 2020-11-30 - 来自专栏FreeBuf
2023年,超过40%的隐私合规技术将依赖AI
根据Gartner的数据,到2023年,超过40%的隐私合规技术将依赖人工智能(AI),而目前这一比例仅5%。 ? 这项研究在线调查了来自巴西、德国、印度、美国和英国的698名受访者。 Gartner研究副总裁Bart Willemsen表示:“诸如《通用数据保护条例》(GDPR)之类的隐私法为遵守隐私提供了令人信服的商业依据,并激发了全球各地的效仿。” Al驱动的隐私技术减轻了合规性的困扰 积极的隐私用户体验(UX)最重要的就是迅速处理主题权限请求(SRR)的组织能力。 到2022年,全球合规工具隐私支出将增至80亿美元 到2022年,全球范围内由隐私驱动的合规工具支出将增至80亿美元。隐私支出预计将影响利益相关者的购买策略,包括CIO,CDO和CMO的购买策略。 隐私驱动的技术市场正在兴起。 可以肯定的是,隐私作为一种有意识和深思熟虑的规范,将在供应商开发产品的方式和原因方面发挥相当大的作用。
69010发布于 2020-03-12 - 来自专栏游戏安全攻防
APP安全合规
安卓安全合规的违规处理方式:通告--->罚款--->应用下架--->停业整顿。 App安全合规目前主要采用的是通告手段,虽然不会造成经济损失,但是会给公司带来一定的经营风险。 安卓合规为什么会比苹果更严峻? ? 安卓应用的安全合规面临主要问题? (以下只是列出APP安全合规面临最突出的10个问题) ? 个人隐私安全合规 个人隐私合规主要细分为如下的六个大方向,这也是开发APP应用需要重点关注和处理好的个人隐私合规的问题。 ? 敏感权限合规 以下是在开发APP应用上会遇到的权限问题,那么对于这些敏感的权限,安全合规的做法就是通过采用渐进授权方式进行申请权限。 ? 加解密算法安全合规 ? 数据存储安全合规 ? APP安全合规建设的思考 安全开发人员:熟悉负责的产品功能、了解个人 信息采集、使用和展示定制个人隐私政策,并对组员以及APP开发团队进行安全合规的要求以及做法进行做宣传以及安全合规应用和监督把控。
2.8K21发布于 2021-06-10 - 来自专栏做数据的二号姬
读书|数据合规实务
07 2022-11 读书笔记|数据合规实务 读书系列恢复更新啦~今天要读的书是一本数据相关法律的书籍《数据合规实务——尽职调查及解决方案》 LEARN MORE 图片来自网络,如侵删 为什么分析师要读法律书 所以说,知识还是多点储备好啊~ 数据合规对数据分析师意味着什么 从法律工作者的视角来说,数据合规包括了两个大部分的工作: 第一类是企业运营管理、合规体系建设中的数据合规 第二类是公司上市、投融资等重大经营事项中的数据合规 二是企业数据合规管理情况 在实际工作中,无非就是两件事:日常数据是怎么处理的,有没有不合规的风骚操作,有没有相应的管理制度和机制。 怎么说呢,有的数据对你们公司而言可能是机密,但是数据本身的机密程度并不高,比如你司去年赚了多少钱,但有的数据可能对公司而言不是那么重要,但确是很重要的用户隐私信息,比如人脸识别登录的信息、用户登录密码的信息等 还有一个很重要的点,就是公司处理重要数据的审批制度和流程,这个东西在数据合规尽职调查的时候也是必须要查的一项。
99830编辑于 2023-03-02 - 来自专栏腾讯云代码分析
【腾讯云代码分析】2021版隐私合规分析已升级至2025版
CodeAnalysis 工蜂开源:https://git.code.tencent.com/Tencent_Open_Source/CodeAnalysis 背景概述 ▼ 在当前大力打击电信网络诈骗的背景下,隐私保护显得尤为重要 腾讯云代码分析2021年发布的隐私合规分析规则包已升级至2025版。 规则包介绍 ▼ 目前包含摄像头、录音、短信、通信录、定位、WIFI、应用列表、手机信息八大用户隐私API的扫描。 可使用规则包: 【iOS】隐私合规检查;【Android】隐私合规检查;【Java】强化API分析 扫描对象: 项目中的java代码文件 项目中的Objective-C/C++代码文件 项目中的jar包文件
33210编辑于 2025-02-15 情感计算Agent伦理与合规:Python实现符合GDPR的数据隐私保护
情感计算 Agent 伦理与合规:Python 实现符合 GDPR 的数据隐私保护嘿,各位技术小伙伴们!在如今这个科技飞速发展的时代,人工智能可谓是无处不在。 但这背后,其实隐藏着不少复杂的问题哦,其中伦理与合规就是相当重要的一环。就好比你开车,得遵守交通规则,不然就会出乱子。 scheduler.add_job(delete_data_file, 'date', run_date='2025-05-01')scheduler.start()结语哇哦,看到这里,你已经在情感计算 Agent 伦理与合规以及 Python 实现 GDPR 数据隐私保护的知识海洋里畅游了一大圈啦! 这可不是一段轻松的旅程,但你做到了,是不是感觉自己对数据隐私保护又多了一份底气?数据隐私保护是一个持续发展的领域,新的挑战和机遇不断涌现。
31400编辑于 2025-03-17
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号