摘自:《网络安全技术和产业动态》2023年第6期,总第36期。

隐私合规检测技术是针对信息技术产品使用过程中,对涉及用户个人信息的采集、使用、传输、存储等相关行为开展的检查、测试技术。通过隐私合规检测技术,产品厂商、企业和个人开发者可以有效识别合规风险,保护用户权益。

近年来,随着个人信息相关的法律法规的相继出台,确保产品的隐私合规受到各厂商的重视。伴随隐私合规需求的增长,隐私合规检测技术快速发展,切实提高了对于用户隐私权益的保障。

0技术发展情况

面对隐私保护不当造成的数据泄漏、财产损失、监管处罚等风险,企业用户在个人隐私合规方面挑战重重,隐私合规检测技术应运而生。

在检测内容上,早期实践中较多的隐私合规检测技术主要是根据国家法规标准要求,针对信息技术应用产品的隐私政策文件进行分析和评估,识别出其中的隐私问题与合规风险。随着我国法规政策的细化及个人信息保护需求的发展,信息技术产品中的权限过度申请、用户数据超范围收集和滥用等问题也逐渐成为了隐私合规检测的重点关注方向。因此现有的隐私合规检测技术囊括了隐私政策文件合规性检测技术、信息技术产品数据行为检测、信息技术产品权限检测等多种检测技术,并形成了一套多维度的针对信息技术产品的综合隐私合规分析评估方法。

从检测手段而言,近年来,隐私合规检测技术的检测手段从原本的人工检测方式向自动化辅助人工的方式转变,以机器学习为代表的人工智能等技术也开始逐渐使用于隐私政策文件内容分析和隐私数据收集使用合规性评估中。

现在的隐私合规检测技术已经具备了一定的检测和评估能力,可以对隐私政策内容、数据收集使用、权限申请使用等方面进行检测和评估,同时还支持多语言和多平台的检测与评估。

0技术发展难点

由于隐私合规检测技术应用场景复杂,检测依赖的政策法规需要法律专业知识解读,隐私合规检测技术仍然面临着一些技术难点:

1.缺乏面向隐私数据处理全流程的合规检测的技术方案

面向隐私数据全生命周期处理全流程的隐私合规检测会面临较为复杂的应用场景,具体包含移动应用、小程序、网站、IoT设备等数据收集端,以及数据进入云端服务器、内网等处理端。业内目前关注的隐私合规检测技术是针对数据收集端的检测,而针对涉及隐私数据存储、使用、对外提供等处理过程的云端服务器、内网主机的检测技术因其所面临的服务端及内网在不同企业的不同实施方案带来的复杂性及数据敏感性,尚未形成有效可用的技术方案,因此对于隐私数据全流程的合规检测技术难以形成完整面向数据处理全流程的检测技术方案闭环;

2.部分法规条文自动化,智能化检测难

目前国内已经出台了一系列与个人信息相关的法规要求及标准,对于信息技术产品包括移动应用、小程序等提出全面合规要求。相较于普通应用行为检测,由于合规场景细分后较为复杂,许多检测场景下的合规性评估需要结合法律知识与技术实现原理共同进行判断,因此难以实现对于这些检测场景的检测技术的自动化,智能化。

0技术产业落地情况

2019年至今,聚焦于隐私合规检测的隐私科技产业在监管机构、安全厂商、互联网企业、检测机构等各方的参与下有了飞速的发展,多家企业研制隐私合规相关产品和提供相关服务。据不完全统计,国内目前从事隐私合规技术检测的相关企业超50家,以App开发企业为主的付费获取隐私检测服务的用户规模目前已近万家,且付费用户规模近几年每年增长约30%。从业企业的经营模式以围绕隐私合规检测产品、隐私合规评估服务、隐私合规培训等内容,为App开发企业提供合规赋能,规避隐私合规风险。这些企业聚焦于以App为主的隐私收集使用合规,对于隐私数据处理全流程的监管及合规问题发现仍处于探索完善阶段。

目前,隐私合规检测技术已在多个领域中有了一定的发展。其中一些领域如针对移动应用、微信小程序的隐私合规检测已经形成了较为成熟的落地产业。

1.移动应用

移动应用隐私合规检测技术主要包含隐私政策内容合规检测技术、行为合规检测技术、权限申请、使用合规检测技术等。以移动应用为目标的隐私合规检测技术目前具备了比较成熟的落地产业,国内部分厂商已具有一定的隐私合规检测技术落地产品并且为应用厂商、监管部门等提供检测服务。

2.小程序

小程序隐私合规检测技术包括隐私政策内容合规检测技术、隐私数据收集合规检测技术、隐私数据上传合规检测技术等。目前已有一部分安全厂商完成了以微信小程序为主的隐私合规检测技术的具体落地,形成产品提供给微信小程序开发企业及监管部门进行使用。

3.物联网设备

针对物联网设备(IoT)隐私合规检测技术落地目前以Android生态下的智能设备上的隐私合规检测为主,主要以针对多端数据的全流程安全性研究技术为主。当前针对IoT隐私合规检测技术落地主尚处于研究探索阶段,其中一些生态下如Android生态的技术已在尝试落地。

4.网页

运用于网页端的隐私合规检测技术主要有:隐私保护政策内容分析技术、敏感信息传输检测技术、cookie使用合规检测技术等。目前国内网页端隐私合规技术落地未受到重视,相关的检测一般是以安全检测所附带的人工合规审计服务形式为主,未形成较为成熟的落地产品。

0意见和建议

1.进一步完善新兴领域隐私合规相关政策

重视不同行业尤其是技术发展带来的新兴领域的隐私合规问题,及时完善相关政策,如及时针对新兴领域特定隐私数据的数据采集使用制定标准,发挥政策指导作用,督促行业监管对行业进行监督检查,发现隐私合规问题并指导整改,保障用户隐私权益。

2.促进多方深入交流,协同攻关

鼓励政、企、高校联合研究,通过发现企业在实际合规检测中的难点与痛点,研发更多的先进技术增强隐私合规检测技术,降低合规成本,提升合规效率,保障企业隐私合规工作可持续进行及发展。

3.推动企业个人信息处理透明度提升

积极推动企业建立个人信息处理透明机制,通过如标准化个人信息处理流程、规范化个人信息处理规则等方法,鼓励企业建设支撑个人信息处理审计相关的业务系统,从而有效地提升企业个人信息处理全过程的公开化、可视化,降低对于企业服务端隐私合规检测的难度,同时加强服务端隐私检测技术的政策指导,实现隐私合规检测技术在数据全生命周期的检测闭环。

中国网络安全产业联盟(CCIA)主办,奇安信科技集团股份有限公司供稿。

声明:本文来自CCIA网安产业联盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。