在监管趋严的形式下,即时通讯场景在安全合规领域会遇到很多挑战。如何满足这些安全合规要求,如何保护用户隐私,是一件非常具有挑战性的事情。
为大家提供相关经验和参考,声网联合环新推出“声网开发者创业大讲堂第四期,创业团队如何保证产品业务的安全合规?”活动。本期特邀环信IM SDK RD总监赵亮分享“即时通讯场景下安全合规的实践与经验”主题。
赵亮拥有十余年电信和互联网从业经验,主持过多个明星项目的研发,目前在环信主持即时通讯云SDK的研发。本文是基于第二次整理其内容在分享。
海上很多痛点?点击这里求解。
安全合规的趋势
1.隐私监管趋严。
最近四五年,安全合规的趋势越来越严格,各个国家都出台了相对较重的安全合规相关法规,比如美国加州的《消费者隐私法》、《儿童在线隐私保护法》、保险和医疗领域的HIPPA、欧盟出台的《通用数据保护条例》。去年,中国还颁布了个人信息保护法和数据安全法。加上之前出台的网络安全法,在安全合规领域的覆盖比较完善。
2.APP/SDK越来越严格
图1
图1显示了中国的主要相关法律法规。如果你关注行业新闻,你也会看到很多这方面的趋势。比如工信部发布的关于各种应用下架的消息或公告,都涉及到个人数据的隐私。
3.安全合规的基本框架
安全合规的基本框架可以概括为两个方向,一是用户的知情同意,二是安全义务。以我们的一般数据保护条例为例。它是一个法律条文,包含了各种监管措施和惩罚措施,也规定了应该保障的用户权利。下面的介绍中会有一些关于用户权限的具体解释。
国内外监管焦点
接下来,我们分别来看看国内外的监管重点。从近几年国内来看,主要包括以下几个方面。
1.国产App上架——信息采集
图2
如图2所示,我们看到用户信息的收集越来越受到重视。国家部委发布了《常见类型移动互联网应用必要个人信息范围规定》,指出了二三十种场景下可以采集的必要个人信息。
比如地图导航,它的基础服务是定位导航,必要的个人信息是位置信息、出发地和到达地。只是简单的几项,其他的都没必要,所以大家在开发应用的时候一定要确认这些信息,不然app就上不了架了。
再比如网络社区,基本功能就是博客、论坛等。这些个人信息接近于即时通讯的必要信息,即用户的手机号和账号联系方式。网约车类型中也规定了电话号码,包括出发地、到达地、支付时间、支付信息等。你可能已经注意到了,为什么即时通讯类需要手机号?据推测,你只需要一个账号,对不对?我们接下来要介绍的就解释了这个问题。
2.国产App上架——符合安全规定。
除了可以收集到的必要信息的限制之外,还有许多与中国不同行业或领域相关的具体限制。
在应用上架的过程中,应用商店都有详细的审核规定。如果涉及即时通讯、直播或舆论,则需要提交安全评估报告。这个安全评估报告增加了额外的要求,比如验证用户的真实身份,也就是验证服务中用户的身份是真实可靠的。下面回答一下之前在即时通讯领域的问题。要想真正服务好客户,需要能够做到实名登记制。其实实名登记制一般都是查手机和短信的。
另外,其实这还涉及用户舆论的问题,需要针对这个问题建立投诉
