背景
本文主要是从实际工作的内容出发,聊一下个人对于监管、合规、隐私和安全等之间的关系和见解。重点讨论下安全和隐私之间关系,视角所限难免有不周到地方,欢迎指正探讨。
什么是合规?
APP合规指遵守法律、法规、监管规则或标准等。
l 合规≠隐私,合规≥隐私
- APP隐私性合规
- APP非隐私性合规
l 规范≠法律
- 法律要求
- 监管规定
为什么会有这样的合规规定?
我们可以先看下两段监管专项活动提出来的要求和目标:
依据《网络安全法》、《电信条例》、《规范互联网信息服务市场秩序若干规定》(工业和信息化部令第20号)、《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号)和《移动智能终端应用软件预置和分发管理暂行规定》(工信部信管〔2016〕407号)等规定,深入推进技管结合,加强监督检查,督促相关企业强化APP个人信息保护,及时整改消除违规收集、使用用户个人信息和骚扰用户、欺骗误导用户、应用分发平台管理责任落实不到位等突出问题,净化APP应用空间。2020年8月底前上线运行全国APP技术检测平台管理系统,12月10日前完成覆盖40万款主流APP检测工作。
来源于:工业和信息化部关于开展纵深推进 APP侵害用户权益专项整治行动的通知
按照2020年信息通信行业行风建设暨纠风工作部署,为切实加强用户个人信息保护,为人民群众提供更安全、更健康、更干净的信息环境,我部决定开展纵深推进APP侵害用户权益专项整治行动。专项整治时间为通知印发之日至2020年12月10日。
l 维护人民根本利益
l 保障国家数据安全
l 加强用户个人信息保护
l 提供更安全、更健康、更干净的信息环境
来源于:工业和信息化部关于开展纵深推进 APP侵害用户权益专项整治行动的通知
从上面两段我们可以得到一些监管合规的一些结论:
- 合理性,必要性。规定不是凭空造出来的,针对于APP的管理规定大部分是依据目前互联网APP现状进行的一个管制和治理。
- APP合规问题大多数都是APP侵犯用户权益,这里面包含APP不合理对待用户的隐私数据问题。
- 凡是对于APP产品用户造成干扰、困扰、打扰的不合理之处有可能都是有违背法律规范的。
- 对于不存在于规定上的问题但是仍然对于用户造成很大困扰的问题,也是问题,并不存在法外之地,不要试图钻法律规定的空子,法律和规范都是在不断完善的。
- 一旦造成舆论事件,甚至比法律惩罚更严重。
隐私和合规为啥重要?
隐私和安全
20 世纪 30 年代,由于摄影技术的进步,新闻业开始在报纸中大量使用照片。但这些照片往往未经个人同意。1980 年,律师萨缪尔·沃伦(Samuel D. Warren)和路易斯·布兰戴斯(Louis Brandeis)就这个问题在《哈佛法学评论》发表文章《隐私权》,这是法学界首次提出了隐私权的概念。
后面对于隐私也有了一些非常明确正式的定义,使得大家对于这个问题有了更好的理解:隐私是当事人(即我们所面对的用户)不愿他人知道或他人不便知道的个人信息,不愿他人干涉或他人不便干涉的个人私事,以及不愿他人侵入或他人不便侵入的个人领域。通俗讲,针对于APP所需要获取的用户信息,应当只获取APP功能下的必要信息,同时在获取必要信息之前应当得到用户的同意,而非自动获取。同时,在《网络安全法》中,针对于此也有明确的要求------App运营者收集使用个人信息时要严格履行《网络安全法》规定的责任义务,对获取的个人信息安全负责,采取有效措施加强个人信息保护,遵循合法、正当、必要的原则,不收集与所提供服务无关的个人信息;收集个人信息时要以通俗易懂、简单明了的方式展示个人信息收集使用规则,并经个人信息主体自主选择同意;不以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得违反法律法规和与用户的约定收集使用个人信息;倡导运营者在定向推送新闻、时政、广告时,为用户提供拒绝接收定向推送的选项。
所以从上面的定义我们也可以看出,隐私和安全是既有联系也有区别的,两者存在很大交集,但是不是彼此包含的关系。但是实际操作过程中,很多人对于隐私导致的安全问题还在从传统的安全视角来理解的话就不是那么到位,下面我举两个例子。
例子一:泄露的隐私视频。下图zoom这个任意用户的隐私视频可见问题,毫无疑问他是一个隐私问题,但是从评论中我们可以看到部分人从传统安全视角去看这个问题并不会认为是一个安全漏洞,实际上这也是个安全问题,用户的数据没有被合理有效的保护好,导致被泄露,这明显是一个数据泄露的安全问题。
例子二:广告ID的访问控制。在手机系统中有oaid这个标识,这个标识一般是用来当作广告id来使用,用户对于这个id可以重置和禁止使用。正常获取oaid是系统提供了标准的API来获取,比如这个数据是存储在数据库。如果都使用正常的API获取这个信息那么对于任意APP是否存在这个获取用户这个相关隐私数据的行为都是可以审计的。但是我在日常研究中发现很多设备厂商对于这个id提供了很多未经审计的渠道来获取这个信息,比如一些系统程序在获取了oaid之后,把他存储于公共空间,那么APP如果以这种方式获取,它就变成了一个黑科技,也就变成了一个不可审计的获取用户相关隐私数据的方式,所以它首先是一个隐私问题,但是从安全角度有可能就没那么算安全问题,因为从权限的视角没有越权,都是零权限获取相关信息。尽管有可能不是一个安全问题,但是这个问题应该不应该存在,从我的视角看这个毫无疑问是非常不合理的,如果上升一个高度在欧洲GDPR的法律中这种行为是会被受到处罚的,因为存在故意使用用户隐私牟利的行为,并且是未经用户同意。
所以整体来讲隐私和安全是互相交集的关系,并不是谁属于谁的关系,并且绝大多数情况下隐私不是吹毛求疵,不是大街扯皮,更不是某些人口中的被害强迫症,它是一门严谨的技术证明,如果还意识不到,那么有可能是监管的铁拳还没有到你身上,或者是相关事件没有发生在你身边。
最后
作者是做漏洞挖掘出身,持有CIPP/CIPT/FIP认证,在大厂经历过中国监管和海外监管的种种,负责过相关事宜的处理,总体感受是纸上得来终觉浅,绝知此事要躬行,知道是怎么回事和实际遇到处理过相关事情差别还是非常大的,比如数据在不同地区的处理原则等,建议大家还是能够实操去不断加强学习和理解,从而在职业生涯中有所成就。