大数据时代背景下,个人信息面临着大规模收集和广泛使用(yòng)、透明化和网格化趋势,引发了诸多(duō)个人信息安(ān)全保护问题,越来越多(duō)个人信息被不当泄露、滥用(yòng)、买卖,公(gōng)民(mín)的个人信息处于“裸奔”状态。且个人信息的非法收集和泄露行為(wèi)屡禁不止,信息非法买卖行為(wèi)猖獗,严重影响着公(gōng)民(mín)的信息安(ān)全。
个人信息安(ān)全保护与公(gōng)民(mín)的人格权益和财产(chǎn)权益息息相关,与社会发展、经济繁荣昌盛紧密相连。作(zuò)為(wèi)國(guó)内知名(míng)的移动信息安(ān)全综合服務(wù)提供商(shāng),爱加密时刻关注我國(guó)的个人信息安(ān)全发展状况,致力于通过优质(zhì)的核心技(jì )术,帮助企业、应用(yòng)商(shāng)店(diàn)、监管机构、测评机构等实现移动应用(yòng)的合法合规,并从行业实践着手大力推动我國(guó)移动应用(yòng)个人信息安(ān)全保护生态的良好发展,帮助进一步障公(gōng)民(mín)个人信息的全面安(ān)全。
深耕于移动应用(yòng)的个人信息安(ān)全保护领域多(duō)年,爱加密积累了丰富的行业实践经验和服務(wù)经验,可(kě)提供专业的移动应用(yòng)安(ān)全检测、移动应用(yòng)个人信息安(ān)全检测、移动应用(yòng)个人信息安(ān)全合规评估服務(wù)等。具(jù)备全方位的个人信息安(ān)全检测、安(ān)全规范合规、安(ān)全应用(yòng)备案、持续监督等能(néng)力,可(kě)帮助应用(yòng)开发企业在应用(yòng)发布前评估个人信息的安(ān)全性和合规性;出具(jù)专业的个人信息测评报告,助力企业提升个人信息安(ān)全合规能(néng)力。
评估依据
1、全國(guó)人大常委会《中(zhōng)华人民(mín)共和國(guó)网络安(ān)全法》
2、全國(guó)人大常委会《个人信息保护法》
3、全國(guó)信息安(ān)全标准化技(jì )术委员会《GB/T 35273-2020-信息安(ān)全技(jì )术 个人信息安(ān)全规范》
4、全國(guó)信息安(ān)全标准化技(jì )术委员会《GBT 41391-2022-信息安(ān)全技(jì )术 移动互联网应用(yòng)程序(APP)收集个人信息基本要求》
5、全國(guó)信息安(ān)全标准化技(jì )术委员会《信息安(ān)全技(jì )术 移动互联网应用(yòng)程序(APP)收集个人信息基本规范(征求意见稿)》
6、全國(guó)信息安(ān)全标准化技(jì )术委员会《移动互联网应用(yòng)程序(APP)收集使用(yòng)个人信息自评估指南》
7、全國(guó)信息安(ān)全标准化技(jì )术委员会《网络安(ān)全标准实践指南—移动互联网应用(yòng)程序(APP)个人信息保护常见问题及处置指南》
8、全國(guó)信息安(ān)全标准化技(jì )术委员会《移动互联网应用(yòng)程序(APP)系统权限申请使用(yòng)指南》
9、APP专项治理(lǐ)工(gōng)作(zuò)组《APP违法违规收集使用(yòng)个人信息自评估指南》
10、APP专项治理(lǐ)工(gōng)作(zuò)组《APP申请安(ān)卓系统权限机制分(fēn)析与建议》
11、四部委《APP违法违规收集使用(yòng)个人信息行為(wèi)认定方法》
12、四部委《常见类型移动互联网应用(yòng)程序必要个人信息范围规定》
13、工(gōng)业和信息化部《关于开展APP侵害用(yòng)户权益专项整治工(gōng)作(zuò)的通知(工(gōng)信部信管函〔2019〕337号)》
14、工(gōng)业和信息化部《关于开展纵深推进APP侵害用(yòng)户权益专项整治行动的通知(工(gōng)信部信管函〔2020〕164号)》
15、國(guó)家互联网信息办(bàn)公(gōng)室《个人信息出境安(ān)全评估办(bàn)法(征求意见稿)》
16、國(guó)家互联网信息办(bàn)公(gōng)室《儿童个人信息网络保护规定》
17、電(diàn)信终端产(chǎn)业协会-工(gōng)信部团體(tǐ)标《移动智能(néng)终端与应用(yòng)软件用(yòng)户个人信息保护实施指南》
18、電(diàn)信终端产(chǎn)业协会-工(gōng)信部团體(tǐ)标《APP收集使用(yòng)个人信息最小(xiǎo)必要评估规范》
19、電(diàn)信终端产(chǎn)业协会-工(gōng)信部团體(tǐ)标《APP用(yòng)户权益保护测评规范》
20、電(diàn)信终端产(chǎn)业协会-工(gōng)信部团體(tǐ)标《移动互联网应用(yòng)程序(APP)用(yòng)户权益保护测评规范》
21、全國(guó)信息安(ān)全标准化技(jì )术委员会《移动互联网应用(yòng)程序(APP)使用(yòng)软件开 发工(gōng)具(jù)包(SDK)安(ān)全指引》-只针对SDK检测
22、中(zhōng)國(guó)信通院《小(xiǎo)程序个人信息保护研究报告》-只针对小(xiǎo)程序检测
核心能(néng)力
1、应用(yòng)行為(wèi)检测
提供硬件级“手机沙箱仿真系统”,实现代码应用(yòng)“真实”运行分(fēn)析。沙箱内核跟踪、识别、记录代码的行為(wèi)活动以及获取行為(wèi)结果数据。
通过脱壳、反编译分(fēn)析APK、IPA应用(yòng)包,解析个人信息关键行為(wèi)函数,定位代码位置,输出代码片段。
目前手机沙箱及静态行為(wèi)函数分(fēn)析可(kě)识别100种左右的应用(yòng)行為(wèi)。
2、SDK检测能(néng)力
静态:通过唯一标识精(jīng)准识别SDK信息、版本;
动态:行為(wèi)调用(yòng)栈判别、區(qū)分(fēn)行為(wèi)应用(yòng)主體(tǐ)或SDK;
识别内容:收集使用(yòng)个人信息行為(wèi)、权限使用(yòng)情况、通信IP次数、收集使用(yòng)个人信息。
3、通信传输行為(wèi)分(fēn)析
Android:对Android原生系统进行行為(wèi)识别,拦截网络数据,再将数据包发送到后端进行数据解析。
iOS:对iOS原生系统进行行為(wèi)识别,拦截网络数据,再将数据包发送到后端进行数据解析。
4、存储、传输个人信息
存储个人信息:分(fēn)析APP运行过程中(zhōng)新(xīn)建,修改的文(wén)件内容,是否将个人信息明文(wén)存储至本地;
传输个人信息:分(fēn)析APP运行过程中(zhōng)传输的数据,是否明文(wén)传输,是否对个人信息进行发送至第三方服務(wù)器;
通过分(fēn)析存储、传输个人信息判断个人信息的收集使用(yòng)是否符合个人信息保护政策内容;
a.可(kě)定位行為(wèi)触发主體(tǐ);b.函数调用(yòng)栈分(fēn)析APP触发的功能(néng)位置;
5、云手机(Android、iOS)
全程web端执行,无需安(ān)装(zhuāng)客户端、插件,无需配备实體(tǐ)沙箱手机,操作(zuò)更简便;
解决实體(tǐ)沙箱手机升级不及时、故障排查难等问题;
多(duō)線(xiàn)程并行,提高检测效率,减少等待过程;
兼容实體(tǐ)沙箱手机,解决云手机繁忙等待问题,适配不同需求。
优势价值
从应用(yòng)自身到第三方SDK、存储数据到传输数据、代码漏洞到业務(wù)漏洞等多(duō)维度,实现对移动应用(yòng)个人信息合规的全面检测。
全面覆盖《信息安(ān)全技(jì )术 个人信息安(ān)全规范》、《App违法违规收集使用(yòng)个人信息自评估指南》等主流安(ān)全检测标准、法规条文(wén)及行业标准。
采用(yòng)自主研发的沙箱系统和DPI技(jì )术对移动应用(yòng)深度检查,确保报告准确性。
采用(yòng)全自动化功能(néng)遍历技(jì )术,模拟移动应用(yòng)真实运行场景,快速全自动生成报告。
京公(gōng)网安(ān)备
11010802025310号