正在阅读:

42万款应用葬身苹果ATT框架,出海安全合规如何破题?

扫一扫下载界面新闻APP

42万款应用葬身苹果ATT框架,出海安全合规如何破题?

砌牢“安全合规墙”,才能长久屹立于风雨中。

文|志象网 彭慧

编辑|小志

近日,独立第三方行业研究与分析机构 CIC 灼识咨询正式发布的《2021年全球实时互动云(RTE-PaaS)行业研究报告》显示,根据 2021 年实时互动解决方案支持的实时互动音视频分钟数及年度营收两个指标计算,声网Agora 继续蝉联全球实时互动解决方案市场份额第一。

如今,中东语音社交巨头Yalla Group,2021年初起风靡全球的语聊产品Clubhouse,东南亚电商巨头Shopee、以及全球最大音乐流媒体平台Spotify等知名APP,都将声网的服务作为其构建全球化能力的重要支撑。

实际上,从市场来看,实时互动相关技术在今天已经相当成熟,而且为实时互动提供技术服务的厂商也不下一家。早先,这种基础的底层能力构建了云服务厂商这座“大厦”的地基。

而随着生态的完善,云服务厂商必须不断“砌墙”以屹立于风雨中,保持长久生命力。其中不可忽视的一面墙,就是“安全合规墙”。

如今,全球各大区域已经施行相关隐私法规;而在移动生态中,数十万款App因不符合苹果ATT框架而惨遭下架,谷歌也正在建立其隐私安全保护体系。对于开发商来说,毋庸置疑,隐私保护已经成为出海重中之重;对于云服务厂商,它不仅是提供差异化服务的重要一环,同时也响应了数字时代用户对数据和隐私保护越来越高的呼声。

前车之鉴

在社交娱乐、电商直播及在线教育等App几乎已成装机必备的时代,人们依靠实时互动技术,生活体验得到空前丰富和延伸,自我发展的需求也得到前所未有地满足。不过,其中衍生出来的个人数据和隐私问题也越来越甚嚣尘上。

在海外,隐私保护越来越成为主流,基于庞大的移动生态,大型科技公司如苹果、谷歌等也在响应这一趋势。在苹果出台并实施“应用追踪透明性”(ATT)后,仅2021年下半年,就有超过42万的应用因不符合苹果ATT框架而被下架,其中不乏中国App的身影。

实际上,这种大规模下架并不新鲜。早年间就有不少App因所选云厂商的服务不合规,而栽了跟头。早在2015年,256款APP因为接入了某平台的广告SDK,被苹果 App Store 集中下架,原因是该SDK违规收集用户个人信息。而在次年5月,某游戏开发者反馈其产品使用某厂商SDK后,多款产品在Google Play应用商店被下架。

从宏观层面,声网安全合规团队观察到,一方面,企业出海的目标市场包含了欧、美等大型经济体,这些国家地区的法律日趋严苛,不断变化,且不乏相互冲突的情况,给出海企业带来巨大的合规成本和挑战。

另一方面,部分出海企业对国内、国外的隐私保护和数据合规监管要求一知半解,各个国家对隐私和数据安全的监管重点也不一样,出海企业如何把握好“度”,如何做到国内与国外“双向合规”的兼顾是一大挑战。

从云厂商的角度出发,其SDK一旦被监管机构检测出不合规,例如不符合欧盟的《通用数据保护条例》(GDPR)要求,可能会面临重罚,企业与开发者也会对云厂商不信任,造成自身的重大损失;站在开发者的角度,一旦企业的APP因为接入云厂商不合规SDK而被检测出隐私保护问题,导致被下架或者通报,将会给自身带来重大的经济损失与负面影响。

往者不可谏,来者犹可追。无论是对应用开发商,还是云厂商的服务,在安全合规上吃过的苦头,都为后续出海敲响了警钟。

合规认证完善度高

为此,开发者需要明确自己的业务场景,以及相关的安全责任边界,而云厂商不仅要洞察开发商的需求,还要保持自身服务与相关技术标准的衔接。

志象网了解到,声网在出海安全合规方面,已经成为目前RTE行业合规认证完善度最高的独立RTE厂商,主要表现在投入早、品类全以及全球通用。

作为业内的领头羊,声网在业务开展的早期阶段,就非常重视安全合规的建设,例如其音视频SDK在设计之初就建立了安全合规和隐私保护策略,将隐私设计嵌入到安全开发的流程中。

在对数据安全保护的具体措施上,声网采取了传输加密、内容加密、身份认证、传输区域隔离等技术处理,以及通过SDK的自动化扫描平台,实现合规审计、漏洞扫描、流量跟踪、风险评估、版本管理、报表展示等一系列功能。

在研发上,2018年,声网开始发力投入安全合规,如今拥有超过20人规模的安全合规团队,包括隐私保护领域的专家、网络和信息安全专职人员以及法务人员。在品类上,声网RTC、云信令、互动白板、实时录制、灵动课堂等产品SDK,都专门做过安全合规审查。

来自2022年1月 data.ai 的数据显示,在中东社交市场TOP100榜单中,使用RTC技术的产品占到了26款,这其中,使用声网Agora SDK的有19款产品,占比73%,同时包含了中国出海、美国以及中东本地产品。

入选东南亚社交TOP100的15款使用RTC技术的社交软件,有12款使用声网Agora SDK,占比80%,以出海产品为主;美国市场入选榜单的13款使用RTC的软件中,只有3款产品分别来自中国和加拿大,其余均为美国本土产品,使用声网Agora SDK的产品11款,占比超过84%。

而在北美市场,美国最大第三方播客平台 Castbox、美国最大的婚恋社交平台 The Meet Group、北美多人移动游戏 Bunch、东南亚知名社交 App Kumu。出于对声网安全合规技术的信任,它们都将声网服务视为构建全球影响力的重要支撑。

如今,声网已成为覆盖场景最全的RTE供应商,其“RTE万象图谱”共覆盖教育、泛娱乐、IoT、金融、医疗、企业协作、数字政府、智慧城市等20多个行业赛道的200多个场景。

全球接轨

中国公司出海去到全球各地,需要应对不同国家、不同地域的安全合规政策。那么,出海厂商如何安全地游走于各类隐私法案所圈定的范围之内?这是一项很大的挑战。

值得一提的是,从2018年开始,声网逐渐走向全球化,需要满足不同国家或地区的法律法规,从全球化市场战略考虑,声网开始大力投入对安全合规的建设。

从服务的地域范围来看,通过在海外广泛的布局,声网已构建起全球服务的能力。声网在硅谷和上海设有双总部,并在班加罗尔、东京、伦敦等海外城市设有分布式协同团队,一方面,遍布海外的团队可更好地拓展海外本土客户,为国内出海客户服务,并在当地提供技术和运营支持。

在接轨国际主要数据安全法规上,声网在安全合规方面的技术布局,已经无缝对接上各类安全法规。以备受关注的GDPR为例,作为一项综合性数据保护法,GDPR旨在通过强有力的措施保护欧盟数据主体的基本隐私权和个人数据,而声网致力于帮助客户在提供服务和产品的同时满足 GDPR 合规要求。

声网非常重视 GDPR 对涉及个人数据处理的企业的影响,对 GDPR 进行了持续深入的分析和理解。除了 PbD(privacy by design,隐私设计)实践,声网还将 GDPR 的要求整合到产品规划和业务活动中,根据开发者的要求,构建声网服务器的隐私保护责任模型,定期或按需进行数据保护影响评估(DPIA),记录数据处理活动的记录(RoPA),并积极履行作为数据处理者和控制者的职责。

据了解,中国的《个人信息保护法》(PIPL)、欧盟《通用数据保护条例》(GDPR)、美国《加州消费者隐私法》(CCPA)、《健康保险携带和责任法案》(HIPAA)等,对各个领域隐私安全合规的要求都是高标准。而声网则通过安全合规能力的输出,帮助客户在各个国家的不同行业,满足监管的差异化要求。

“各种各样的安全认证我们都做了,客户如果接入我们的音视频传输服务,其实这(安全合规)方面的问题就不需要去考虑了。”此前,在接受志象网专访时,声网Agora社交泛娱乐产品负责人王奇如是道。

本文为转载内容,授权事宜请联系原著作权人。

评论

暂无评论哦,快来评价一下吧!

下载界面新闻

微信公众号

微博

42万款应用葬身苹果ATT框架,出海安全合规如何破题?

砌牢“安全合规墙”,才能长久屹立于风雨中。

文|志象网 彭慧

编辑|小志

近日,独立第三方行业研究与分析机构 CIC 灼识咨询正式发布的《2021年全球实时互动云(RTE-PaaS)行业研究报告》显示,根据 2021 年实时互动解决方案支持的实时互动音视频分钟数及年度营收两个指标计算,声网Agora 继续蝉联全球实时互动解决方案市场份额第一。

如今,中东语音社交巨头Yalla Group,2021年初起风靡全球的语聊产品Clubhouse,东南亚电商巨头Shopee、以及全球最大音乐流媒体平台Spotify等知名APP,都将声网的服务作为其构建全球化能力的重要支撑。

实际上,从市场来看,实时互动相关技术在今天已经相当成熟,而且为实时互动提供技术服务的厂商也不下一家。早先,这种基础的底层能力构建了云服务厂商这座“大厦”的地基。

而随着生态的完善,云服务厂商必须不断“砌墙”以屹立于风雨中,保持长久生命力。其中不可忽视的一面墙,就是“安全合规墙”。

如今,全球各大区域已经施行相关隐私法规;而在移动生态中,数十万款App因不符合苹果ATT框架而惨遭下架,谷歌也正在建立其隐私安全保护体系。对于开发商来说,毋庸置疑,隐私保护已经成为出海重中之重;对于云服务厂商,它不仅是提供差异化服务的重要一环,同时也响应了数字时代用户对数据和隐私保护越来越高的呼声。

前车之鉴

在社交娱乐、电商直播及在线教育等App几乎已成装机必备的时代,人们依靠实时互动技术,生活体验得到空前丰富和延伸,自我发展的需求也得到前所未有地满足。不过,其中衍生出来的个人数据和隐私问题也越来越甚嚣尘上。

在海外,隐私保护越来越成为主流,基于庞大的移动生态,大型科技公司如苹果、谷歌等也在响应这一趋势。在苹果出台并实施“应用追踪透明性”(ATT)后,仅2021年下半年,就有超过42万的应用因不符合苹果ATT框架而被下架,其中不乏中国App的身影。

实际上,这种大规模下架并不新鲜。早年间就有不少App因所选云厂商的服务不合规,而栽了跟头。早在2015年,256款APP因为接入了某平台的广告SDK,被苹果 App Store 集中下架,原因是该SDK违规收集用户个人信息。而在次年5月,某游戏开发者反馈其产品使用某厂商SDK后,多款产品在Google Play应用商店被下架。

从宏观层面,声网安全合规团队观察到,一方面,企业出海的目标市场包含了欧、美等大型经济体,这些国家地区的法律日趋严苛,不断变化,且不乏相互冲突的情况,给出海企业带来巨大的合规成本和挑战。

另一方面,部分出海企业对国内、国外的隐私保护和数据合规监管要求一知半解,各个国家对隐私和数据安全的监管重点也不一样,出海企业如何把握好“度”,如何做到国内与国外“双向合规”的兼顾是一大挑战。

从云厂商的角度出发,其SDK一旦被监管机构检测出不合规,例如不符合欧盟的《通用数据保护条例》(GDPR)要求,可能会面临重罚,企业与开发者也会对云厂商不信任,造成自身的重大损失;站在开发者的角度,一旦企业的APP因为接入云厂商不合规SDK而被检测出隐私保护问题,导致被下架或者通报,将会给自身带来重大的经济损失与负面影响。

往者不可谏,来者犹可追。无论是对应用开发商,还是云厂商的服务,在安全合规上吃过的苦头,都为后续出海敲响了警钟。

合规认证完善度高

为此,开发者需要明确自己的业务场景,以及相关的安全责任边界,而云厂商不仅要洞察开发商的需求,还要保持自身服务与相关技术标准的衔接。

志象网了解到,声网在出海安全合规方面,已经成为目前RTE行业合规认证完善度最高的独立RTE厂商,主要表现在投入早、品类全以及全球通用。

作为业内的领头羊,声网在业务开展的早期阶段,就非常重视安全合规的建设,例如其音视频SDK在设计之初就建立了安全合规和隐私保护策略,将隐私设计嵌入到安全开发的流程中。

在对数据安全保护的具体措施上,声网采取了传输加密、内容加密、身份认证、传输区域隔离等技术处理,以及通过SDK的自动化扫描平台,实现合规审计、漏洞扫描、流量跟踪、风险评估、版本管理、报表展示等一系列功能。

在研发上,2018年,声网开始发力投入安全合规,如今拥有超过20人规模的安全合规团队,包括隐私保护领域的专家、网络和信息安全专职人员以及法务人员。在品类上,声网RTC、云信令、互动白板、实时录制、灵动课堂等产品SDK,都专门做过安全合规审查。

来自2022年1月 data.ai 的数据显示,在中东社交市场TOP100榜单中,使用RTC技术的产品占到了26款,这其中,使用声网Agora SDK的有19款产品,占比73%,同时包含了中国出海、美国以及中东本地产品。

入选东南亚社交TOP100的15款使用RTC技术的社交软件,有12款使用声网Agora SDK,占比80%,以出海产品为主;美国市场入选榜单的13款使用RTC的软件中,只有3款产品分别来自中国和加拿大,其余均为美国本土产品,使用声网Agora SDK的产品11款,占比超过84%。

而在北美市场,美国最大第三方播客平台 Castbox、美国最大的婚恋社交平台 The Meet Group、北美多人移动游戏 Bunch、东南亚知名社交 App Kumu。出于对声网安全合规技术的信任,它们都将声网服务视为构建全球影响力的重要支撑。

如今,声网已成为覆盖场景最全的RTE供应商,其“RTE万象图谱”共覆盖教育、泛娱乐、IoT、金融、医疗、企业协作、数字政府、智慧城市等20多个行业赛道的200多个场景。

全球接轨

中国公司出海去到全球各地,需要应对不同国家、不同地域的安全合规政策。那么,出海厂商如何安全地游走于各类隐私法案所圈定的范围之内?这是一项很大的挑战。

值得一提的是,从2018年开始,声网逐渐走向全球化,需要满足不同国家或地区的法律法规,从全球化市场战略考虑,声网开始大力投入对安全合规的建设。

从服务的地域范围来看,通过在海外广泛的布局,声网已构建起全球服务的能力。声网在硅谷和上海设有双总部,并在班加罗尔、东京、伦敦等海外城市设有分布式协同团队,一方面,遍布海外的团队可更好地拓展海外本土客户,为国内出海客户服务,并在当地提供技术和运营支持。

在接轨国际主要数据安全法规上,声网在安全合规方面的技术布局,已经无缝对接上各类安全法规。以备受关注的GDPR为例,作为一项综合性数据保护法,GDPR旨在通过强有力的措施保护欧盟数据主体的基本隐私权和个人数据,而声网致力于帮助客户在提供服务和产品的同时满足 GDPR 合规要求。

声网非常重视 GDPR 对涉及个人数据处理的企业的影响,对 GDPR 进行了持续深入的分析和理解。除了 PbD(privacy by design,隐私设计)实践,声网还将 GDPR 的要求整合到产品规划和业务活动中,根据开发者的要求,构建声网服务器的隐私保护责任模型,定期或按需进行数据保护影响评估(DPIA),记录数据处理活动的记录(RoPA),并积极履行作为数据处理者和控制者的职责。

据了解,中国的《个人信息保护法》(PIPL)、欧盟《通用数据保护条例》(GDPR)、美国《加州消费者隐私法》(CCPA)、《健康保险携带和责任法案》(HIPAA)等,对各个领域隐私安全合规的要求都是高标准。而声网则通过安全合规能力的输出,帮助客户在各个国家的不同行业,满足监管的差异化要求。

“各种各样的安全认证我们都做了,客户如果接入我们的音视频传输服务,其实这(安全合规)方面的问题就不需要去考虑了。”此前,在接受志象网专访时,声网Agora社交泛娱乐产品负责人王奇如是道。

本文为转载内容,授权事宜请联系原著作权人。