如何給App做隱私檢測

2023-07-20 09:34:08

潘嚴貴司

守護使用者隱私才能連線信任。通俗來講，就是堅持“三不”原則：非必要，不收集；非授權，不使用；非合規，不上線。

身處網際網路這個快速迭代的行業，我們能強烈地感受到數字化時代正在快速走來，很多行業和企業把“數字優先”作為戰略思考的起點。必須警醒的是，科技和網際網路發展到今天，技術發展的腳步太快了，也可以說是技術背後的數字倫理還遠遠沒有達到與技術發展匹配的程度。近年來，頻頻出現個人資訊洩漏、資料安全事件。

人們在享受資料便利與技術服務的時候，對資料隱私的擔憂和焦慮也在與日俱增。這其中的原因主要源於兩個方面，一方面，資料被濫用和誤用的風險事件頻發，引發社會廣泛關注；另一方面，使用者與提供產品服務的技術平臺之間存在嚴重的資訊不對稱。

如果沒有做好個人資訊保護和資料安全合規，將會讓技術處於一種非理性、易失控的狀態，甚至成為經濟社會發展的主要風險。毫無疑問，資料利用需要規則約束和責任擔當，資料隱私的保護離不開有溫度的產品設計和強有力的技術防護。

提升透明度

每款app的隱私保護政策可能洋洋灑灑有幾千字，鮮少有使用者會把隱私政策從頭到尾去讀一遍，雖然這兩年基於法律法規的要求，對於敏感性的個人資訊收集的時候app會做一個彈窗，但是對於使用者來說彈窗的內容還是過於簡單，難以全面瞭解一款app收集使用者個人資訊的全貌。尤其是隱私政策中間還有很多政策性的、法律性的一些術語，普通使用者是難以理解的。如何更好地向使用者告知app在隱私保護方面的價值、具體措施，對app提出更高的要求。

早在9年前，騰訊就成立了專門的隱私合規團隊，2018年，又率先發布了《騰訊隱私保護白皮書》。2018年，騰訊提出“科技向善資料有度”的資料隱私保護理念，必須按照“合法性、正當性和必要性”這個“度”來進行產品開發。通俗來講，就是堅持“三不”原則：非必要，不收集；非授權，不使用；非合規，不上線。

今年1月初，騰訊隱私保護平臺2.0上線，更透明地披露了騰訊的隱私政策。騰訊也是國內網際網路公司中率先搭建的集中性展示公司整體隱私政策和產品隱私保護指引的公司。

騰訊隱私保護平臺以透明化為出發點，增加“使用者中心”、“隱私問題反饋”等欄目，進一步增強使用者對產品的隱私管理。其中，新增的“使用者中心”模組集合9款產品的隱私管理指引，覆蓋通訊與社交、數字內容、金融科技服務、工具等四大類。此次騰訊隱私保護平臺升級還為使用者提供了具體產品的隱私管理指引，使用者可以方便地檢視產品隱私保護指引、修改隱私設定、瞭解賬號登出流程、管理應用授權。

目前，除微信以外，騰訊隱私保護平臺還提供QQ、企業微信、王者榮耀、騰訊視訊、微視、騰訊地圖、騰訊新聞和騰訊自選股等熱門產品的隱私管理指引，方便使用者查閱。

給App做“體檢”

2020年小馬哥提出“全真網際網路”的概念，隨著大資料、雲端計算、人工智慧的深入學習，新技術、新硬體的聯動，各種資料在真實和虛擬之間進行高度的協同，將真正突破“連線”的物理形態，虛擬世界和真實世界的界限開始模糊，其連線點就是資料。

資料隱私保護既需要建立全生命週期的資料合規管理制度，還需要強有力的技術支撐。依託幾大安全實驗室的技術能力，騰訊在內部推出資料隱私合規整體解決方案——“閥門”系統。閥門系統當前已推出APP合規風險掃描、SDK合規解決方案、產品隱私合規評估、隱私政策管理等功能，助力內部產品全面排查隱私風險。

“閥門”系統結合技術掃描能力及專業合規評估，從敏感許可權呼叫、第三方SDK合規、隱私政策文等方面全面評估合規風險，為產品出具隱私合規“體檢報告”。產品在上線前都要進行合規檢測，這一措施也會逐步擴大到在騰訊平臺上上線的其他公司的產品。

在資料安全技術上，玄武實驗室、科恩實驗室、雲鼎實驗室、移動安全實驗室等七大專業實驗室採用區塊鏈、量子加密等技術，也為個人資訊保護和資料安全建立堅實的“保護盾”。

揭開SDK面紗

根據國家網信辦等四部委2019年11月28日釋出的《App違法違規收集使用個人資訊行為認定方法》（國信辦祕字〔2019〕191號），App必須明確列明包括委託的第三方或嵌入的第三方程式碼、外掛)收集使用個人資訊的目的、方式、範圍等。

根據相關的標準要求，需要在隱私政策中去披露到底植入了哪些第三方SDK，第三方SDK到底收集了哪些資訊，到底這個SDK收集的資訊是傳輸到哪裡去了。2020年各家機構隱私合規檢查檢測中做過一個統計，其中有50%的通報都是出在了SDK合規披露的問題，包括許可權、敏感許可權披露的問題，都是存在各種各樣違規點。

在傳統的檢查方式下，在釋出產品之前需要先跟產品經理確認到底植入哪些SDK，產品經理、開發人員核對到底植入了哪些SDK， SDK到底收集了哪些資訊也不知道，但往往反饋的結果是分裂的甚至是錯誤的。

騰訊的“閥門”系統搭建了整體的SDK隱私政策管理體系進行披露。比如QQ接入第三方SDK的目錄的披露，包括它的SDK採集資訊的型別以及接入第三方SDK的官方連結地址。

通過工具化的SDK合規掃描，產品在手機端執行的時候，可以在幾分鐘之內就掃描出來這個產品到底植入了哪些SDK，這個SDK到底收集哪些資訊，這些相應資訊到底在相應的隱私政策當中到底有沒有披露。

同時，騰訊將接入第三方SDK的目錄融合在產品的隱私保護指引中，會有一個跳轉連結，隱私保護平臺跟內部合規系統進行打通，在內部合規系統上面把產品SDK確定下來之後可以自動生成一份第三方接入SDK的目錄，可以直接關聯在隱私保護平臺上。

有問題就掃這個碼

值得一提的是，騰訊隱私保護平臺與騰訊客服聯合打造個人資訊保護專區，為使用者提供多樣化的隱私問題反饋渠道。使用者通過掃描二維碼，進入“騰訊客服”，點選“其他”即可進入個人資訊保護專區，使用者可以瀏覽相關問題指引，還可以“提交問題”進行聯絡。

保護使用者權益和加強資料合規，樹立正確的數字責任觀，也將是網際網路公司最根本的責任之一。