汽车移动应用隐私数据安全合规性检测系列（一）

2021-07-21 11:22:30

6730

【导语】

在汽车隐私数据泄露事件频发，政府监管逐渐加严的背景下，汽车生产商正在面临隐私数据安全合规方面的重大挑战。中国汽研北京分院针对汽车移动应用隐私数据保护开展深入研究，已形成相应的合规检测能力及解决方案，预计将分为三期进行发布与解读。本期对汽车隐私数据安全检测平台的技术优势及应用场景进行介绍。

【趋势背景】

近年来，随着汽车智能化网联化的发展，汽车产生与关联的数据量呈爆发式增长。然而车载数据的过度采集和越界使用，也给用户造成严重影响。多款主流车载移动应用存在未经用户许可获取隐私数据、超业务范围获取隐私数据以及强行捆绑推广应用软件等违规行为。

国家监管机构为此发布了一系列法律法规和监管标准，对个人信息的获取、使用、存储等方面进行了规定，如《App违法违规收集使用个人信息行为认定方法》、《信息安全技术个人信息安全规范》等。近日，国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》，明确了地图导航、网络约车、即时通信、网络购物等39类常见类型移动应用程序必要个人信息范围，要求其运营者不得因用户不同意提供非必要个人信息，而拒绝用户使用App基本功能服务。

在刚刚召开的2021年全国两会上，智能网联汽车信息安全也成为关注焦点，来自汽车及电子信息行业的代表委员提交十余份提案、议案，围绕隐私保护、数据安全等汽车信息安全问题展开深入讨论。

【行业需求】

面对隐私保护不当造成的数据泄漏、财产损失、监管处罚等风险，汽车生产商在隐私合规方面挑战重重。一是对车载移动应用隐私保护相关的合规性要求理解不深、尺度把握不好；二是缺乏评估车载移动应用隐私信息安全的专业能力，对第三方外包的开发情况了解不清晰；三是车载移动应用被通报后可能存在整改不到位的情况，而面临更严厉处罚。

因此对车辆移动应用进行全方位的数据隐私安全合规检测，提前发现合规隐患，避免由此带来的数据泄漏、资产损失、监管处罚等风险，已成为汽车信息安全领域的迫切需求。

【能力介绍】

中国汽研北京分院通过深度整合技术资源，推出平台级隐私安全合规检测产品——汽车隐私数据安全检测平台，该平台具备三大技术优势，提供三大应用场景，有效地帮助车企快速发现车辆移动应用中的隐私安全不合规问题。

[技术优势]：

（1）全面的检测范围：全面对齐《App违法违规收集使用个人信息行为认定方法》等规范要求，对车辆上隐私政策内容、个人信息获取/存储/上传行为、权限申请/使用等方面进行全方位检测。

（2）先进的检测技术：使用基于LDA模型的隐私协议分析仪以及自研的动态沙箱环境有效提高检测的效率和准确性。

（3）可扩展的检测能力：通过深度参与通用检测标准及行业标准的定制，可实现检测能力的快速扩展，适应不断变化的合规需求。

[应用场景]：

（1）移动应用检测：以个人信息为中心的应用行为检测：明示同意、收集使用、共享、出境等。

（2）隐私政策检测：针对隐私政策协议进行检测，发现隐私政策内容不合规、与应用行为不符等问题。

（3）合规评估：根据《认定方法》《自评估指南》等内容要求进行合规评估，发现合规风险。