【技术实现步骤摘要】
本专利技术涉及一种app隐私合规检测方法及装置,具体地说是一种基于asm插桩技术的安卓app隐私合规检测方法及装置,属于信息安全。
技术介绍
1、app隐私合规检测是一种评估和确保移动应用程序(app)在处理用户个人信息时遵守相关法律法规的过程。这个过程包括对app的隐私政策文本的合规性(形式合规)和代码层面的合规性(实质合规)进行检查。检测的目标是从个人信息收集、权限使用场景、超范围采集、隐私政策、三方sdk等多个维度帮助企业和开发者提前识别app隐私合规相关风险,规避监管通报、应用下架等重大风险。进行app隐私合规检测的主要原因是保护用户的个人信息,防止被非法收集和使用。此外,所有提交上架市场或各平台的app,都需要经过隐私合规性检测,只有通过该检测且没有其他违反审核规则内容前提下,app才可以正常上线。如果app隐私合规检测未通过,app将会被驳回不允许上架,然后进行违规内容的整改,只有整改完成才能进行上架。主动履行合规义务可以降低合规成本,如遇到权益保护意识较强的用户,则还会产生民事诉讼相关费用。
2、当前市场上,对于敏感系统api调用的检查主要依赖于具备root权限的设备,并借助xposed框架进行监控。这种传统方法不仅成本高,需要定制化的android设备,还存在较高的人力和时间成本。并且,其依赖人工审核,耗时且效率低下。
3、此外,应用自身无法实时感知合规问题,导致无法有效地应对突发的隐私合规风险。除此之外,这种传统方法存在诸多隐形问题。其一,在隐私合规检测方面,传统方法通常是在应用发布后进
技术实现思路
1、为了解决上述问题,本专利技术提出了一种面向电子银行的app隐私合规检测方法及装置,能够对app业务场景的必要性和来源进行检查,解决客户端隐私合规技术上的问题。
2、本专利技术为解决其技术问题所采取的技术方案是:
3、第一方面,本专利技术实施例提供的一种app隐私合规检测方法,包括如下步骤:
4、步骤s1,构建植入隐私合规规范的隐私合规动态管控框架,所述隐私合规动态管控框架在app开发阶段声明隐私权限、声明隐私权限使用的业务场景、约定隐私权限的使用频率,从而对应用程序及其集成的第三方sdk调用涉及用户信息的系统api行为实施管控;
5、步骤s2,当app的业务层有访问系统资源或功能的需求时,利用asm插桩技术对全局代码进行扫描并将敏感系统api的代理层代码插入至调用位置,进行app业务隐私检查,管控业务层的隐私合规情况;
6、步骤s3,app启动后进行app调用频率检查,实时管控应用对敏感系统api的调用频率;
7、步骤s4,在进行app隐私合规管控过程中,收集相关信息,生成隐私合规报告,所述相关信包括调用的时间、来源、涉及的隐私权限和业务场景。
8、作为本实施例一种可能的实现方式,所述隐私合规动态管控框架具有进行app业务隐私检查功能、app调用频率检查功能以及app合规报告收集功能;所述app业务隐私检查功能用于管控业务层的app隐私合规情况,保证app在收集、使用和存储用户数据时遵循相关法规;所述app调用频率检查功能用于管控api调用的频率,确保api调用的频率在app隐私合规的规定范围内,避免应用过度占用系统资源,以防影响设备性能或用户隐私;所述app合规报告收集功能用于负责收集并整理app隐私合规检查的结果并生成报告,方便开发者和管理者知悉应用的隐私保护状况。
9、作为本实施例一种可能的实现方式,所述全局代码包括应用自研组件代码和第三方sdk代码。
10、作为本实施例一种可能的实现方式,所述步骤s2,包括如下步骤:
11、当app业务层有访问系统资源或功能的需求时,由组件层对系统api进行调用;
12、隐私合规动态管控框架在系统api被调用之前介入,根据开发阶段预先定义的隐私权限定义表,精确审查业务层对敏感系统api的调用是否符合隐私合规要求;
13、对于每个业务场景,在开发阶段约定声明其所依赖的隐私权限,并将这些声明作为重要的配置文件存储在业务场景隐私权限表中;
14、当用户触发某个业务场景并引发对应敏感系统api的调用时,首先根据敏感系统api标识从隐私权限定义表中查找对应的隐私权限,然后从业务场景隐私权限表中查询该场景是否已进行声明,如果已声明,则放行用户继续调用;如果未声明,则在生产环境中放行,并及时上送apm进行记录和分析,而对于非生产环境,则直接阻断调用,并强制弹窗提醒用户。
15、作为本实施例一种可能的实现方式,所述步骤s3,包括如下步骤:
16、对每个隐私信息配置调用频率限制,并将限制信息存储在隐私信息调用频率表中;
17、当app启动后随之启动超频调用检查机制,实时管控应用对敏感系统api的调用频率;
18、如果探测到收集个人信息的频率超过频率阈值,在生产环境中上送apm进行告警,以便相关人员及时了解并采取相应措施;在非生产环境中,则直接阻断用户行为,并弹窗提醒超频调用的堆栈,让用户清楚了解调用频率超标的具体情况。
19、作为本实施例一种可能的实现方式,所述步骤s4,包括如下步骤:
20、在对敏感系统api的调用进行管控的过程中,自动收集相关信息,所述相关信息包括调用的时间、来源、涉及的隐私权限和业务场景;
21、对收集相关信息进行整理和分析,生成详细的隐私合规报告。
22、第二方面,本专利技术实施例提供的一种app隐私合规检测装置,包括:
23、管控框架构建模块,用于构建植入隐私合规规范的隐私合规动态管控框架,所述隐私合规动态管控框架在app开发阶段声明隐私权限、声明隐私权限使用的业务场景、约定隐私权限的使用频率,从而对应用程序及其集成的第三方sdk调用涉及用户信息的系统api行为实施管控;
24、业务隐私检查模块,用于当app的业务层有访问系统资源或功能的需求时,利用asm插桩技术对全局代码进行扫描并将敏感系统api的代理层代码插入至调用位置,进行app业务隐私检查,管控业务层的隐私合规情况;
25、调用频率检查模块,用于app启动后进行app调用频率检查,实时管控应用对敏感系统api的调用频率;
26、合规报告生成模块,用于在进行app隐私合规管控过程中,收集相关信息,生成隐私合规报告,所述相关信包括调用的时间、来源、涉及的隐私权限和业务场景。
27、作为本实施例一种可能的实现方式,所述隐私合规动态管控框架具有进行app业务隐本文档来自技高网...
【技术保护点】
1.一种App隐私合规检测方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的App隐私合规检测方法,其特征在于,所述隐私合规动态管控框架具有进行App业务隐私检查功能、App调用频率检查功能以及App合规报告收集功能;所述App业务隐私检查功能用于管控业务层的App隐私合规情况,保证App在收集、使用和存储用户数据时遵循相关法规;所述App调用频率检查功能用于管控API调用的频率,确保API调用的频率在App隐私合规的规定范围内;所述App合规报告收集功能用于负责收集并整理App隐私合规检查的结果并生成报告。
3.根据权利要求1所述的App隐私合规检测方法,其特征在于,所述全局代码包括应用自研组件代码和第三方SDK代码。
4.根据权利要求1所述的App隐私合规检测方法,其特征在于,所述步骤S2,包括如下步骤:
5.根据权利要求1所述的App隐私合规检测方法,其特征在于,所述步骤S3,包括如下步骤:
6.根据权利要求1-5任意一项所述的App隐私合规检测方法,其特征在于,所述步骤S4,包括如下步骤:
7
8.根据权利要求7所述的App隐私合规检测装置,其特征在于,所述隐私合规动态管控框架具有进行App业务隐私检查功能、App调用频率检查功能以及App合规报告收集功能;所述App业务隐私检查功能用于管控业务层的App隐私合规情况,保证App在收集、使用和存储用户数据时遵循相关法规;所述App调用频率检查功能用于管控API调用的频率,确保API调用的频率在App隐私合规的规定范围内;所述App合规报告收集功能用于负责收集并整理App隐私合规检查的结果并生成报告。
9.根据权利要求7所述的App隐私合规检测装置,其特征在于,所述业务隐私检查模块,具体用于:
10.根据权利要求7所述的App隐私合规检测装置,其特征在于,所述调用频率检查模块,具体用于:
...【技术特征摘要】
1.一种app隐私合规检测方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的app隐私合规检测方法,其特征在于,所述隐私合规动态管控框架具有进行app业务隐私检查功能、app调用频率检查功能以及app合规报告收集功能;所述app业务隐私检查功能用于管控业务层的app隐私合规情况,保证app在收集、使用和存储用户数据时遵循相关法规;所述app调用频率检查功能用于管控api调用的频率,确保api调用的频率在app隐私合规的规定范围内;所述app合规报告收集功能用于负责收集并整理app隐私合规检查的结果并生成报告。
3.根据权利要求1所述的app隐私合规检测方法,其特征在于,所述全局代码包括应用自研组件代码和第三方sdk代码。
4.根据权利要求1所述的app隐私合规检测方法,其特征在于,所述步骤s2,包括如下步骤:
5.根据权利要求1所述的app隐私合规检测方法,其特征在于,所述步骤s3,包括如下步骤:<...
【专利技术属性】
技术研发人员:张鹿鹿,李晓毅,于晓艺,张峰,文江林,张硕,戚贵森,
申请(专利权)人:山东省城市商业银行合作联盟有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。