共计 6617 个字符,预计需要花费 17 分钟才能阅读完成。
前言
在监管趋紧的模式下,即时通讯场景会遇到很多平安合规畛域的挑战,如何满足这些平安合规的要求,如何爱护用户的隐衷平安,是一件十分有挑战的事件。
为给大家提供相干的教训及参考,「 声网开发者守业讲堂 • 第四期丨守业团队如何保障产品业务的平安合规?」流动特地邀请环信 IM SDK 研发负责人赵亮,以「即时通讯场景下平安合规的实际和教训」为题进行分享。
赵亮具备十余年电信和互联网从业教训,曾主持研发多个明星我的项目,目前在环信主持即时通讯云 SDK 研发工作。本文基于其在分享中内容二次整顿。
01 平安合规的趋势
1、隐衷监管趋紧
最近四五年来,平安合规的趋势变得越来越严格,各个国家都有比拟重磅的平安合规的相干法规出台,比方美国加州的《消费者隐衷法案》《儿童在线隐衷保护法》、保险医疗畛域的 HIPPA,以及欧盟推出的比拟有代表性的《通用数据保护条例》。国内去年也出台了《个人信息保护法》《数据安全法》,加上之前公布的《网络安全法》,对于平安合规畛域的笼罩也比较完善。
2、APP/SDK 趋严
■图 1
图 1 所示为国内次要的无关法规和内容,大家如果注意行业新闻的话,也会看到很多这方面的趋势,比方工信部公布的各种利用下架的新闻或者布告,都波及了集体数据隐衷相干的内容。
3、平安合规的根本框架
平安合规的根本框架能够总结成两个方向,一个是用户知情批准,另一个就是平安保障任务。咱们以《通用数据保护条例》(GDPR)为例,它是一个法规条文,内容包含各种监管措施、惩办措施,还规定了应保障的用户权力,前面的介绍中会有一些具体的用户权力阐明。
02 国内外的监管重点
接下来咱们别离看一下国内外监管的重点,从国内这几年的角度来看,次要包含以下几个方面。
1、国内 App 上架 —— 信息采集
■图 2
如图 2 所示,咱们看到用户信息的采集方面受到越来越多的器重,国家部委出台了《常见类型挪动互联网应用程序必要个人信息的范畴规定》,指出了二三十个场景下可能采集的必要的个人信息。
比方地图导航类,它的基本功服是定位和导航,必要的个人信息为地位信息、出发地和达到地。就是特地简略的几项,其余都是非必要的,所以大家在开发利用的时候肯定要确认一下这个信息,否则 App 就无奈上架了。
再如网络社区类的,它的基本功能是博客、论坛等,这些个人信息跟即时通讯类的必要信息比拟靠近,就是用户的挪动电话号码和账号联系人信息。网约车类型中也规定了电话号码,包含出发地、达到地、领取工夫、领取信息等。大家可能曾经留意到了,即时通讯类为什么须要挪动电话号码呢?按说不是只须要账号就能够了吗?接下来咱们要介绍的内容就解释了这个问题。
2、国内 App 上架 —— 合乎平安规定
除了能够采集的必要信息的束缚之外,我国还有很多特定的相干不同行业或畛域的束缚。
在利用的上架流程中,利用商店都有具体的审查规定,如果波及即时通讯、直播或者用户舆论畛域,就须要一个平安评估报告,这个平安评估报告中减少了额定的要求,比如说用户实在身份的核验,就是要核验服务中用户的身份是实在牢靠的,这里就答复了后面即时通讯畛域的问题,想真正地服务客户,就要可能做到实名制,而实名制其实个别就是通过校验手机和短信的形式。
另外,其实这还波及用户舆论的问题,须要针对这个问题建设投诉举报的机制,颁布投诉举报的联系方式和解决状况,对于这些用户的昵称、信息公布、转发评论等,要有相干的记录保留措施,通过肯定的保留机制来反对追究这些信息。这样一方面束缚了必要的个人信息的采集;另一方面在不同的畛域也补充了额定的要求,比方金融或者医疗畛域的要求必定是更高的。
依据一则新闻通报所示,近期违规下架利用累计为 3000 款左右,波及的问题大部分是违规收集个人信息,大量是强制或者索取权限相干的问题,国内的利用、网站可能波及的问题次要就是这些方面。
3、海内的关注 —— ⽤户权力
如果指标客户是在海内,那么会发现海内的侧重点稍有不同。除了常见的这些平安束缚之外,其更关注用户的权力。
咱们能够举几个例子,比方用户的知情权、信息获取权、修改权和被忘记权。知情权就是明确地告知用户要收集哪些信息、信息用来做什么以及保留多久;信息获取权就是用户必须可能导出本人的数据;修改权就是用户能够对个人信息进行批改;被忘记权就是用户有权力登记和删除本人的数据。Facebook 等海内的大型平台都反对登记账号、导出集体数据等性能,这是海内比拟器重的。
■图 3
图 3 的案例比拟有意思,是说英国的数据保护监管机构向加拿大的一家数据分析公司发出通知,要求其删除所有跟英国公民相干的集体数据,如果不履行义务,将面临着 2000 万欧元或者上一年寰球总营业额 4% 的罚款。这里的 2000 万欧元和 4% 的罚款就是《通用数据保护条例》中所做的规定,这个措施是很严格的。
4、独特关注点 —— 数据跨境
国内和国外还有一个独特的关注点,就是热点数据跨境,简略来说就是个人信息和重要的数据该当在境内,这里的在境内应该就是说,比方中国公民的信息和重要的数据不能被随便地存储到境外的服务器上,欧盟地区的数据也不能被随便地存在欧盟以外。其余的地区比方东南亚或者印度,也有当地的法规来束缚这些事件,当然这些话题咱们就不开展了,这里只是举个例子。
如果的确须要向境外提供,我国的要求是要通过评估方法进行谨慎的评估。欧盟则是要求他们认为曾经采取足够的平安保护措施的地区能够跨境转移数据,但至多当初为止中国还不在这个名单上,所以欧盟的数据也不能随便存储在中国境内的服务器上。
03 如何评估和满⾜平安合规要求
理解了平安合规的趋势和相应的重点之后,咱们如何评估和满足平安合规的要求呢?首先回溯后面介绍的平安合规的框架。
用户知情批准包含充沛告知和权力保障。充沛告知就是提供用户隐衷协定,权力保障就是用户能够回绝、能够删除,而且收集的数据要合乎最小化准则(最小必要)。
平安保障任务比较复杂,首先,从危险评估、公司外部的制度建设到平安开发流程中都会波及这个问题,比方产品从需要阶段就要有平安方面的专家确认是否波及用户数据、用户数据怎么传输、用户数据怎么来保留、是否是必要的,因而从产品需要阶段到方案设计阶段,到最初上线阶段都要有必要的平安评估。
其次是技术保障,这里的技术保障指的是采集过程当中的传输、存储都该当采取足够的技术保障,换算成技术角度就是说,传输过程中要进行传输的加密,存储过程中要进行存储的加密。法律法规不会规定具体的某个安全措施,只是要求采取必要的技术措施保障用户数据的平安。
所以从技术角度侧了解,要采取业内比拟规范的或者比拟高标准的安全措施,比方 https 默认是应用其余的传输协定,比方 TCP、UDP 等也该当合乎业内的平安规范。
当然,平安保障还少不了审计和监管,就是说要有肯定的平安开发流程或者平安制度,满足监管机构的监管要求。
1、如何评估平安合规的要求
那么,如何评估平安合规的要求呢。这要看咱们具体的波及的业务,不同畛域的要求是不一样的,咱们后面提到,金融、医疗畛域的要求更加严格。在某些医疗畛域,对于医疗用户(患者)的数据或者解决要记录至多 5 年以上,这是该畛域的一个特殊要求。另外,针对不同区域用户的要求也不一样,比方方才提到的东南亚,至多我晓得新加坡有本人的非凡规定,其余区域也可能有本人的要求。
客户的行业之间也有不同的平安要求,重要的企业或者事业单位,对于数据库有时会有一些非凡的要求,比方要求必须是国内的数据库,这就是不同的行业或者不同的客户可能面临的特殊要求。还有一个重要的因素就是要评估依赖的第三方。
咱们当初开发产品或者服务,免不了要依赖一家甚至多家第三方,这些第三方是否可能满足特定的要求也是特地重要的,因为大多数的利用都会依赖多家第三方,在上架或者遭逢审查的时候,因为第三方因素引起利用下架是很失常的。
最初一个是老本因素,就是说要采取技术措施来保障平安合规的要求,必定会带来老本的减少,所以从计划角度或者估算角度来说,要思考这方面的问题。从咱们本人的教训来说,比方开启了传输加密和存储加密之后,服务器老本的大略是百分之四五十这个量级的增长,具体数字跟不同的行业和采纳的不同技术关联性特地大。
2、产品架构维度
■图 4
图 4 展现了产品架构的维度,这里我略微解释一下,比方一个客户的利用应用了咱们的 SDK,一般来说利用也会有本人的 App server,这个 App server 和用户的利用都会跟咱们的服务进行交互。咱们的 SDK 跟咱们的服务器会有两个通道,一个是 TCP 加 TLS,另外一个就是 https。同时用户的应用服务器可能会通过 RESTful 的 API 做一些治理级别的管制,比方创立聊天室或者创立群组甚至封禁用户。
咱们的服务还提供了 webhook,就是将音讯回调给用户的应用服务器,而后把音讯抄送给用户的服务器,甚至是发送前的一个回调。就是说有一些音讯内容或者配置的特定音讯内容,提前通过用户的服务器进行审查,确认这些音讯是否投递。最初管理者用户能够在 console 开发者后盾对这些性能进行不同的配置,也能够做一些治理的性能,比方治理某些群组、遣散某些聊天室或者封禁用户。同时用户的利用也会跟本人的服务器进行交互,不论是 https 还是其余的协定。
从残缺的视角会看到有哪些通道波及传输,比方用户的利用和他的应用服务器,咱们的 SDK 跟咱们的服务,服务器跟服务器之间又是一个。此外,咱们必须保障这些传输通道的传输平安,不论是用 TLS 或者是其余形式。
用户利用上会存储数据,比方用户名、明码甚至是 token,有的利用可能也会做缓存。还有一些容易疏忽的点,比方利用开发的过程当中常常会打印一些 log,在这些 log 当中也要防止用户信息或者敏感信息被泄露,不能使用户的 token 或者明码输入在 log 中。同时,用户应用服务器和咱们的服务可能会存储一些用户的音讯历史,这些节点和通道都是平安合规角度下必须要确认或者审查的。以开发者后盾来看,管理权限级别的账号的保存、账号失落之后的解决都要有相干的思考。
3、数据处理流程的维度
从用户数据处理流程的维度来看,一个数据的解决流程次要波及数据的采集、传输、存储、解决、擦除与销毁、对第三方提供以及用户隐衷权力的保障,如图 5 所示。
■图 5
采集过程当中首先要进行充沛的告知,个别在网站或者利用中都会有一个收集到的隐衷协定的阐明,包含收集的目标、收集到的个人用户数据的范畴、采集的期限等,其中采集期限是很容易被疏忽的。传输过程和存储过程是典型的数据处理流程,波及传输加密和存储加密技术。数据处理过程则要合乎收集的目标,遵循精确、必要等准则,不能任意对用户来数据进行操作,要有特定的目标能力做数据处理。擦除与销毁过程要求及时和彻底。
对第三方提供过程也是比拟要害的,咱们常常会借用第三方的内容审核或相似于 APM 的工具,对于这些第三方工具须要认真进行查看,确保提供雷同的保障条件。最初,用户隐衷权力保障过程除了要明确用户是被迫抉择之外,还要保障用户能够登记或删除账号,并对这些操作进行及时的响应。
04 教训和倡议
后面给出了满足和评估平安合规的维度,接下来分享一下咱们的教训和倡议。当然,这些教训和倡议是基于即时通讯畛域的。
1、平安合规能⼒建设须要做什么
在过来一段时间内咱们同内部的咨询机构进行了单干,对咱们流程的进行了审查,而后声网的平安合规团队也帮忙咱们梳理了相干的平安内容,这个团队包含技术、架构、合规、经营、隐衷、开发等多个方向的专家。
当然,初创企业可能还不须要做这么多的平安合规的能力建设,如果是倒退到肯定规模或者中等规模的公司,可能就要做一些平安能力的建设,比方 GDPR 中提到员工超过 250 人,须要对数据处理加以记录。
咱们进行了平安开发流程的建设,对于平安开发流程后面也简略提过,公司外部的开发流程中在产品需要阶段、设计阶段、验收阶段都要有平安方面的染指,以确认是否波及用户数据、是否是必要的、是否遵循最小准则等。在这些过程当中还会进行每年度甚至半年度的审查,确认整个流程过程当中有没有平安问题以及在合规方面有没有破绽,这是咱们过来两年做所做的平安合规能力建设。
2、⽬前平安合规的能⼒
通过这些建设之后,咱们有了足够的平安根底,能够进行全流程的传输加密和存储加密;还具备了资源隔离的能力,反对多数据中心、反对国内国内不同区域的合规要求。针对隐衷合规,依据最小化和公开通明的解决准则,满足了不同区域的网络安全和数据安全的要求,可能对必要的用户数据进行脱敏解决;用户权利的 API 方面反对用户数据的导出和删除。
3、开发倡议 —— 即时通讯畛域
不论是借助第三方的能力还是自研的能力,如果在即时通讯或者教育领域有了肯定的用户量之后,必定会遇到一些问题。我给出了一些倡议,首先如果应用第三方,个别会注册一些信息,这时最好是由你的服务器来下发,不要内置在利用中,否则信息容易泄露。
第二个是比拟要害的信息,就是爱护好用户列表。比方在曾经具备肯定的用户量之后,如果此时被拖库或者网站被攻打,用户可能会收到广告或者一些灰产信息,所以用户列表就比拟要害了,不论用户是不是通过手机号注册,用户 ID 要散列,而且不要对用户可见。
另外,咱们的服务端有相似于全员告诉的性能,针对全员告诉这个性能,咱们增加了相应的白名单性能,在配置好之后,只有某个特定的服务器能力给全员发告诉。如果你的业务可能开启好友之间发消息的限度,最好就开启,这样即便用户 ID 被泄露,他们也不能随便地相互之间发消息。
服务器校验用户的合法性也是一个十分重要的性能,如果是间接在第三方平台上注册的用户,那么他有可能会间接绕过你的服务器来给其余的用户来收发音讯。这种状况倡议还是由你的服务器来签发 token,而后保障这个 token 肯定的时效性,工夫不要太长,这样即使某个用户有问题,你的服务器也能够及时发现并且封禁这个用户。
如果有更进一步的平安要求,甚至能够在音讯级别进行校验,比方这个音讯有特定的 Key 签发密钥,则音讯的收发单方都要做相应的校验,甚至端到端的音讯加密。
当然当初咱们也反对了内容审核的性能,能够在咱们的后盾配置相应的审核规定。除了后面的保护措施之外,还要做一些外部防备,对相似于开发者证书或者外部的用户列表等要害数据肯定要进行相应的爱护,比方备份这些数据库的信息,不要被开发者不经意间放到 GitHub 或某个技术博客上。
问答环节
1、很多开发者会有这样一种想法,比如说我接入了某个第三方平安审核性能后,是不是就能够居安思危了?
这个显然不是,就是当初的鉴黄,也没有 100% 的能力齐全做到这一点。咱们必定还是要做一些措施,比方能做到监督,这样预先有记录就能对他进行治理甚至封禁,而不只是说扔给第三方。
2、您在演讲中提到加密会使服务器的老本开销较大,那么有哪些加密形式是您倡议肯定要启用的,MD 5 和 AES 256 形式您倡议应用哪一种呢?
如果是对称加密的话,倡议是 AES 256 以上。老本方面没有明确的答案,这与数据块有关系,如果咱们的音讯都是比拟小的,那么数据减少可能会比拟显著。而对于大一些的音讯,比方文件级别的甚至更大,数据减少可能少一些。所以这没有一个很明确的法则,然而必定会对你的老本有所增加。
3、如果集体要求删除集体数据,次要是与 App 经营厂商解决,还是像这种提供 PaaS 服务的平台来进行联动解决呢?
咱们的 PaaS 平台个别是要提供能力,但咱们还有察看到一些 PaaS 的次要提供商都不是间接给用户的,而是给利用的开发者。咱们有用户级别的 token 和管理员级别的 token,咱们当初的用户隐衷相干 API 设计都是管理员级别的,就是说用户要求登记账号或者删除数据的时候,个别是通过利用的 owner 和利用的服务器应用这些第三方平台来实现的,否则可能数据删除的解决不残缺。第三方平台个别是提供这部分能力。
4、初创公司应该如何做产品或者技术合规的审查?
这个问题我在介绍的过程当中其实也提到了,对于不同的行业和畛域,要求都不太一样。一般来说,比方在华为或者苹果的利用商店上架利用,都会抉择不同的利用分类,抉择特定的分类之后,就会有一些特定的要求,有的会要求你的资质,有的会要求平安评估报告。
也就是说,要依据利用的所属行业或者你的业务属性来确定,只有满足这些要求个别不会有太大的问题。而且你对于本人的利用所属的畛域行业都有根本的理解,能够在上架之前把这些要求大抵理解分明,提前做好筹备,否则被打回再从新批改上架,也会影响产品的上线打算。