【平台介绍】

爱加密移动应用个人信息安全检测平台是针对移动应用、SDK中出现个人信息的非法收集、滥用、泄露等严重问题，结合相关法律法规和监管要求，为监管机构、测评机构、应用开发企业等推出的合规检测平台。

该平台针对移动应用的基本信息、漏洞信息、收集和使用个人信息行为、通讯传输行为、软件和技术供应链情况、技术脆弱性、隐私政策规范性等进行多维度安全检测和合规检测，并出具专业的个人信息安全报告。帮助监管机构准确、有效地提供行政执法依据；帮助测评机构出具专业的个人信息测评报告；帮助应用开发企业在应用发布前评估个人信息的安全性和合规性。

 【核心技术】

 爱加密移动应用个人信息合规检测平台核心创新技术包括：

 1）移动Android沙箱系统技术，可监测APP在运行过程中的高达100+种行为，包括读取文件、写入文件、获取应用进程、读取系统配置等行为。同过行为函数调用栈对行为主体进行分析，过滤APP或SDK行为，针对性排查违规行为主体，定位行为触发的代码位置。

 2）DPI技术，对应用通讯传输数据进行抓取，分析传输数据内容，访问服务器地址、地理位置、网络传输类型等信息。定位信息接收对象，分析数据内容是否包含个人信息。 

3）IDB服务，建立本地websocket服务，浏览器连接上后，启动动态/法规检测，会给IDB发启动命令，IDB启动手机websocket服务，通过ssh通知手机连接IDB手机websocket服务，IDB下载ipa之后，将ipa移动到手机指定路径，调用命令安装，然后启动。手机检测过程中产生行为数据，经由IDB转发到浏览器端。 

【应用场景】

针对于应用分发渠道： 该行业APP基数大，更新频繁，新上架数量多，及时响应监管要求，快速发现违规风险应用，及时下架、整改。并为违规应用提供整改方案及服务，帮助企业快速合规，避免下架带来的用户流失、经济损失、形象损坏等问题。

通过平台的API接口方式进行对接，实时获取应用商店推送或上新的APP，结合云手机能力及当下监管机构重点关注法规内容，进行全自动化检测，快速发现APP中存在的风险，并给出确切证据链内容。

另外也可采用本地化部署模式，或提供接口，爱加密提供硬件能力，检测后将数据推送回应用商店，应用商店再对存在风险的APP进行下架提醒。 

针对于大型开发企业： 有专业的法务团队，能根据APP的实际情况编写个人信息保护政策内容，a.APP迭代更新时，仅需要根据新增的内容进行修改个人信息保护政策；b.新APP，根据APP中收集使用个人信息情况进行个人信息保护政策编写。

通过APP自动化脚本对APP进行登、注册、业务功能自动化遍历，输出检测结果，将检测结果提交给法律部门，对个人信息保护政策内容进行整改，或根据法规内容，进行相应修改。批量或单个上传应用包（资产管理），进行全自动化检测（快速检测），自动执行自动化遍历脚本，输出检测结果。另外本地化部署模式，不同部门、职位，可通过账号角色配置（角色管理、用户管理）控制访问资产权限。

针对于小型开发企业： 无专业的法规团队，因此先通过测评机构或律所，对所有APP进行测评，提出整改建议，对个人信息保护政策内容进行编写、规范。此后，版本迭代优化，根据APP内容变化，对个人信息保护政策进行相应修改。

通过平台的自动检测或人机交互模式进行检测，输出检测结果，检查出违规行为、数据，对APP进行整改，或对个人信息保护政策内容进行修改。上传应用包（资产管理），模拟用户真实使用场景（深度检测），对应用进行深度全面检测，输出检测报告。可采用SAAS账号模式，无需部署，通过web端登录账号即可使用。 

针对于监管机构： 针对已通过备案的APP进行该APP所有应用市场渠道上上架的版本检测，检测APP是否存在个人信息违规内容，对违规应用进行通报、下架、整改。APP数量庞大，从中筛选出违规应用，使用纯人工需耗费大量的人力、时间。

可通过批量自动化检测，初步筛选出可疑APP，再进行深度检测，检测违规行为。批量上传应用包，先通过全自动化检测模式（快速检测），过滤筛选出可疑的违规应用，对该应用进行全方位深度检测（深度检测），模拟用户真实使用场景，对该应用内所有业务功能进行遍历，对检测结果，结合法规内容，进行法规检测项内容判断（法规检测）。本地化部署模式，不同部门、职位，可通过账号角色配置（角色管理、用户管理）控制访问资产权限。 

【典型案例】 

天津防病毒中心 

项目背景： 国家计算机病毒应急处理中心（以下简称病毒中心）是经公安部推荐，由原国信办于2001年批复成立的，是我国唯一的负责计算机病毒应急处理的专门机构，主要职责是快速发现和处置计算机病毒疫情与网络攻击事件，保卫我国计算机网络与重要信息系统的安全。 

2008年被国务院确定为国家网络与信息安全应急技术五大支撑队伍以后，开始承担国务院各部委和天津市政府多个重要政府部门网站的7×24小时安全监测任务，并拥有国内最权威的恶意代码样本信息库，目前共存储计算机病毒样本1600万余个。

先后承担多项国家863课题、国家科技支撑计划、国家发改委信息安全专项等科研、工程以及产业化项目。 为了确保响应国家网络安全法、工信部337号文、APP 违法违规收集使用个人信息自评估指南等国家关于个人信息安全合规方面要求，天津防病毒中心办多次委托我司对其包含天津出行、天津银行、KK等多款移动APP进行个人信息安全检测，对监测到的违法违规收集使用个人信息应用进行监督整改。 

解决方案： 爱加密监管团队受委托对天津防病毒中心委托的移动应用进行个人信息安全检测，并提供具有指导性的的检测报告，协助天津防病毒中心对存在违规违法搜集个人信息的APP进行监督整改，以确保应用合法合规获取个人相关信息。 

云南网信办 

项目背景： 云南网信办的主要职责包括，落实云南省互联网信息传播方针政策和推动互联网信息传播法制建设，指导、协调、督促有关部门加强互联网信息内容管理，协调有关部门做好网络文化阵地建设的规划和实施工作，依法查处违法违规网站，指导有关部门督促电信运营企业、接入服务企业、域名注册管理和服务机构等做好域名注册、互联网地址（IP地址）分配、网站登记备案、接入等互联网基础管理工作，在职责范围内指导各地互联网有关部门开展工作。

为响应国家网络安全法和APP 违法违规收集使用个人信息自评估指南等国家关于个人信息安全合规方面要求，云南省网信办多次委托我司对其管辖范围内的包含云南一部手机抗疫情、春雨医生、一部手机游云南等多款移动APP进行个人信息安全检测，对监测到的违法违规收集使用个人信息应用进行监督整改。 

解决方案： 爱加密监管团队受委托对云南网信办委托的移动应用进行个人信息安全检测，并提供具有指导性的的检测报告，协助云南网信办对存在违规违法搜集个人信息的APP进行监督整改，以确保应用合法合规获取个人相关信息。

上海通管局 

项目背景： 上海通管局贯彻执行通信行业管理政策法规，统筹规划上海市公用通信网、互联网、专用通信网并实行行业管理；监测分析上海市通信业运行态势并发布引导信息，协调解决行业运行发展中的有关问题。

为响应国家网络安全法、191号文、APP 违法违规收集使用个人信息自评估指南等国家关于个人信息安全合规方面要求，上海通管局多次委托我司对其管辖范围内的包含哔哩哔哩等多款移动APP进行个人信息安全检测，对监测到的违法违规收集使用个人信息应用进行监督整改。

解决方案： 爱加密监管团队受委托对上海通管局委托的移动应用进行个人信息安全检测，并提供具有指导性的的检测报告，协助上海通管局对存在违规违法搜集个人信息的APP进行监督整改，以确保应用合法合规获取个人相关信息。