移动APP合规监管常态化，如何构建第一堵防线

（原标题：移动APP合规监管常态化，如何构建第一堵防线）

【导语】：要切实做好移动APP合规监管，政府需要抓手，企业需要工具。

【正文】：

报告显示：安全公司奇安信从某暗网交易平台上，抽样收录了2019年-2020年发布的大约6357则交易信息、约11.7亿条可交易数据。经统计可知，该暗网上数据交易量最大的是电商类网站、APP 数据行为记录、公民实名信息、券商理财等信息。

8月20日，《个人信息保护法》在全国人大常委会获通过，并将于11月1日起正式施行。分析认为，这部法律的意义不仅是制度层面的完善，同时也可视为国家下决心整顿数据安全乱象的一大信号。个人数据的黑色交易泛滥成灾，骚扰电话、大数据杀熟、垃圾邮件和短信等已经损害了每个人的利益。

从监管部门的具体执法动作来看，工信部的专项整治从2019年开始，到2021年已经进入密集整治期；中央网信办、工信部、公安部、市场监管总局等国家四部委专门组建了APP治理工作组，并开展了联合行动；公安部的“净网”专项行动中也针对不同行业的APP展开了相关调查。从执法成果来看，根据工业和信息化部数据，截至 今年6月21日， APP 侵害用户权益专项整治行动共检查117万款 APP，对4002款违规 APP 提出了整改要求，公开通报1248款整改不到位的 APP，组织下架329款拒不整改的 APP。

严格的监管是数字经济健康发展和个人信息等数据安全的强大保障，而在另一方面，这也给移动APP领域的相关企业提出了一个严峻的新课题。因为一旦遭到相关监管动作，轻则整改、重则下架；不但会带来直接的业务损失，还会影响公司品牌以及相关的资本进程。

对于他们来说，一个亟需解决的挑战是：如何才能更高效的实现合规运营？

挑战之一首先要确认其业务模式是否建立在合规的基础之上。在过去十数年的野蛮生长期中，很多企业的迅猛发展是建立在数据滥用、数据垄断的基础上的，但现在时代变了。现在的数字产业环境中，要想做数据交易、数据跨境等相关的业务，得先走通隐私保护、数据产权、数据定价、数据交易等一系列跟数据资产相关的环节。如果不会走、走不通，那只能说明你的商业模式本身就有问题。

挑战之二是排除移动app开发过程中潜藏的代码风险。在移动应用的消费链条中，大量的安卓（Android）移动APP发布到互联网或应用商城中，其间缺乏相应的安全检测，导致用户直接下载了这类有安全问题的移动APP、安装到自己的智能手机中。对于开发企业来说，无论是在内部代码权限管理上，还是外部第三方SDK上，都容易出现各种风险，都需要一一排除。

挑战之三是如何高效全面的对齐所有法律法规以及相关的自查自评要求。迄今为止，与移动app合规监管相关的法律法规至少有十多部，具体的评估、测评要求更是越来越细致。比如在中央网信办、工信部、公安部、市场监管总局等国家四部委组建的APP治理工作组的联合行动中，作为执法流程的第一步，其“评估”环节涉及到的要点就有六大评估项、31个评估点；在《信息安全技术网络安全等级保护基本要求》2.0版本(等保2.0)的新测评三级通用标准中，涉及的指标共有211项之多。一般的企业要靠一己之力来解决这个问题可谓非常困难。

挑战之四是如何进入实操环节。从理解监管到成功适配监管，依然存在知易行难的问题。比如在《信息安全技术数据出境安全评估指南（征求意见稿）》中，对企业“如何提出数据出境自评估工作”做出了详细规定。

按照该意见稿，企业首先要成立安全自评估工作组，制定数据出境计划；然后工作组评估数据出境计划的合法性和真实性；最后，工作组形成评估报告，进行相应调整。如果安全自评估结果禁止出境的，网络运营者应采取相关措施降低数据出境安全风险，相关措施可以包括：使用技术措施处理数据降低敏感程度；提升数据发送方安全能力保障；限定数据接收方的处理活动；选择政治法律环境有更好保障的数据接收方等等。如此这般，企业在进行相应调整后，可以按照流程再来一遍，重新对数据出境进行安全风险评估。

这个过程看起来并不复杂，但其中相对模糊的地带颇多，比如如何判断相关信息的敏感程度？哪些算重要数据？风险点是否足够全面？如何判断某些国家或区域的政治法律环境？

其中涉及技术，但更涉及运营经验以及对各种大数据的总体把控能力。与此同时，当企业适配监管痛感很有挑战时，监管部门也意识到，针对移动app以及整个数据安全的监管是个新生事物。

所以，在基本的政策出台之后，监管部门也在继续强调以下两点。

其一是继续出台细则。

在相关部门的政策解读中，就明确提到相关部门会根据相关法规政策，进一步细化准入要求，加快关键标准制定，逐步探索准入管理。

比如在智能网联汽车领域，工业和信息化部指导有关机构做好智能网联汽车生产企业及产品准入技术审查等工作，各地主管部门要与相关部门协同配合，按照《管理办法》有关要求，做好对《意见》落实情况的监督检查。工业和信息化部将加快推动汽车数据安全、网络安全、在线升级、驾驶辅助、自动驾驶等标准规范制修订。

其二，推动建立机制。

监管要做到卓有成效，需要各部门、各地方做好衔接，推动形成横向协同、纵向联动的工作机制。这其中，除了监管部门、被监管企业之外，同样值得关注的还有第三方服务机构。他们可以在测试验证、检验检测和策略咨询等多个方面提供相关服务。

针对数据安全的监管（和适配监管）是一项实践性很强的工作。不管是企业还是监管部门，最终都需要临门一脚：要对其中的数据和相关描述，进行最终判断。

这个判断基于什么标准来做出来、有没有合适的工具可以使用呢？

“要做到监管的卓有成效，政府需要抓手、企业需要工具。”麒麟合盛网络技术股份有限公司（APUS）创始人兼CEO李涛说。那么，工具是怎样的？具体如何帮助企业和相关部门呢？

打通监管的三类主流工具

目前市场中主流的移动APP合规服务产品可以分为三类，分别为安全厂商产品、互联网大平台产品以及移动开发平台产品等三类。

一、首先是传统安全厂商，目前像启明星辰、梆梆安全等多家安全厂商都已经推出了相关产品。

启明星辰是一家综合性的安全厂商，目前已经实现了对网络安全、数据安全、应用业务安全等多领域的覆盖。他们在移动app领域也推出了一个专门的“APP个人信息安全合规检测平台”。

与启明星辰不同，梆梆安全起家就是做移动安全。早在2017年，梆梆安全就开始进行APP的个人隐私数据治理研究，在移动安全整体解决方案中，已经形成了端到端闭环的解决方案，从移动APP安全、数据保护、隐私合规等多方面为客户提供一站式解决方案，覆盖APP的设计、开发、检测、发布、运营等环节。目前梆梆安全也推出了一个专门的移动应用合规平台产品。

此外，像爱加密、安天移动安全等厂商也推出了类似的移动APP合规检测产品。总起来看，安全厂商虽然成长路径有多不同，但做法基本都是原有产品线的基础上针对移动APP合规检测推出一款专门的产品，也都侧重强调对移动APP进行技术性的静态检测和动态检测。

二、其次是传统互联网企业，代表产品是百度的史宾格安全及隐私合规平台。

百度基于各种大数据以及应用商店平台，也在移动APP合规监管上做很多努力。在其官方表述中，“史宾格”是百度基于内部实践经验为APP开发者和运营者带来了一站式的解决方案，也是业界首款对外提供服务的APP收集使用个人信息合规风险检测和治理系统。

此外，基于AI在最近几年来对于百度的重要性，史宾格对外宣传中侧重强调是一款“基于AI能力的安全/隐私问题检测及动态分析平台”，可以自动化检测APP及第三方的敏感权限申请和使用现状，多维度测评隐私数据收集、使用、存储、传输的个人信息保护完备性。

史宾格除了其AI检测技术之外，也会提供专家服务模式。而史宾格最大的特点在于可以实现云端交付，用户只需要云端上传响应的数据包，就可以实现自动检测。

三、在移动安全企业，代表是APUS及安全感知生态系统平台。

APUS提供的方法和工具基于移动大数据。工具的逻辑说起来简单实用，但对自有的大数据资源要求极高。

简单来说，APUS在底层汇总了海量的数据样本，据统计截止2020年中国移动应用在架数量达350余万款。APUS正是基于这些数据样本，在面对任何一个APP、一家企业、一段代码或者某些用户行为时，都可以做到在短时间内对其进行甄别，完成安全鉴定。在这些数据样本之上，APUS推出了一种内建了“安全感知生态系统”，包含了五大模块的“下一代安全守护技术”。这一技术产品能通过人工智能手段，对海量数据进行分析，并通过机器学习，不断储备和扩充新的样本量，形成完整的“安全生态”。

这个工具在不同的角色那里可以起到不同的作用，简单来说就是“向合规靠拢，向行业创新，向政企助攻”。首先，在相关监管部门那里，APUS这套技术产品则可以成为监管实践的工具，可以帮助监管部门基于大数据比对，更快的做出判断。截止2021年7月份，APUS 通过“安全感知生态系统”已排查过20余万款主流 APP，其中50% 以上的 APP 都存在漏洞威胁，5.24% 的 APP 存在病毒，30% 以上的 APP 存在不同程度的越权、超范围收集等违规行为。同时建立了“APP开发企业信用库”，及时发现开发企业是否存在不良开发记录，监管部门可以随时查阅。另外，与“APP 行业风险报告”类似，APUS的下一代安全守护技术也会根据不断更新的数据样本和案例，总结编写APP行业报告，为监管部门提供安全方面的参考。

其次，在那些需要接受监管的企业那里，APUS可以成为其APP产品开发的安全标准。在产品的研发阶段就发挥作用，将数据安全监管所需的相关动作进行前置，避免后期在安全监管发现问题时再进行返工。

比如在用户隐私保障方面，提供完善的用户个人数据保护引擎SDK；在安全检测方面，APUS基于海量数据，针对可能出现的恶意行为，提供分析引擎SDK；在具体的查杀方面，推出病毒查杀引擎SDK，针对恶意软件提供查杀引擎SDK。

APUS的这套产品在那些有数据出海需求的企业那里，尤其有用。作为中国互联网出海领航者，此前 APUS已打造出了APUS清理、安全、浏览器、图片编辑等丰富的应用集群，为200多个国家和地区的20亿用户提供移动互联网服务。APUS在全球化运营的过程中，根据不同国家和地区的具体情况和标准，不断打造适用于不同地域、不同标准的区域APP产品，逐渐摸索出一套针对全球安全市场的、从业务直接入手的安全感知生态系统。APUS多年来在面对海外软件、数据安全审核、交付等流程中走过的“路”、踩过的“坑”，都融入“下一代安全守护技术”，可以作为标准的产品服务输出给大量的企业用户。

守护数据价值

移动APP合规监管的本质是对数据价值的守护。以美国S＆P 500指数中排名前五的公司为例（苹果、谷歌、微软、亚马逊和Facebook），这五家都是占有大量数据资产的科技公司，他们的市值合计占到该指数的四分之一强！从中可见数据的价值之大。

如今，全球每天产生2.5万亿字节的数据，随着越来越多的人和设备连接到Internet，该数字将以更快的速度增长。从中美数据比较来看，2018年，中国数据产量总规模为2.76ZB，远不及美国的6.9ZB。然而到2025年中国数据产量规模将达到48.6ZB，放大17倍有余，达到美国的1.5倍。

无论是现在还是未来，中国都是一个数据大国。这样一个数据大国在面临数据安全问题时，需要有自己的答案。

眼下，移动互联网在经过了十数年的飞跃式发展之后，正在迎来高压监管的常态化。APUS在此时顺势切入数据安全领域，无疑是一个极富深意的战略选择，后续动作值得密切关注。