- 综合排序
- 最热优先
- 最新优先
- 来自专栏lib库
隐私合规综合实践
隐私合规综合实践目录介绍01.整体概述介绍1.1 遇到问题说明1.2 项目背景1.3 设计目标1.4 产生收益分析02.隐私合规测什么2.1 隐私合规是什么2.2 为何做隐私合规2.3 隐私合规政策案例 2.4 为何做权限合规04.隐私合规检测4.1 违规收集个人信息4.2 超范围收集个人信息4.3 违规使用个人信息4.4 过度索取权限4.5 自启动和关联启动05.隐私合规实践5.1 整体合规思路5.2 02.隐私合规测什么2.1 隐私合规是什么对客户端而言,权限隐私可分为 权限 和 隐私 两个大的方面。 2.3 隐私合规政策案例隐私合规案例比如获取设备信息:获取设备id,sim,androidId等;比如获取危险权限信息:获取读写存储卡权限,获取电话权限等。 05.隐私合规检测库实践5.1 整体合规思路开发了一个针对 Android APK 的敏感方法调用的静态检查工具。
3K31编辑于 2022-10-12 - 来自专栏codelang
隐私合规代码排查思路
隐私合规整治不仅仅是排查一次就完,而是要做一个完整的体系来规范后面的编码,避免隐私代码调用又出现而触发合规问题。 一个体系的完善,总体流程为: 发现问题 更改问题 规范问题 1、如何检查 “同意用户隐私” 之前的隐私代码调用? 通过 as 去手动 Find in Fies ? 所以,静态检查隐私代码调用是不合适的。有没有一种能在运行的时候知道是哪些类调用了隐私 API 呢? 1、解压 apk 取出所有 dex,将 dex 反汇编成 smail 文件,根据规则扫描 smail 文件中的方法是否有调用隐私相关的 API,代表作有网易云的 Android 隐私合规静态检查 2、自定义 /master/mamba-plugin/src/main/groovy/com/codelang/mamba/core/MambaClassVisitor.groovy 3、基于 lint 去做一套隐私合规检查
2.1K20编辑于 2021-12-24 - 来自专栏codelang
Android 隐私合规检查工具套装
之前写过一篇《隐私合规代码排查思路[1]》的文章,但文章没有将方案开源出来,总觉得差了那么点意思,这次打算把几种常规的检测方法都开源出来,给大家一些借鉴思路。 对于一套完整的隐私合规检查来说,动静结合是非常有必要的,静态用于扫描整个应用隐私 api 的调用情况,动态用于在运行时同意隐私弹框之前是否有不合规的调用,以下列出一些常规的检查方案: 思维导图中 ✅ 打钩的部分都已经实现 集成方案查看 github 的 DepCheck 插件 README[2] 说明 2、基于 apk 的 smali 扫描 网易云音乐曾经发表过一篇基于 smali 扫描的《Android 隐私合规静态检查 ] ART上的动态Java方法hook框架[26] 参考资料 [1] 隐私合规代码排查思路: https://juejin.cn/post/7042967031599071269 [2] Android 隐私合规静态检查: https://musicfe.com/android-privacy/ [3] VirtualXposed: https://github.com/android-hacker/
2.7K11编辑于 2024-01-15 - 来自专栏游戏安全攻防
浅谈APP的隐私合规检测
更干净的信息环境,国家工业和信息化部开展了《纵深推进APP侵害用户权益专项整治行动》以及《App违法违规收集使用个人信息行为认定方法》 《常见类型移动互联网应用程序必要个人信息范围规定》的通知,在APP合规上都需严格按照国家工业和信息化部 所有提交上架市场或各平台的APP,都需要经过隐私合规性检测,只有通过该检测(自身检测和平台检测)且没有其他违反审核规则内容前提下,APP才可以正常上线,如果APP隐私合规检测未通过,APP将会被驳回不允许上架 对具有舆论属性和社会动员能力的互联网信息服务的APP,须按照APP应用实际办公地原则登录全国互联网安全服务管理平台(http://www.beian.gov.cn ) 安全评估窗口提交安全评估报告。 主管机关要求,上传全国互联网安全服务管理平台后,须向上架平台提交副本,以备主管机关查验。 合规检测 在APP合规检测方面,存在比较突出的问题主要有5个,下面就针对5个突出问题做个稍微解析。 整改建议: 用户首次打开APP必须有隐私政策协议弹窗,隐私协议中请真实完整说明APP和集成的第三方SDK收集用户个人信息的规则;隐私政策隐私弹窗必须使用明确的“同意\拒绝”按钮;只有当用户点击“同意”后
5.2K22编辑于 2023-02-28 - 来自专栏用九智汇分享
数据视角下的隐私合规
本文并不从法律视角去解读各个场景的隐私合规要求,而是尝试用技术视角去看隐私合规的数据脉络。 ,从而满足主体权利响应,第三方管理,数据留存管理,个人信息保护,数据泄漏响应的合规要求。 东船西舫悄无言,唯见江心秋月白 之前有位客户问了我们一个问题,隐私合规为什么要做数据治理? 这篇文章是我们的一些思路,但是从落地角度是否一定要做,答案是不一定,每个企业的业务复杂度、合规压力、系统复杂度都不同,举个例子,比如工业企业的隐私合规,采集的个人信息以供应商及员工的个人信息为主,PIA 和DSAR都可以轻量化的方式实现,以性价比最高的方式落地隐私合规义务。
1K40编辑于 2023-11-01 - 来自专栏用九智汇分享
数据视角下的隐私合规2
所以在《个保法》中都明确说明了数据处理活动需要“事前”评估,围绕隐私合规的8个专题当中有4个都是事前合规要求,分别是个人信息影响安全评估、处理活动记录、告知与同意、第三方管理,比如: 个人信息影响安全评估 那数据发现或者流量检测在隐私合规领域是否就一无是处呢,我们认为也不是,他可以起到后续的持续监督作用做到及时补救,以及在隐私合规体系冷启动的时候,帮助做已上线业务的数据梳理 当下市场存在的误区之二是隐私合规是合规 这个问题我们在上一篇中也做了说明,围绕隐私合规的8个专题当中有4个都是和“事后”落库数据相关,分别是主体权利响应、个人信息保护、数据留存管理、数据泄漏响应。 处理目的等问题以满足主体权利响应、个人信息保护、数据留存管理、数据泄漏响应的合规要求,用九智汇在数据合规治理层面也做了非常多的创新探索,标识实验室便是其中之一,它以开放模型平台的方式帮助数据治理同学自主完成数据识别建模 这篇我们通过“见本而知末,执一而应万”介绍了隐私合规在数据处理层面存在事前与事后的两面性。下篇我们将从数据流转层面介绍隐私合规的两面性,此处先用两句偈语埋个伏笔。
62430编辑于 2023-11-01 - 来自专栏用九智汇分享
App隐私合规评估实务和要点
本文将深入探讨App隐私合规评估的要点和难点,提供详细的信息,并提供一套轻量级和自动化的App隐私合规治理方案,降低App业务被通报和下架等合规风险,以保障企业App业务正常运营。 各地通信管理部门也在加紧App监管执法。 App隐私合规评估要点 随着移动互联网的高速发展及监管部门针对App隐私合规监管趋严,各公司对保护用户的个人隐私安全意识也在愈发重视。 App隐私合规评估主要依据的法律法规、标准指南和规范要求包括: 最终梳理完成的App隐私合规评估内容主要包括: 完成App隐私合规评估Chelist梳理后,需要综合利用人工自查、 进行App隐私合规评估可以帮助组织识别潜在的隐私风险,确保数据安全性和透明度, 并维护受影响个人的权利和利益。 3. 隐私合规评估是否只需一次进行? 不是的。
1.5K20编辑于 2023-11-01 - 来自专栏用九智汇分享
数据视角下的隐私合规3
时时勤拂拭,勿使惹尘埃 基于同意的合规路径是我们使用/共享个人数据的最常用手段,对于企业而言,合规的同意管理复杂而严格,Cristiana Santos, Nataliia Bielova等学者结合 那这么多的合规技术点,我们一个企业如何才能够做到面面俱到,CMP(同意偏好管理)便孕育而生。CMP是用户和企业之间的桥梁。 一面朝向企业,不仅帮助企业实现合规的同意请求流程,使企业自动化其同意管理过程。 但对于输出ID画像的隐私计算方案,比如SGX,隐私求交等技术的合规性,其实并没有充分保障,它依然无法解决数据来源的合法性问题,无法绕开个人信息保护影响评估等合规义务,无法绕开单独同意,也并非匿名化方案, 数据流通利用系列 | 同意管理平台:高效数据合规的技术方案探索-叶玲 3. 苹果隐私政策重大升级,Facebook为何强烈反对? 4.
58610编辑于 2023-11-01 - 来自专栏Android源码框架分析
APP隐私合规审查现状与应对措施
Android与iOS在隐私合规上的区别对待 (一)Android是隐私合规的重点处理对象 整体来讲,iOS的生态更加健康、完善,相对于Google,苹果对隐私的重视程度更高,在系统层面支持的更好。 (二)Android的合规审查标准比较混乱 隐私合规主要是工信部、网信办、各地通管局在一起推动的,但是具体的审查工作并不是这些部门在承办,而是交给第三方进行审查。 APP隐私合规上的审查方式 目前,隐私合规基本是人工+自动化工具配合来共同完成,100%自动化审核还是比较困难,合规检测一般由专门的机构提供服务。 :是否提供定向推送的开关、是否提供隐私策略、隐私策略内容是否完整,规范、权限的申请是否合规等,更关注法务法规上显性的要求;工具审查更注重隐私信息的获取,是否调用了某些系统接口非法获取了用户信息,更注重隐式合规需求 总结 目前国内的隐私合规审查稍有些过于严苛,但是重病需猛药,先拨乱反正一下,将来也许会稍微放开一些, 作者:看书的小蜗牛 APP隐私合规审查现状与应对措施
4.3K21编辑于 2023-01-30 - 来自专栏顶象技术业务安全专栏
顶象推出应用隐私合规检测服务
为帮助开发者更高效地进行App隐私合规检测,顶象推出应用隐私合规检测服务,快速发现App可能存在的各类隐私安全漏洞,并提供详细的检测报告,给出专业的合规整改建议。 隐私合规检测助力App合规为了帮助开发者更高效地进行App隐私合规检测,聚焦更多的精力构建功能齐全、用户体验良好的高质量App,顶象推出应用隐私合规检测服务。 该服务基于顶象内部积累多年的App隐私合规检测能力,帮助开发者发现App可能存在的各类隐私安全漏洞,提供详细的检测报告,并给出专业的合规整改建议。 上架前隐私检测。在各个移动应用市场在应用上架前,对App进行隐私检测,确保安全合规、发现存在的风险。应用合规检测。 合规检测对开发者的帮助顶象应用隐私合规检测服务应用隐私合规检测服务对于应用程序开发者来说非常重要,可以帮助他们保护用户个人信息安全和隐私,保证应用程序的合规性和可靠性,提高应用程序的市场竞争力,并节省开发成本和时间
63610编辑于 2023-04-24 - 来自专栏FreeBuf
APP隐私合规介绍和实施方案
近期咨询app隐私合规的人有点多,正好借这个机会把相关内容整理一下供大家学习参考。 一、背景 目前,大量的移动app在使用过程中,涉及个人隐私信息和敏感信息。 在个人信息处理、共享、转让、公开披露过程中,管理流程和技术手段不规范造成个人信息泄露的安全事件层出不穷。 侵害消费者人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的,除承担相应的民事责任外,其他有关法律、法规对处罚机关和处罚方式有规定的,依照法律、法规的规定执行;法律、法规未作规定的,由工商行政管理部门或者其他有关行政部门责令改正 第四十五条 依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。 未经用户同意收集使用个人信息 4)违反必要原则,收集与其提供的服务无关的个人信息 5)未经同意向他人提供个人信息 6)未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息 三、APP隐私合规怎么做
4.5K41发布于 2020-05-14 Flutter + OpenHarmony 安全与隐私合规实践:构建可信、合规、用户放心的鸿蒙应用
Flutter + OpenHarmony 安全与隐私合规实践:构建可信、合规、用户放心的鸿蒙应用 作者:晚霞的不甘 日期:2025年12月16日 标签:Flutter · OpenHarmony · 数据安全 · 隐私合规 · GDPR · 网络安全法 · 鸿蒙生态 引言:安全不是功能,而是信任的基石 在 OpenHarmony 的万物互联时代,你的应用可能正在处理: 车机中的实时位置与驾驶行为 本文提供一套覆盖数据生命周期、权限管理、合规披露、安全编码的完整实践框架,助你构建: 符合 GDPR / CCPA / 中国《个人信息保护法》 的隐私体系 通过华为 AppGallery 审核 的安全架构 让用户主动授权而非被迫同意 的透明体验 ✅ GDPR 合规 端到端加密 隐私政策自动生成 ️ 华为安全认证 一、隐私合规全景:从法律到代码的映射 1.1 核心法规要求速览 法规 关键要求 技术落地点 6.2 使用 DevEco Security Inspector 华为官方安全扫描工具: 静态分析 APK/HAP 检测隐私违规、权限滥用、加密缺陷 生成合规报告(用于 AppGallery 提交)
14810编辑于 2026-02-09- 来自专栏逆向与安全
移动APP隐私合规检测解决方案初探
图1-1 各监管部门不断开展APP专项治理工作及核查通报,不合规的APP通知整改或直接下架。 1.2、应用场景 企业: 针对企业开发的移动应用中收集个人信息行为是否存在违法违规进行认定并提供参考,为企业APP运营者自查自纠提供指引,移动应用个人信息安全提供多方位全面体检,APP是否合规等问题的深度检测 ,及时发现应用存在的潜在风险与不合规之处,帮助企业对APP隐私、过度收集、滥用等行为进行检测,高效、低成本地做APP合规自查形成专业并易理解的检测报告,为移动应用运营者提供专业的合规、安全提供整改依据。 这些的确是非常重要的用户隐私,但是并没有覆盖所有的用户隐私和敏感数据。在很大程度上忽视了一个非常重要的用户隐私来源——用户输入隐私。 第二:及时发现个人手机上APP获取信息合规问题及准确定位,提前发现应用中个人信息的安全、合规风险,并准确定位问题出现的源头,对获取隐私的应用提出预警提示。
3.5K61发布于 2021-04-29 - 来自专栏腾讯安全
腾讯安全发布《APP隐私合规白皮书》
关注腾讯安全(公众号TXAQ2019) 回复APP隐私合规获取原报告 微信图片_20211014124931.jpg 违规频发,监管重视:APP隐私合规问题丞待解决 近年来,手机移动应用超范围收集个人信息等违规新闻屡见不鲜 对于企业而言,提前自查、整改并满足合规要求,也是业务稳健、可持续发展的前提。 然而,APP隐私合规检测并非易事。 动态检测技术+云手机技术支撑,灵鲲推出自动化App合规方案 在《白皮书》提出,腾讯安全灵鲲结合过去多年安全攻防经验的沉淀,打造了全面、精准、高效的APP隐私合规解决方案。 腾讯安全灵鲲隐私合规服务的检测范围覆盖应用基本信息检测、APP违法行为检测、APP违法权限检测、第三方SDK检测、APP通信传输、APP数据存储、APP源文件安全、身份认证风险,其中行为合规检测、权限合规检测与第三方 目前,灵鲲APP隐私合规检测服务的产品能力,主要依托背后强大的动态检测技术和云手机技术支撑。
2.5K21发布于 2021-10-15 - 来自专栏云计算D1net
云中的合规性:避免云合规陷阱
但这种想法是不切实际的,而且在目前的监管环境中,这是危险的,并且可能是潜在的合规性陷阱。 ? 当然,组织可以通过提高效率、灵活性和降低业务成本从云计算服务中受益。 云合规差距 在数据保护条例越来越严格的情况下,更多地使用云计算的举措正在出现。 因此,具有可靠数据保护和隐私政策的组织应该能够遵从GDPR法规。 但是,组织采用云计算的举措可能会暴露在合规性方面的差距,特别是对于主要处理个人数据的组织。 多云也是多重挑战 组织将业务转移到云端可能会带来一系列实际的管理和监管挑战。 但是对于合规性,首席信息官和安全官员面临的关键问题是组织存储的数据类型以及数据的位置。 但任何采用云计算的组织都需要意识到,无论他们对IT部门如何改进,都不能将合规责任推卸出去。而确保云计算提供商符合当前标准是膙尽职调查流程的一部分。
2.2K40发布于 2018-06-08 YashanDB如何简化数据合规性管理
在当前数据驱动时代,数据合规性管理已成为企业面临的重要挑战。随着各国对数据隐私和保护法律的日益严格,企业需要确保其数据处理活动符合相关法规,如GDPR、CCPA等。 合规性管理不仅关乎法律责任,也直接影响到企业的声誉和客户信任。然而,传统的数据合规性管理方式往往存在复杂的流程、繁琐的审计要求及多变的合规标准等问题。 支持IP黑白名单机制,进一步限制非法访问,保护企业数据安全,确保合规性要求得到执行。通过以角色为基础的权限管理,企业能够快速适应不断变化的合规要求,减少繁琐的权限管理步骤。2. 用户可根据需求灵活配置加密级别,以满足不同合规标准的要求,确保合规性管理的有效执行。4. 这一框架不仅提高了企业对合规性管理的效率,降低了合规风险,也为企业在数据驱动时代的持续发展提供了坚实保障。
20110编辑于 2025-08-21- 来自专栏FreeBuf
2023年,超过40%的隐私合规技术将依赖AI
根据Gartner的数据,到2023年,超过40%的隐私合规技术将依赖人工智能(AI),而目前这一比例仅5%。 ? 这项研究在线调查了来自巴西、德国、印度、美国和英国的698名受访者。 隐私负责人承受着巨大压力,需要确保所有处理的个人数据都在范围内并受到控制。如果没有技术支持,数据管理会变得既困难又昂贵,这也是需要使用人工智能驱动的应用程序来减轻管理负担和手动工作的原因。 Al驱动的隐私技术减轻了合规性的困扰 积极的隐私用户体验(UX)最重要的就是迅速处理主题权限请求(SRR)的组织能力。 到2022年,全球合规工具隐私支出将增至80亿美元 到2022年,全球范围内由隐私驱动的合规工具支出将增至80亿美元。隐私支出预计将影响利益相关者的购买策略,包括CIO,CDO和CMO的购买策略。 随着Al通过在SRR管理和数据发现等领域协助组织提高隐私保护能力,我们将开始看到服务提供商提供的更多Al功能。”
73210发布于 2020-03-12 邮件系统日志的合规性与隐私保护技巧
建议采用“属地化”日志管理策略,针对不同地区用户的日志单独配置合规规则。 四、安全日志管理:防止篡改与保护系统敏感信息邮件系统日志不仅涉及用户隐私,还包含服务器IP、管理员操作记录、系统配置等敏感信息,若日志被篡改,会导致安全事件无法追溯、合规审计失败;若敏感信息泄露,会引发系统安全风险 五、总结与落地建议邮件系统日志的合规性与隐私保护,核心是“平衡”——平衡日志可用性与隐私保护,平衡合规要求与业务需求。 、定期清理、权限管控三大基础操作,快速降低隐私泄露与合规风险;3.优化升级:逐步引入集中化日志管理工具、区块链存证等方案,提升日志防篡改能力与管理效率;4.定期审计:每季度开展日志合规审计,检查脱敏效果 对于开发者与运维人员而言,日志管理不仅是技术工作,更是合规责任。唯有将隐私保护与合规要求融入日志管理的全流程,才能在保障系统安全、支撑业务运营的同时,守住用户隐私底线,避免合规风险。
19410编辑于 2026-02-28- 来自专栏绿盟科技研究通讯
透过隐私合规,看数据安全技术发展趋势
[6],后者与隐私合规性紧密相关。 用户隐私权响应与评估合规 包括主体权利请求(SRR)、同意与偏好管理(CPM),可以自动化处理和响应用户提出的数据访问权和删除权等各项权利,以及隐私设计(Privacy by design, PbD), 用于在产品设计时考虑隐私合规与可用性问题等。 三、合规视角下的数据安全发展趋势观察 在隐私法规的强有力推动下,国内外数据安全相关技术和产品得到快速发展,逐步形成以“合规遵循”为主的安全细分领域。 《数据匿名化:隐私合规下,企业打开数据主动权的正确方式?》
2.4K50发布于 2020-11-30 - 来自专栏超级架构师
【云架构】云安全和隐私:法律合规与风险管理指南,第2部分
在这个由两部分组成的系列文章中,法律专家Robert McHale是“数据安全和身份盗窃:影响您的业务的新隐私法规”的作者,它提供了与云计算相关的法律安全和隐私风险的全面概述。 第1部分讨论了管理云活动的主要联邦和州法律。 第2部分提供了公司在签订云服务协议之前应该咨询的实际尽职调查清单。 提供商有关数据处理/管理和访问控制的政策是什么?是否存在适当的控制措施,以防止提供商或公司未经授权的员工不允许复制或删除客户数据? 数据被删除后会发生什么? 实践要点 当云服务提供商保留单方面更改其隐私政策条款和使用条款的权利时,与云计算相关的安全和隐私风险会加剧。通过拒绝此类单方面变更条款,用户可以避免将其经过仔细协商的风险分配带走。 在这方面,公司应坚持审查其直接提供商与任何二级提供商签订的合同,以确保维持合规性,并且不会产生额外的法律风险或义务。 结论 采用云服务具有显着优势,包括降低成本,减少对现场支持的需求和可扩展性。
1.4K31发布于 2019-05-06
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号