新风险

数据安全挑战日渐复杂

移动应用的高速发展，让网络环境越来越复杂，边界越来越模糊，使得数据在收集、使用、存储等过程中存在诸多泄露及违规情况，所带来的安全风险也日渐明显，造成大范围的安全事故。其背后凸显出数据安全整体管控不足、安全建设滞后于业务建设、数据安全能力建设有待提升等产业现状。

1. 信息收集渠道多样化

违规收集用户信息主要表现为：违规私自收集、过度收集、强制授权、不合理索取用户权限、私自开启人脸识别等。2021年7月国家互联网信息办公室经检测核实，“滴滴企业版”等25款 APP 存在严重违法违规收集使用个人信息问题，依据《中华人民共和国网络安全法》相关规定，通知应用商店下架上述25款 APP。

2. 数据泄露风险加大

泄漏用户信息是指相关企业在收集、使用、存储用户数据的过程中，因故意或过失，导致用户数据泄漏。主要包括两种情况：一是公司的系统存在漏洞，遭到黑客或流氓软件攻击导致用户数据被盗窃，如2022年6月学习软件超星学习通 APP 由于其储存的加密数据被技术破译，造成泄露的数据包含姓名、手机号、性别、学校、学号、邮箱等信息 1.7273 亿条，含密码 1076 万条；二是公司或公司员工为谋取私利主动将用户信息打包出卖，如2020年5月公布的，建行员工因贩卖客户数据被抓，最终查实涉及数据量 5万+ 条、金额 2千万+元。

3. 违规使用用户信息

企业可以通过合法的收集程序，对数据进行进一步加工分析，从而提升产品体验。但这种加工分析有一定限度，例如收集的企业只能用于自己使用，而不能在未经用户同意的情况下将数据共享至第三方。2022年7月“滴滴”事件公开报告，其违法处理及使用个人信息达 647.09 亿条，数量巨大，其中包括人脸识别信息、精准位置信息、身份证号等多类敏感个人信息。

4.  业务暴露面扩大

随着全球数字经济发展，移动应用因其系统开源特性和用户普遍性正逐渐成为恶意攻击者的主要目标，严重影响了移动应用安全和体验。着眼于国内，高价值数据泄漏、个人信息贩卖情况突出，新技术迭代衍生出新的风险，针对数据的攻击、窃取、劫持、滥用等手段不断推陈出新，经济、政治、社会等各领域遭受了巨大影响。

新标准

数据安全落地有法可依

总书记指出：“数据基础制度建设事关国家发展和安全大局”。党的十八大以来，我国先后制定颁布了数据安全法、个人信息保护法等法律法规，出台了《促进大数据发展行动纲要》《“十四五”大数据产业发展规划》等政策文件，积极探索推进数据要素市场化的路径，加快发展以数据为关键要素的数字经济，取得了重要进展。

党的二十大报告提出“加快发展数字经济”，中共中央、国务院不久前印发《关于构建数据基础制度 更好发挥数据要素作用的意见》，指出要加快构建数据基础制度体系，积极推进数据交易场所建设，进一步释放数据要素潜能，促进数据高效流通使用，为加快发展数字经济提供制度保障。

新思路

数据保护与合规有效闭环

基于现阶段的企业移动应用侧数据安全现状，同时结合国家持续加大的监管趋势，梆梆安全提出了面对企业移动应用数据安全两步走的防护思路，对移动应用在发布前后进行评估、整改及监测等服务，从根本上提升数据安全及合规能力，降低企业违规风险，有效形成数据保护及合规的防御闭环。

移动应用发布前：安全、合规评估及整改

以应用安全测评平台、移动应用合规检测平台输出的检测数据为基础，通过针对性的渗透测试及合规评估服务，形成“人工+工具”的高效评估方式，帮助企业全面发现移动应用的安全漏洞、数据泄露、个人信息违规等问题。同时，针对性采用APP 加固、通讯数据加密、输入数据加密、原始秘钥白盒化、个人信息合规整改等技术服务手段解决数据泄露及违规问题，全面提升企业移动应用侧的数据安全及合规水平。

移动应用发布后：安全、合规监测及运营

在移动应用中植入监测探针，能够在发布后的运行阶段持续监测其动态运行的风险威胁、第三方 SDK 违规窃取用户敏感信息以及关键数据泄露等安全问题。另外，可与前期的评估、加固等静态技术手段进行联动，形成静态防护与动态监测的安全及合规闭环。同时，可结合人工运营服务，通过对大量威胁数据关联分析，可有效发现企业移动应用潜在的安全漏洞及数据泄露等情况，全面提升企业移动应用发布后的安全及合规的预警能力。

大数据时代，人们在千变万化的移动应用中，时时刻刻都在不断产生新数据，“堆砌”着数据大厦。梆梆安全将全面适应我国数字中国建设的历史方位，持续深入地研究数据安全领域，帮助企业构建全方位、多层次的移动应用数据安全体系，以数字信息化培育新动能，推动新发展，创造新辉煌。