1-潘萬鵬-終端隱私合規自動化探索.pdf

《1-潘萬鵬-終端隱私合規自動化探索.pdf》由會員分享，可在線閱讀，更多相關《1-潘萬鵬-終端隱私合規自動化探索.pdf（39頁珍藏版）》請在三個皮匠報告上搜索。

1、中興終端隱私合規自動化探索中興終端隱私合規自動化探索2023 深圳站目錄全球隱私合規外部監管壓力全球隱私合規外部監管壓力01 中興終端隱私合規體系建設中興終端隱私合規體系建設02 中興終端隱私合規掃描工具中興終端隱私合規掃描工具03 中興終端隱私合規外部認證中興終端隱私合規外部認證04 中興終端隱私合規未來展望中興終端隱私合規未來展望05 2023 深圳站01全球隱私合規外部監管壓力2023 深圳站全球法域，數據規制澳大利亞：重要數據泄露應對法案，2019歐盟：通用數據保護條例GDPR，2018年美國：加州消費者隱私法案CCPA，2020聯邦隱私法案（草案），2022印度：個人數據保護法草案，

2、2020新加坡：2018年個人數據保護法案日本：個人信息保護法修正案，2021韓國：個人信息保護法，2017巴西：通用數據保護法，2020中國：個人信息保護法，2021網絡安全法、數據安全法消費者權益保護法、刑法修正案（九）、兩高解釋阿聯酋：2019年數據保護法數據安全法&個人信息保護法：156個國家和地區專門立法 2023 深圳站歐盟執法情況GDPR Fines Tracker&Statistics2023 深圳站中國執法情況2023 深圳站02中興終端隱私合規體系建設2023 深圳站合規框架目標數據安全保障隱私 隱私合規創造價值需求政策法規標準規范客戶需求公司要求檢測隱私風險分析安全風險分

3、析PbD評審隱私合規掃描安全風險掃描安全隱私事件響應數據保護合規管理體系組織建設流程制度技術工具決策層 管理層 執行層 監督層 合規管理委員會 數據保護合規部合規組織管理部 終端事業部合規稽查部政策 手冊/紅線 原則性規范 場景化指引 自動化合規掃描平臺 人工輔助合規檢測 靜態掃描 動態監測 安全漏洞檢測2023 深圳站組織架構董事會合規管理委員會數據保護合規部合規組織管理部合規稽查部公司各產品線（如：終端事業部）指導要求決策、授權匯報指導、監督匯報配合審計配合審計報告2023 深圳站流程制度01政策02總冊/規范03分冊/指引04標準模板中興通訊數據保護合規總則數據保護合規紅線中興通訊數據保

4、護合規手冊-總冊關鍵義務（4）處理活動（6）業務線分冊（1）合規管控全景（1）模板工具（5）2023 深圳站技術工具技術技術工具工具隱私中心用戶行權和事件響應APIMonitor隱私合規動態監測工具AppSecScanner隱私合規靜態掃描工具AppOpsTracker輕量級隱私合規動態監測工具PbD評審系統隱私合規設計評審系統2023 深圳站03中興終端隱私合規掃描工具2023 深圳站隱私保護貫通研發全生命周期需求設計 開發測試發布運營政策法規標準規范客戶需求終端產品隱私保護設計安全編碼規范隱私合規評估指導書產品發布評估業務運營規范隱私需求收集和評審隱私影響評估DPIA安全與隱私合規評審隱私

5、和數據保護方案設計隱私保護需求編碼實現(加密、脫敏等)第三方插件/SDK隱私安全風險處理全自動安全檢測平臺人工輔助審核項目數據保護評估數據主體權利響應數據泄露應急響應2023 深圳站PbD評審系統App個人數據清單數據流轉圖App后臺系統調研App隱私基線設計后臺系統隱私基線設計第三方公司調研評審模塊基本信息索引產品安全經理初審BU合規經理復審COE合規經理終審遺留問題跟進整體流程關閉評審內容填寫評審流程關閉2023 深圳站隱私合規典型問題2023 深圳站AppSecScanner應用信息漏洞分析文件名稱包名MD5值簽名配置安全組件安全數據安全通信安全已知漏洞自研代碼第三方SDKAPP隱私合規

6、自動化掃描平臺掃描管理敏感權限聲明敏感接口調用敏感數據存儲敏感數據傳輸檢測任務管理檢測報告生成隱私分析人工+動態檢測未授權情況下的隱私行為分析隱私政策分析人工審查隱私政策人工輔助合規檢查隱私分析2023 深圳站AppSecScanner2023 深圳站AppOpsTracker2023 深圳站AppOpsTracker2023 深圳站AppOpsTracker敏感行為場景一：開機向導之后場景二：隱私政策同以前場景三：隱私政策同意后聯網場景一：開機向導之后場景二：隱私政策同以前場景三：隱私政策同意后2023 深圳站APIMonitorAPIMonitorAPIMonitor的目標是對Androi

7、d系統中的移動應用執行過程進行API級別的動態監控，前提條件是不對應用或被測系統做任何預處理或入侵性改造。根據目標選擇可行性方案。候選方案包括：hook、動態調試等。hook方案又包括提前植入hook方法、運行時hook。提前植入主要指AOP技術，但是其不滿足我們之前說明的“不對應用做任何預處理或入侵性改造”。運行時hook實驗過frida、fasthook等開源工具，但因為兼容性、穩定性等各種問題，沒有入選。動態調試技術的前置條件要求被監控應用是debuggable的，這一點容易滿足；因為被測系統Android虛擬機相對Java虛擬機來說，有一些自己專有的改動，所以技術方向轉為尋找適用于An

8、droid平臺的動態調試技術。技術方案選擇進行到這里，通過各類方案進行可行性研究之后，選取了Android官方實現的DDMS作為APIMonitor的運行基礎庫。2023 深圳站APIMonitor監控階段和結果呈現 監控進程所屬信息，設備名、進程名等 抓取和展示監控時間段內的調用棧 敏感行為分析結果呈現，呈現維度：行為名稱、API、調用棧2023 深圳站隱私中心2023 深圳站MyOS隱私安全2023 深圳站MyOS隱私安全2023 深圳站04中興終端隱私合規外部認證2023 深圳站ISO 27701認證2023 深圳站ePrivacy認證2023 深圳站TRUSTe認證2023 深圳站05

9、中興終端隱私合規未來展望2023 深圳站展望l 作為一家全球化的高科技公司，中興通訊始終堅持合規經營，始終把用戶隱私安全放在第一位l 隨著全球各國對數據安全、個人信息保護的重視，終端消費市場隱私合規要求會更嚴格，只有建立完善的隱私合規體系，才能有效降低終端廠商在全球市場面臨的隱私安全風險l 終端隱私合規自動化探索沒有盡頭，比如：隱私政策自動生成、用戶個人數據到期自動刪除、個人數據自動去標識化等等感謝聆聽CSDN全球最大的中文開發者社區平臺CSDN全球最大的中文開發者社區平臺CSDN創立于1999年全球編程類網站排名第7（來源：Similarweb 2023.04）注冊用戶超過4300萬，覆蓋90%的中文開發者新媒體矩陣粉絲數量超過3100萬超過1000家企業客戶和合作伙伴目前公司員工近800名，分布在北京、長沙、上海、深圳、杭州、成都等城市，并在美國硅谷常設辦事處旗下品牌旗下品牌專業中文IT技術社區：CSDN.NET多媒體專業出版：新程序員開發者專屬移動APP:CSDN APP代碼托管協作平臺：GitCode代碼工具協同平臺：InsCodeIT人力資源服務：科銳?？怂关俗W絡高校IT技術學習成長平臺：高校俱樂部