以下内容整理自清华大学《数智安全与标准化》课程大作业期末报告同学的汇报内容。
第一部分:概述
一、研究背景
APP兴起在带给人们便利的同时,也在逐渐蚕食着人们的隐私边界。
与此同时,“互联网+医疗”使得医疗健康类APP兴起。
二、研究目的
本文旨在建构针对医疗健康类APP的自动化违规收集行为的检测技术,帮助人们快速掌握隐私政策文本的主要信息,规避APP违规收集个人信息的行为。
三、研究对象
本文将重点关注医疗健康类APP中的在线问诊类APP,因为其使用人数较多,且相较于其他APP,涉及到的个人信息和权限更加敏感。
第二部分:医疗健康APP隐私合规现状
一、在线问诊类APP违规行为多
根据APP违法违规收集个人信息监测分析报告,可以看到目前存在较多的问题APP。
与此同时,国家网信办的检测也发现,许多常用的医疗健康类APP存在相应的一些违规问题。
此外,通过与用户进行访谈,发现超过半数的人,在日常生活中使用APP时,对个人信息的收集行为关注度不足。
APP收集的信息也较为敏感,以及APP目前存在一些违规行为等。
第三部分:医疗健康类APP监管现状
一、医疗健康类APP合规的监管体系&医疗健康数据定义以及分级
医疗健康领域由于其重要性和高敏感信息,所以涉及的数据合规的法律法规等规范性文件非常多,而且复杂,难以直接去完整的遵循。
同时,众多文件对医疗健康数据的定义以及相关等级分类等尚不统一。因此,有必要对医疗健康领域的合规现状进行系统梳理。
二、医疗健康领域重要标准汇总和解读
通过对医疗健康APP合规监管体系的梳理,为我们后续探索自动化检测技术提供了规范性支撑。
第四部分:隐私合规自动化检测技术综述
一、静态检测
静态检测通过反编译技术,从代码上找出可能的恶意行为。
第一类,对数据流进行追踪;
第二类,通过程序的索权情况,从而预测其恶意行为。
二、动态检测
动态检测则是利用收集运行时的交互信息,判断程序的恶意行为。常见的系统框架使用Hook技术,用来对应用的行为进行追踪。
三、动静结合检测
鉴于两者的各自优势,目前也有研究人员使用混合检测的方式,结合两者的优点获得更好的检测效果。
第五部分:针对在线问诊类APP的自动化检测
一、在线问诊类APP权限与个人信息调用现状与政策规定比较
第五部分,针对在线问诊类APP的自动化检测,我们进行了政策与应用的调研,包括政策对其系统权限规定的介绍。
对市面上数十个下载量较多的在线问诊的APP个人信息索权情况进行了梳理。
经过对比发现存在过度索权的问题。
二、隐私合规自动化检测应用实践现状
本次报告对市场上几乎所有的商业化自动化检测平台进行了整理总结。结论如下:
在检测技术上,各类商业平台主要运用静态检测技术和动态检测技术,辅佐人工专家审查,其中部分平台有所创新,比如腾讯自主研发的沙箱系统,以及百度自主研发的AI深度检测技术等。
三、用户调研需求
在检测流程方面,主要分为四步,上传、检测、复查以及检测报告;
在检测模式方面,主要有两种服务模式SaaS+API的形式;
在检测依据方面,主要依据《App违法违规收集使用个人信息行为认定方法》等相关标准;
在检测领域方面,目前所有商业化自动化检测平台都是通用型,没有针对在线问诊APP的高敏感信息进行开发的,这也对我们进行技术demo的创新,提供了一个需求支撑。
我们调研了在线问诊类APP的使用情况,发现58.51%的人认为其收集的信息更加敏感,但是几乎没有人会仔细阅读其隐私政策。
下面介绍我们的技术demo。以在线问诊平台为例,它利用互联网构建了患者云平台专业诊疗团队之间的一个关系,其中涉及到信息采集,存储,传输和使用等多方面的风险。APP作为与用户最为接近的一环,具有更高的隐私泄漏风险。
过程分析:
第一阶段,对应法律部门的一侧“法律法规”;
第二阶段,用来检测APP提供商的“用户隐私政策”与“应用行为”是否相符。
检测流程:
第一步,先进行文本分析,用来检测APP“用户隐私政策”与官方“法律法规”是否相符;
第二步,利用Hook技术进行动态检测,检测APP实际行为与其自身表述是否相符。
以医疗APP“春雨医生”为例,展示检测过程:
第一步,用关键词匹配的方法,查找到隐私政策中的相关内容,以及匹配的法律条文;
第二步,搭建动态检测环境,并对APP进行使用记录其行为;
第三步,分析其后台的结果。
四、检测视频展示(部分):
以上就是我们汇报的全部内容,谢谢大家!
编辑整理:陈龙
