“ 在国家各监管部门抓紧对App进行治理之际，《梆梆安全个人隐私合规服务平台V3.0》正式发布，该平台可以全面为移动应用App提供敏感权限调用情况检测、个人信息及隐私数据安全风险检测、真实访问行为检测、合规审计服务报告等安全服务内容。”

App权限随意滥用带来新隐患

当前，移动App已经完全融入到每个人的生活当中，而针对App敏感权限的滥用也随之愈演愈烈，导致大量用户个人隐私数据被窃取、贩卖，出现了大量的诈骗、勒索、流氓广告、账号密码盗窃等恶意行为，给用户隐私与财产安全带来了严重隐患。

​国家重拳出击监管App

针对愈演愈烈的App权限滥用等现象，国家及有关监管机构重拳出击，发布了一系列的相关法律法规和监管标准，对个人信息保护提出专门要求，规范了个人信息相关概念及个人信息的保存、使用标准，全面打击针对个人信息安全的犯罪活动：

• 2017年6月1日，《网络安全法》发布。
• 2018年5月1日，GB/T 35273《信息安全技术 个人信息安全规范》正式实施。
• 2019年1月25日，《关于开展App违法违规收集使用个人信息专项治理的公告》发布。
• 2019年3月1日，《App违法违规收集使用个人信息自评估指南》发布。​
• 2019年5月5日，《App违法违规收集使用个人信息行为认定方法（征求意见稿）》发布。
• 2019年5月28日，《数据安全管理办法（征求意见稿）》发布。
• 2019年6月1日，《网络安全实践指南——移动互联网应用业务功能个人信息收集必要性规范V1.0》发布。

平台四大核心能力揪出App新风险

基于相关监管标准、规范，梆梆安全构建了个人隐私合规服务平台，帮助企业和开发者及时对自研App、外包App、第三方SDK、引入的插件/组件等内容进行全面的动态真机环境检测，可以第一时间发现以下安全风险：

• 自研App存在敏感权限控制不当风险
• 引入的开源插件/组件等内容存在敏感权限滥用风险
• 外包App存在敏感权限滥用风险
• 集成的第三方SDK存在敏感权限滥用风险
• 个人信息及隐私数据存在被窃取风险
• App存在不受控制的访问行为

而该平台的四大特色核心能力则能够智能便捷的帮助用户发现隐患确保App合规，保障个人隐私信息安全。

特色核心能力1：合规报告服务，量体裁衣

梆梆安全通过深度解析、解读相关监管标准、规范，建立同各监管标准、规范一一对应的App合规检测基线，并能够根据每个App的实际情况输出可视化的合规检测报告。

梆梆安全部分合规报告类型：

《XX-移动应用个人信息数据安全检测报告》

《XX-应用程序用户信息采集自查报告》

《XX-应用违法违规手机使用个人信息评估报告》

《XX-移动应用个人信息权限检测报告》

《XX-应用32项自评估标准审核报告》

《XX-应用过度收集个人信息检测报告》等。

图1：App检测违法违规问题报告模板示例

特色核心能力2：权限检测服务，还原真实

梆梆安全通过安全沙箱和自动化真机检测技术，来确保App敏感权限滥用和恶意访问行为发现的有效性和准确性，可以对个人隐私权限和App动态行为的真实情况进行检测。

（1）发现真实App权限

普通的App权限分析工具仅能从静态层面对App权限进行扫描，至于发现的权限是否会在App中被真正使用尚无法有效判断。

梆梆安全个人隐私合规服务平台可以为每个App提供真机执行环境，在App的真实执行过程中动态检测App权限的实际使用情况，帮助企业和开发者快速确认App权限是否存在滥用情况。

图2：App权限真机动态检测报告示例

（2）披露潜藏危险行为

梆梆安全App动态行为检测采用动态安全沙箱检测技术和智能分析技术，可以准确、全面的识别App动态权限使用行为、越权行为、网络访问行为、境外URL访问行为等敏感内容，防止在企业和开发者不知情的情况下，被第三方SDK、插件、组件等恶意利用，私自对个人信息进行采集或进行其他非法行为，全面保障App合规性和最终用户个人信息安全。

图3：App动态行为检测报告示例

特色核心能力3：风险评估模板，省时快捷

梆梆安全基于App个人信息、行为监管的相关标准规范，充分定义了满足合规性及App实际风险检测需求的安全基线检测模板，并以专业的报告进行展示。

（1）隐私政策信息评估

检测App在隐私政策中是否会对收集的个人信息项进行明示。

（2）软件和技术供应链情况评估

检测App是否采用第三方大数据技术，例如用户画像、营销推送等。

（3）技术脆弱性评估

检测App是否进行了安全加固保护，是否对个人信息采取了安全防护措施，如数据加密、传输加密等。

（4）用户权利保障评估

检测App在收集个人信息前是否征得用户同意，是否显著标识和脱敏处理了个人敏感信息内容等。

特色核心能力4：自动、智能化输出合规检测报告

基于内置的合规检测模板，平台在完成App个人信息内容检测和评估后，能够自动生成最终的合规检测报告，即可在线预览，也可直接下载查看。

一个平台承载两方价值

梆梆安全个人隐私合规服务平台的推出，不仅为国家App监管治理提供了有力支撑，同时也为企业单位自查提供了全面的帮助。

（1）如果您是企业单位，梆梆安全个人隐私合规服务平台可为您建议个人信息合规基线模板，完成企业App的合规自查，提前保障个人信息的安全性和合规性，成为行业内的靠谱企业。

（2）如果您是监管单位或测评机构，梆梆安全个人隐私合规服务平台可以准确、有效的为您提供行政执法依据，为移动应用开发公司、运营公司提供App整改建议，并输出专业的个人信息评估报告。

梆梆安全个人隐私合规服务平台自发布以来，已累计服务如CNCERT等数十家客户，为客户提供了充分的App隐私合规检测能力和服务保障，受到了广泛好评。