您现在的位置: 首页 > 网站导航收录 > 百科知识百科知识

2022年8月3日当日最新消息 环信：即时通讯场景下安全合规的实践和经验

用户,安全,数据2022年8月3日当日最新消息 环信：即时通讯场景下安全合规的实践和经验

发布时间：2016-12-08加入收藏来源：互联网点击：

在监管趋紧的形式下，即时通讯场景会遇到很多安全合规领域的挑战，如何满足这些安全合规的要求，如何保护用户的隐私安全，是一件非常有挑战的事情。

为给大家提供相关的经验及参考，声网联合环信推出了声网开发者创业讲堂;第四期丨创业团队如何保障产品业务的安全合规？活动，本期特别邀请环信IM SDK研发负责人赵亮，以即时通讯场景下安全合规的实践和经验为题进行分享。

赵亮具有十余年电信和互联网从业经验，曾主持研发多个明星项目，目前在环信主持即时通讯云SDK研发工作。本文基于其在分享中内容二次整理。

出海痛点很多？点击这里解决

安全合规的趋势

1、隐私监管趋紧

最近四五年来，安全合规的趋势变得越来越严格，各个国家都有比较重磅的安全合规的相关法规出台，比如美国加州的《消费者隐私法案》《儿童在线隐私保护法》、保险医疗领域的HIPPA，以及欧盟推出的比较有代表性的《通用数据保护条例》。国内去年也出台了《个人信息保护法》《数据安全法》，加上之前发布的《网络安全法》，对于安全合规领域的覆盖也比较完善。

2、APP/SDK趋严


图1

图1所示为国内主要的有关法规和内容，大家如果留意行业新闻的话，也会看到很多这方面的趋势，比如工信部发布的各种应用下架的新闻或者公告，都涉及了个人数据隐私相关的内容。

3、安全合规的基本框架

安全合规的基本框架可以总结成两个方向，一个是用户知情同意，另一个就是安全保障义务。我们以《通用数据保护条例》（GDPR）为例，它是一个法规条文，内容包括各种监管措施、惩罚措施，还规定了应保障的用户权利，后面的介绍中会有一些具体的用户权利说明。

国内外的监管重点

接下来我们分别看一下国内外监管的重点，从国内这几年的角度来看，主要包括以下几个方面。

1、国内App上架信息采集


图2

如图2所示，我们看到用户信息的采集方面受到越来越多的重视，国家部委出台了《常见类型移动互联网应用程序必要个人信息的范围规定》，指出了二三十个场景下能够采集的必要的个人信息。

比如地图导航类，它的基本功服是定位和导航，必要的个人信息为位置信息、出发地和到达地。就是特别简单的几项，其他都是非必要的，所以大家在开发应用的时候一定要确认一下这个信息，否则App就无法上架了。

再如网络社区类的，它的基本功能是博客、论坛等，这些个人信息跟即时通讯类的必要信息比较接近，就是用户的移动电话号码和账号联系人信息。网约车类型中也规定了电话号码，包括出发地、到达地、支付时间、支付信息等。大家可能已经留意到了，即时通讯类为什么需要移动电话号码呢？按说不是只需要账号就可以了吗？接下来我们要介绍的内容就解释了这个问题。

2、国内App上架符合安全规定

除了可以采集的必要信息的约束之外，我国还有很多特定的相关不同行业或领域的约束。

在应用的上架流程中，应用商店都有详细的审查规定，如果涉及即时通讯、直播或者用户舆论领域，就需要一个安全评估报告，这个安全评估报告中增加了额外的要求，比如说用户真实身份的核验，就是要核验服务中用户的身份是真实可靠的，这里就回答了前面即时通讯领域的问题，想真正地服务客户，就要能够做到实名制，而实名制其实一般就是通过校验手机和短信的方式。

另外，其实这还涉及用户舆论的问题，需要针对这个问题建立投诉举报的机制，公布投诉举报的联系方式和处理情况，对于这些用户的昵称、信息发布、转发评论等，要有相关的记录保存措施，通过一定的保存机制来支持追查这些信息。这样一方面约束了必要的个人信息的采集；另一方面在不同的领域也补充了额外的要求，比如金融或者医疗领域的要求肯定是更高的。

根据一则新闻通报所示，近期违规下架应用累计为3000款左右，涉及的问题大部分是违规收集个人信息，少量是强制或者索取权限相关的问题，国内的应用、网站可能涉及的问题主要就是这些方面。

3、海外的关注用户权利

如果目标客户是在海外，那么会发现海外的侧重点稍有不同。除了常见的这些安全约束之外，其更关注用户的权利。

我们可以举几个例子，比如用户的知情权、信息获取权、修改权和被遗忘权。知情权就是明确地告知用户要收集哪些信息、信息用来做什么以及保存多久；信息获取权就是用户必须能够导出自己的数据；修改权就是用户可以对个人信息进行修改；被遗忘权就是用户有权利注销和删除自己的数据。Facebook等海外的大型平台都支持注销账号、导出个人数据等功能，这是海外比较重视的。


图3

图3的案例比较有意思，是说英国的数据保护监管机构向加拿大的一家数据分析公司发出通知，要求其删除所有跟英国公民相关的个人数据，如果不履行义务，将面临着2000万欧元或者上一年全球总营业额4%的罚款。这里的2000万欧元和4%的罚款就是《通用数据保护条例》中所做的规定，这个措施是很严格的。

4、共同关注点数据跨境

国内和国外还有一个共同的关注点，就是热点数据跨境，简单来说就是个人信息和重要的数据应当在境内，这里的在境内应该就是说，比如中国公民的信息和重要的数据不能被随意地存储到境外的服务器上，欧盟地区的数据也不能被随意地存在欧盟以外。其他的地区比如东南亚或者印度，也有当地的法规来约束这些事情，当然这些话题我们就不展开了，这里只是举个例子。

如果确实需要向境外提供，我国的要求是要通过评估办法进行慎重的评估。欧盟则是要求他们认为已经采取足够的安全保护措施的地区可以跨境转移数据，但至少现在为止中国还不在这个名单上，所以欧盟的数据也不能随意存储在中国境内的服务器上。

如何评估和满足安全合规要求经验和建议

了解了安全合规的趋势和相应的重点之后，我们如何评估和满足安全合规的要求呢？首先回溯前面介绍的安全合规的框架。

用户知情同意包括充分告知和权利保障。充分告知就是提供用户隐私协议，权利保障就是用户可以拒绝、可以删除，而且收集的数据要符合最小化原则（最小必要）。

安全保障义务比较复杂，首先，从风险评估、公司内部的制度建设到安全开发流程中都会涉及这个问题，比如产品从需求阶段就要有安全方面的专家确认是否涉及用户数据、用户数据怎么传输、用户数据怎么来保存、是否是必要的，因此从产品需求阶段到方案设计阶段，到最后上线阶段都要有必要的安全评估。

其次是技术保障，这里的技术保障指的是采集过程当中的传输、存储都应当采取足够的技术保障，换算成技术角度就是说，传输过程中要进行传输的加密，存储过程中要进行存储的加密。法律法规不会规定具体的某个安全措施，只是要求采取必要的技术措施保障用户数据的安全。

 1/3    1 2 3 下一页 尾页