行家自述

十年多移动安全领域经验，曾就职字节跳动公司，曾任一线互联网公司技术Leader。 基于当下移动安全问题日益突出、隐私合规风险频繁发生，企业对移动安全和隐私合规的掌控解决有着强烈需求，技术团队对移动端安全的实现方案也有着诉求。个人从事移动端安全领域十多年，经历了多个安全项目产品的研发，服务不同行业的企业客户，对移动安全方向有着深刻见解和技术经验积累，希望能够帮助大家解决困惑，少绕弯路，把控安全问题、降低安全风险。 移动端安全问题愈发愈多，隐私合规问题通报和惩罚屡见不鲜，举例如下： 移动安全相关：机密数据或文件泄露、企业应用遭窃取篡改、移动办公设备环境风险失控、移动设备安全性难以管控等等，导致企业遭受严重损失或管理成本居高不下；隐私合规相关：非法获取用户隐私、超范围收集个人信息、过度频繁索取权限、违规使用个人信息等等，导致监管机构违规处罚、应用市场整改下架、舆论媒体负面报道，对企业造成业务发布受阻、巨额罚单、品牌受损等不良影响。 过错推定责任下，如若企业或团队没有及时管控好安全风险，将遭受机密敏感信息或文件泄露损失，或来自监管机构的整改通知、公开通报、应用下架、行政处罚等等后果，法律法规规定，最高5000万人民币或上一年营业额5%的罚款，并暂停或关停相关业务，若情节严重，达到刑法入罪标准的，责任人还可能构成《刑法》的侵犯公民个人信息罪。 面对以上种种问题，企业通常对内部隐私合规情况掌握不充分，面对舆情问题，无力应对，难以快速定位问题、回应质询部门；很多技术团队安全经验不足，不熟悉安全管控方法，理解和实现成本高。 因而，对于企业，需要熟知安全评估方法，明确各解决方案利弊，制定适合自身、长期有效的安全解决方案，例如制定内部标准、安全管控流程、系统性的安全培训等等；针对个人开发团队，需要了解常规安全技术手段，典型解决方案，获取选型及实现建议，如安全策略流程、防篡改泄露、DLP保护、安全容器等等的实现手段。 十年前，企业遇到安全问题，才会思考安全解决办法；当前，随着相关法律法规的出台和执行愈趋严格，企业需要主动安全合规。