CN114090076A - 应用程序的合规性判别方法和装置 - Google Patents

应用程序的合规性判别方法和装置 Download PDF

Info

Publication number
CN114090076A
CN114090076A CN202111327731.3A CN202111327731A CN114090076A CN 114090076 A CN114090076 A CN 114090076A CN 202111327731 A CN202111327731 A CN 202111327731A CN 114090076 A CN114090076 A CN 114090076A
Authority
CN
China
Prior art keywords
compliance
type
law
application program
target application
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111327731.3A
Other languages
English (en)
Inventor
鲍梦瑶
刘佳伟
章鹏
张谦
贾茜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alipay Hangzhou Information Technology Co Ltd
Ant Blockchain Technology Shanghai Co Ltd
Original Assignee
Alipay Hangzhou Information Technology Co Ltd
Ant Blockchain Technology Shanghai Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alipay Hangzhou Information Technology Co Ltd, Ant Blockchain Technology Shanghai Co Ltd filed Critical Alipay Hangzhou Information Technology Co Ltd
Priority to CN202111327731.3A priority Critical patent/CN114090076A/zh
Publication of CN114090076A publication Critical patent/CN114090076A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/70Software maintenance or management
    • G06F8/77Software metrics

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本说明书实施例提供一种应用程序的合规性判别方法和装置,方法包括:获取知识图谱形式的合规知识库,其根据多部法律法规的解析结果构建,包含多个实体、实体之间的关系;实体对应于法律法规、法条或合规要点;获取目标应用程序的代码分析结果,其指示出目标应用程序实际采集的隐私信息类别构成的第一类别集合,以及使用情况信息;获取目标应用程序的隐私声明文本声明采集的隐私信息类别构成的第二类别集合,以及包含的声明信息类别;基于第一类别集合、使用情况信息、第二类别集合和声明信息类别,判断目标应用程序是否符合合规知识库中的各个合规要点,以确定目标应用程序的合规检测结果。能够高效的判别出应用程序是否合规。

Description

应用程序的合规性判别方法和装置
技术领域
本说明书一个或多个实施例涉及计算机领域,尤其涉及应用程序的合规性判别方法和装置。
背景技术
隐私数据(private data)或秘密数据,是指不想被他人或无关人等获知的信息,从隐私的所有者的角度,可以将隐私数据分为个人隐私数据和共同隐私数据,其中个人隐私数据包括可以用来定位或者识别个人的信息(如电话号码、地址、信用***等)和敏感信息(如个人健康情况、财务信息、公司重要文件等)。共同隐私数据主要以家庭隐私为主,如家庭年收入情况等。隐私数据的泄露和滥用极易引起各种个人和公共安全问题。
随着移动互联网的蓬勃发展,各式各样的应用程序(application,App)层出不穷,然而出于利益或其他考量,部分App在主营业务需求外非法采集隐私数据,为了帮助企业规避合规风险性,帮助监管单位对非法App进行整治,需要提供一种高效的应用程序的合规性判别方法。
发明内容
本说明书一个或多个实施例描述了一种应用程序的合规性判别方法和装置,能够高效的判别出应用程序是否合规。
第一方面,提供了一种应用程序的合规性判别方法,方法包括:
获取知识图谱形式的合规知识库,所述合规知识库根据与应用程序隐私合规相关的多部法律法规的解析结果而构建,其中包含多个实体、实体之间的关系;所述多个实体分别对应于法律法规、法条或合规要点;
获取目标应用程序的代码分析结果,所述代码分析结果指示出所述目标应用程序实际采集的隐私信息类别构成的第一类别集合,以及针对隐私信息的使用情况信息;
获取所述目标应用程序的隐私声明文本声明采集的隐私信息类别构成的第二类别集合,以及包含的隐私声明合规信息的声明信息类别;
基于所述第一类别集合、所述使用情况信息、所述第二类别集合和所述声明信息类别,判断所述目标应用程序是否符合所述合规知识库中的各个合规要点,根据判断结果,确定所述目标应用程序的合规检测结果。
在一种可能的实施方式中,所述多个实体包括,对应于法律法规的第一类实体,对应于法条的第二类实体,对应于合规要点的第三类实体;所述实体之间的关系,包括第一类实体与第二类实体之间的第一类关系,以及,第二类实体与第三类实体之间的第二类关系。
进一步地,所述根据判断结果,确定所述目标应用程序的合规检测结果,包括:
当判断结果示出所述目标应用程序不符合所述合规知识库中的任一合规要点时,确定所述目标应用程序不合规;
根据所述合规知识库中的该合规要点对应的实体及其关联关系,生成所述目标应用程序的合规报告。
进一步地,所述根据所述合规知识库中的该合规要点对应的实体及其关联关系,生成所述目标应用程序的合规报告,包括:
在所述合规知识库中,查找与该合规要点对应的实体具有第二类关系的法条,以及与查找到的法条对应的实体具有第一类关系的法律法规,根据该合规要点、查找到的法条和法律法规,生成所述目标应用程序的合规报告。
进一步地,所述合规知识库的存储方式为图数据库;所述图数据库中存储了所述实体对应的属性;
所述根据该合规要点、查找到的法条和法律法规,生成所述目标应用程序的合规报告,包括:
根据所述图数据库中存储的该合规要点的属性、查找到的法条的属性和法律法规的属性,生成所述目标应用程序的合规报告。
进一步地,合规要点对应的属性包括如下至少一种:
详细情况、类别、子类别、合规建议。
进一步地,法律法规对应的属性包括如下至少一种:
发布机构、类型、发布日期、生效日期、公示地址。
进一步地,法条对应的属性至少包括原文。
在一种可能的实施方式中,所述判断所述目标应用程序是否符合所述合规知识库中的各个合规要点之前,所述方法还包括:
确定所述第一类别集合与所述第二类别集合一致。
进一步地,所述方法还包括:
当所述多部法律法规中的第一法律法规失效时,对所述合规知识库进行第一更新,所述第一更新包括:
在所述合规知识库中删除所述第一法律法规对应的第一类实体、与所述第一法律法规具有关联关系的第一法条对应的第二类实体、所述第一法律法规与第一法条之间的第一类关系、所述第一法条与合规要点之间的第二类关系,删除不具有任何关联关系的合规要点。
进一步地,所述方法还包括:
当新增所述多部法律法规之外的第二法律法规时,获取所述第二法律法规的解析结果,并对所述合规知识库进行第二更新,所述第二更新包括:
根据该解析结果,在所述合规知识库中增加所述第二法律法规对应的第一类实体、与所述第二法律法规具有关联关系的第二法条对应的第二类实体,以及增加所述第二法律法规与第二法条之间的第一类关系;
对于解析所述第二法律法规得到的合规要点,判断其是否已经存在于合规知识库中;
若判断出其已经存在于合规知识库中,则在所述合规知识库中增加第二法条与合规要点之间的第二类关系;
若判断出其不存在于合规知识库中,则在所述合规知识库中增加合规要点对应的第三类实体,以及增加第二法条与合规要点之间的第二类关系。
第二方面,提供了一种应用程序的合规性判别装置,装置包括:
第一获取单元,用于获取知识图谱形式的合规知识库,所述合规知识库根据与应用程序隐私合规相关的多部法律法规的解析结果而构建,其中包含多个实体、实体之间的关系;所述多个实体分别对应于法律法规、法条或合规要点;
第二获取单元,用于获取目标应用程序的代码分析结果,所述代码分析结果指示出所述目标应用程序实际采集的隐私信息类别构成的第一类别集合,以及针对隐私信息的使用情况信息;
第三获取单元,用于获取所述目标应用程序的隐私声明文本声明采集的隐私信息类别构成的第二类别集合,以及包含的隐私声明合规信息的声明信息类别;
判别单元,用于基于所述第二获取单元获取的第一类别集合、所述使用情况信息、所述第三获取单元获取的第二类别集合和所述声明信息类别,判断所述目标应用程序是否符合所述第一获取单元获取的合规知识库中的各个合规要点,根据判断结果,确定所述目标应用程序的合规检测结果。
第三方面,提供了一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行第一方面的方法。
第四方面,提供了一种计算设备,包括存储器和处理器,所述存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现第一方面的方法。
通过本说明书实施例提供的方法和装置,首先获取知识图谱形式的合规知识库,所述合规知识库根据与应用程序隐私合规相关的多部法律法规的解析结果而构建,其中包含多个实体、实体之间的关系;所述多个实体分别对应于法律法规、法条或合规要点;然后获取目标应用程序的代码分析结果,所述代码分析结果指示出所述目标应用程序实际采集的隐私信息类别构成的第一类别集合,以及针对隐私信息的使用情况信息;接着获取所述目标应用程序的隐私声明文本声明采集的隐私信息类别构成的第二类别集合,以及包含的隐私声明合规信息的声明信息类别;最后基于所述第一类别集合、所述使用情况信息、所述第二类别集合和所述声明信息类别,判断所述目标应用程序是否符合所述合规知识库中的各个合规要点,根据判断结果,确定所述目标应用程序的合规检测结果。由上可见,本说明书实施例,利用对法律法规的解析结果,建立全面、专业的合规知识库,通过知识图谱相关技术,实现智能的合规决策,能够高效的判别出应用程序是否合规。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本说明书披露的一个实施例的实施场景示意图;
图2示出根据一个实施例的应用程序的合规性判别方法流程图;
图3示出根据一个实施例的知识图谱示意图;
图4示出根据一个实施例的不同存储方式的区别示意图;
图5示出根据一个实施例的合规知识库的整体框架示意图;
图6示出根据一个实施例的合规知识库的可视化展示示意图;
图7示出根据一个实施例的更新合规知识库的示意图;
图8示出根据一个实施例的应用程序的合规性判别装置的示意性框图。
具体实施方式
下面结合附图,对本说明书提供的方案进行描述。
图1为本说明书披露的一个实施例的实施场景示意图,该实施场景涉及应用程序的合规性判别。参照图1,虚线框中是本方案详细解决的部分。主要分为两个阶段,阶段一,需要解析现有的与应用程序(application,App)隐私合规相关的法律法规,生成全面、专业的合规知识库;阶段二,智能合规引擎会输入来自三方的数据分析,包括对App隐私协议文本进行解析得到的隐私协议解析结果,对App代码包扫描解析出的App代码解析结果,以及合规知识库,其中App代码解析结果包含了App实际的与隐私信息相关的行为,最终智能合规引擎基于知识图谱形式的合规知识库,自动化的进行合规决策,生成合规报告。
隐私合规:指App在其隐私声明页中声明的需要采集的个人隐私数据信息和其在代码实现过程中真实采集的个人隐私数据信息需要符合国家的规定。可以理解的是,隐私声明页也可以称为隐私声明文本或隐私协议文本。合规检测不仅限于App采集的个人隐私范围,还包括App采集、使用和传输个人信息,用户权利响应,与第三方共享等一系列有关隐私信息的行为。
知识图谱:把复杂的知识领域通过数据挖掘、信息处理、知识计量和图形绘制而显示出来,揭示知识领域的动态发展规律,为学科研究提供切实的、有价值的参考。
为了更好的对个人隐私进行保护,政府出台了一系列规定或要求,罗列了各种类型的App能够采集的个人隐私信息范围。此外,依据国家规定,App在发布时,需要配上文字版的隐私声明,声明中应列出企业宣称采集和不采集的各种隐私数据信息,包括不限于个人位置信息,个人生物信息等。然而,在App真实的代码实现中,可能会采集超过隐私申明内容的之外的信息。通常情况下,违规收集用户信息的App会出现隐私申明和代码实现不匹配的情况,或是超出国家许可的采集范围。
为了帮助企业规避合规风险性,帮助监管单位对非法App进行整治,需要同时对App代码以及隐私声明进行解析,然后将两者解析结果与国家规定进行比较,从而判定App是否合规。
隐私信息通常比较具体,隐私信息类别相对于隐私信息范围更广,通常地,一个隐私信息类别对应有多个隐私信息。表一为本说明书实施例提供的隐私信息与隐私信息类别的对应关系表。
表一:隐私信息与隐私信息类别的对应关系表
Figure BDA0003347531620000061
Figure BDA0003347531620000071
需要说明的是,本说明书中除了提取隐私声明文本中的隐私信息之外,还可以提取隐私声明文本中的隐私声明合规信息,上述隐私声明合规信息为法律法规中规定的隐私声明文本中应当声明的信息,例如,隐私信息存储期限等,根据上述隐私声明合规信息可以判断隐私声明文本是否合规。
图2示出根据一个实施例的应用程序的合规性判别方法流程图,该方法可以基于图1所示的实施场景。如图2所示,该实施例中应用程序的合规性判别方法包括以下步骤:步骤21,获取知识图谱形式的合规知识库,所述合规知识库根据与应用程序隐私合规相关的多部法律法规的解析结果而构建,其中包含多个实体、实体之间的关系;所述多个实体分别对应于法律法规、法条或合规要点;步骤22,获取目标应用程序的代码分析结果,所述代码分析结果指示出所述目标应用程序实际采集的隐私信息类别构成的第一类别集合,以及针对隐私信息的使用情况信息;步骤23,获取所述目标应用程序的隐私声明文本声明采集的隐私信息类别构成的第二类别集合,以及包含的隐私声明合规信息的声明信息类别;步骤24,基于所述第一类别集合、所述使用情况信息、所述第二类别集合和所述声明信息类别,判断所述目标应用程序是否符合所述合规知识库中的各个合规要点,根据判断结果,确定所述目标应用程序的合规检测结果。下面描述以上各个步骤的具体执行方式。
步骤21,获取知识图谱形式的合规知识库,所述合规知识库根据与应用程序隐私合规相关的多部法律法规的解析结果而构建,其中包含多个实体、实体之间的关系;所述多个实体分别对应于法律法规、法条或合规要点。可以理解的是,对于法律法规的解析可以但不限于包括解析出该法律法规包含的法条,法条包含的合规要点。
知识图谱本质上是语义网络的知识库,从实际应用的角度出发,知识图谱可以简单理解成多关系的属性图。
图3示出根据一个实施例的知识图谱示意图。参照图3,在知识图谱里,通常用“实体”来表达图里的节点、用“关系”来表达图里的“边”。实体指的是现实世界中的事物比如人、地名、概念、药物、公司等,关系则用来表达不同实体之间的某种联系,比如人“居住在”北京、张三和李四是“朋友”、逻辑回归是深度学习的“先导知识”等等。同时在现实世界中,实体和关系也会拥有各自的属性,例如,李明和李飞是父子关系,并且李明拥有一个138开头的电话号,这个电话号开通时间是2018年,其中2018年就可以作为关系的属性。类似的,李明本人也带有一些属性值比如年龄为45岁、职位是总经理等。
知识图谱主要有两种存储方式:一种是基于资源描述框架(resourcedescription framework,RDF)的存储;另一种是基于图数据库的存储。图4示出根据一个实施例的不同存储方式的区别示意图。参照图4,RDF一个重要的设计原则是数据的易发布以及共享,图数据库则把重点放在了高效的图查询和搜索上。其次,RDF以三元组的方式来存储数据而且不包含属性信息,但图数据库一般以属性图为基本的表示形式,所以实体和关系可以包含属性,这就意味着更容易表达现实的业务场景。
本说明书实施例,构建了知识图谱形式的合规知识库,其中的实体和关系均具有特定的含义。
在一个示例中,所述多个实体包括,对应于法律法规的第一类实体,对应于法条的第二类实体,对应于合规要点的第三类实体;所述实体之间的关系,包括第一类实体与第二类实体之间的第一类关系,以及,第二类实体与第三类实体之间的第二类关系。
进一步地,所述合规知识库的存储方式为图数据库;所述图数据库中存储了所述实体对应的属性。
图形数据库是一种非关系型数据库,它应用图形理论存储实体之间的关系信息。最常见例子就是社会网络中人与人之间的关系。关系型数据库用于存储“关系型”数据的效果并不好,其查询复杂、缓慢、超出预期,而图形数据库的独特设计恰恰弥补了这个缺陷。
进一步地,合规要点对应的属性可以包括如下至少一种:详细情况、类别、子类别、合规建议;法律法规对应的属性可以包括如下至少一种:发布机构、类型、发布日期、生效日期、公示地址;法条对应的属性可以至少包括原文。
举例来说,某一合规要点的各项信息如下:
ID:A2-1;
名称:采集个人敏感信息时应符合业务必要性;
详细情况:涉及身份信息、人脸信息、生物信息及其他敏感信息采集时,需有必要的功能和业务场景;
类别:个人信息采集授权;
子类别:不得诱导采集用户身份信息;
合规建议:涉及身份信息、人脸信息、生物信息及其他敏感信息采集时,需有必要的功能和业务场景。不得通过积分、奖励、优惠等方式欺骗误导用户提供身份证号码以及个人生物特征信息。
图5示出根据一个实施例的合规知识库的整体框架示意图。参照图5,在构建合规知识库时,首先由法律专家对相关的法律法规进行解析,将其中包含的法条拆解为具体的合规要点;对解析结果进行整理,获得结构化的数据结构,并存储进图数据库。该合规知识库中的顶点(即节点)有三类,分别是法律法规、法条和合规要点,每个顶点具有各自的标识和属性信息,具体来说,对某一部法律法规需要有唯一指定的标识ID、法律法规的名称、发布机构、类型、发布日期、生效日期和公示地址;一部法律法规中往往有数十条的法条,这些法条在存储进结构化的图数据库时需要包括一个唯一指定的ID、法条名称、法条原文;一条法条可能会对应多个合规要点,同时一个合规要点往往可能在不同的法律法规中都有规定,对于一个具体的合规要点,在存储时需要有一个唯一指定的ID、合规要点名称、合规要点详情、合规要点所属类别、所属子类别以及对应的合规建议。该合规知识库中的边有两类,分别是“法律法规-法条”和“法条-合规要点”,前者的标识需要包括法律法规的ID和法条的ID,后者的标识需要包括法条的ID和合规要点的ID。
图6示出根据一个实施例的合规知识库的可视化展示示意图。参照图6,可以看到一部法律法规可以对应多部法条,一条法条可以对应多个合规要点,一个合规要点可以来源于多个法条,即法律法规与法条之间可以是一对多的关系,法条与合规要点之间可以是多对多的关系。通过这一可视化的展示,可以较快发现“法律法规A”和“法律法规B”都要求了“合规要点1”中的内容,即发现法律法规之间的联系,有助于发现监管机构对隐私合规的侧重点。
然后在步骤22,获取目标应用程序的代码分析结果,所述代码分析结果指示出所述目标应用程序实际采集的隐私信息类别构成的第一类别集合,以及针对隐私信息的使用情况信息。可以理解的是,第一类别集合中可以包括一个或多个隐私信息类别。
例如,第一类别集合仅包括前述表一中的个人基本资料对应的隐私信息类别;或者,第一类别集合包括前述表一中的个人基本资料对应的隐私信息类别,还包括前述表一中的个人生物识别信息对应的隐私信息类别。
可以理解的是,上述使用情况信息可以但不限于包括App采集隐私信息后如何处理、分享,还包括第三方的使用。
接着在步骤23,获取所述目标应用程序的隐私声明文本声明采集的隐私信息类别构成的第二类别集合,以及包含的隐私声明合规信息的声明信息类别。可以理解的是,第二类别集合可能与第一类别集合一致,即第二类别集合与第一类别集合包含的隐私信息类别完全相同;或者,第二类别集合可能与第一类别集合不一致,可能的情况是第二类别集合中包含的隐私信息类别少于第一类别集合包含的隐私信息类别。
例如,第一类别集合由隐私信息类别1和隐私信息类别2构成,第二类别集合仅包含隐私信息类别1,则二者不一致。
应用程序在发布时,需要配上文字版的隐私声明,也就是隐私声明文本,其中应列出企业宣称采集的各种隐私信息,包括但不限于个人位置信息、个人生物信息等。
本说明书实施例,在对隐私声明文本进行解析时,还需要解析出若干个预设种类的隐私声明合规信息,所述若干个预设种类的隐私声明合规信息包括以下至少一种:
隐私信息存储期限、隐私信息超期处理方式、隐私信息存放地域、申诉和反馈渠道、应用程序运营者基本情况、隐私信息保护负责人联系方式。
可以理解的是,法律法规中除了对应用程序采集的隐私信息作出规定之外,还可以对隐私声明文本中包括的上述隐私声明合规信息作出规定,例如,法律法规中规定隐私声明文本中应当包括上述至少一种隐私声明合规信息。表二为本说明书实施例提供的隐私声明合规信息与声明信息类别的对应关系表。
表二:隐私声明合规信息与声明信息类别的对应关系表
Figure BDA0003347531620000101
可以理解的是,通常的隐私信息类别包括表一中所列举的个人基本资料、个人身份信息等具体隐私信息对应的隐私类别,本说明书实施例,在此基础上还可以解析出包括隐私信息存储期限、隐私信息超期处理方式等隐私声明合规信息对应的声明信息类别,从而提升了对隐私声明文本解析的全面性,便于后续依据解析结果进行合规性检查的全面性。
最后在步骤24,基于所述第一类别集合、所述使用情况信息、所述第二类别集合和所述声明信息类别,判断所述目标应用程序是否符合所述合规知识库中的各个合规要点,根据判断结果,确定所述目标应用程序的合规检测结果。可以理解的是,上述合规检测结果可以包括确定所述目标应用程序是否合规,进一步,还可以包括生成相应的合规报告。
本说明书实施例,每个合规要点都有对应的自动化的检测逻辑,例如,检测隐私声明文本中是否有声明隐私政策更新时间,就会有单独的模型对隐私声明文本进行解析,以及基于解析结果判断应用程序是否符合相应的合规要点。
在一个示例中,在对隐私声明文本进行解析时,还需要解析出若干个预设种类的隐私声明合规信息,所述判断所述目标应用程序是否符合所述合规知识库中的各个合规要点,包括:
确定所述隐私声明文本声明的隐私合规信息的声明信息类别构成的第三类别集合;
当所述第三类别集合与法律法规中规定的第四类别集合相一致时,确定所述隐私声明文本符合合规要点,所述第四类别集合为合规要点指示的所述隐私声明文本应当包含的隐私合规信息的声明信息类别构成的。
进一步地,所述根据判断结果,确定所述目标应用程序的合规检测结果,包括:
当判断结果示出所述目标应用程序不符合所述合规知识库中的任一合规要点时,确定所述目标应用程序不合规;
根据所述合规知识库中的该合规要点对应的实体及其关联关系,生成所述目标应用程序的合规报告。
进一步地,所述根据所述合规知识库中的该合规要点对应的实体及其关联关系,生成所述目标应用程序的合规报告,包括:
在所述合规知识库中,查找与该合规要点对应的实体具有第二类关系的法条,以及与查找到的法条对应的实体具有第一类关系的法律法规,根据该合规要点、查找到的法条和法律法规,生成所述目标应用程序的合规报告。
进一步地,所述合规知识库的存储方式为图数据库;所述图数据库中存储了所述实体对应的属性;
所述根据该合规要点、查找到的法条和法律法规,生成所述目标应用程序的合规报告,包括:
根据所述图数据库中存储的该合规要点的属性、查找到的法条的属性和法律法规的属性,生成所述目标应用程序的合规报告。
在一种可能的实施方式中,所述判断所述目标应用程序是否符合所述合规知识库中的各个合规要点之前,所述方法还包括:
确定所述第一类别集合与所述第二类别集合一致。
进一步地,所述方法还包括:
当所述多部法律法规中的第一法律法规失效时,对所述合规知识库进行第一更新,所述第一更新包括:
在所述合规知识库中删除所述第一法律法规对应的第一类实体、与所述第一法律法规具有关联关系的第一法条对应的第二类实体、所述第一法律法规与第一法条之间的第一类关系、所述第一法条与合规要点之间的第二类关系,删除不具有任何关联关系的合规要点。
本说明书实施例,在初步建立完成知识图谱形式的合规知识库后,结构化的存储在图数据库中的知识图谱,便于后续的维护。
图7示出根据一个实施例的更新合规知识库的示意图。参照图7,在该合规知识库中,实体具体为节点,关系具体为连接边,当法律法规A失效时,可以将法律法规A对应的节点、与其连接的边“法律法规-法条”、该边连接的法条对应的节点以及该法条连接的边“法条-合规要点”全部删去,此时有独立的合规要点3,其不与任何法条对应的节点连接,也可删去。
进一步地,所述方法还包括:
当新增所述多部法律法规之外的第二法律法规时,获取所述第二法律法规的解析结果,并对所述合规知识库进行第二更新,所述第二更新包括:
根据该解析结果,在所述合规知识库中增加所述第二法律法规对应的第一类实体、与所述第二法律法规具有关联关系的第二法条对应的第二类实体,以及增加所述第二法律法规与第二法条之间的第一类关系;
对于解析所述第二法律法规得到的合规要点,判断其是否已经存在于合规知识库中;
若判断出其已经存在于合规知识库中,则在所述合规知识库中增加第二法条与合规要点之间的第二类关系;
若判断出其不存在于合规知识库中,则在所述合规知识库中增加合规要点对应的第三类实体,以及增加第二法条与合规要点之间的第二类关系。
可以理解的是,对于结构化的存储在图数据库中的知识图谱,如果有法律法规B新增,则在知识图谱中先新增法律法规B对应的节点、法律法规B包含的法条对应的节点、二者之间的连接边“法律法规-法条”,对于其中包括的合规要点,如果现有知识库中已经存在,可以直接创建连接边“法条-合规要点”;如果不存在,则新建合规要点和对应的连接边“法条-合规要点”。法律法规的修改过程可以视为删除原版法律法规、新增新版法律法规。
本说明书实施例,在建立合规知识库后,智能合规引擎可以根据App代码解析结果和隐私协议解析结果,对知识库中的合规要点逐一进行检测。当发现App有违规行为时,获取对应的合规建议以及该合规要点对应的法条、法律法规信息,产出完整的合规报告。相比人工生成合规报告,本说明书实施例能够实现智能的合规决策,高效地自动化生成合规报告,显著降低合规成本。
通过本说明书实施例提供的方法,首先获取知识图谱形式的合规知识库,所述合规知识库根据与应用程序隐私合规相关的多部法律法规的解析结果而构建,其中包含多个实体、实体之间的关系;所述多个实体分别对应于法律法规、法条或合规要点;然后获取目标应用程序的代码分析结果,所述代码分析结果指示出所述目标应用程序实际采集的隐私信息类别构成的第一类别集合,以及针对隐私信息的使用情况信息;接着获取所述目标应用程序的隐私声明文本声明采集的隐私信息类别构成的第二类别集合,以及包含的隐私声明合规信息的声明信息类别;最后基于所述第一类别集合、所述使用情况信息、所述第二类别集合和所述声明信息类别,判断所述目标应用程序是否符合所述合规知识库中的各个合规要点,根据判断结果,确定所述目标应用程序的合规检测结果。由上可见,本说明书实施例,利用对法律法规的解析结果,建立全面、专业的合规知识库,通过知识图谱相关技术,实现智能的合规决策,能够高效的判别出应用程序是否合规。
根据另一方面的实施例,还提供一种应用程序的合规性判别装置,该装置用于执行本说明书实施例提供的应用程序的合规性判别方法。图8示出根据一个实施例的应用程序的合规性判别装置的示意性框图。如图8所示,该装置800包括:
第一获取单元81,用于获取知识图谱形式的合规知识库,所述合规知识库根据与应用程序隐私合规相关的多部法律法规的解析结果而构建,其中包含多个实体、实体之间的关系;所述多个实体分别对应于法律法规、法条或合规要点;
第二获取单元82,用于获取目标应用程序的代码分析结果,所述代码分析结果指示出所述目标应用程序实际采集的隐私信息类别构成的第一类别集合,以及针对隐私信息的使用情况信息;
第三获取单元83,用于获取所述目标应用程序的隐私声明文本声明采集的隐私信息类别构成的第二类别集合,以及包含的隐私声明合规信息的声明信息类别;
判别单元84,用于基于所述第二获取单元82获取的第一类别集合、所述使用情况信息、所述第三获取单元83获取的第二类别集合和所述声明信息类别,判断所述目标应用程序是否符合所述第一获取单元81获取的合规知识库中的各个合规要点,根据判断结果,确定所述目标应用程序的合规检测结果。
可选地,作为一个实施例,所述多个实体包括,对应于法律法规的第一类实体,对应于法条的第二类实体,对应于合规要点的第三类实体;所述实体之间的关系,包括第一类实体与第二类实体之间的第一类关系,以及,第二类实体与第三类实体之间的第二类关系。
进一步地,所述判别单元84包括:
确定子单元,用于当判断结果示出所述目标应用程序不符合所述合规知识库中的任一合规要点时,确定所述目标应用程序不合规;
生成子单元,用于根据所述合规知识库中的该合规要点对应的实体及其关联关系,生成所述目标应用程序的合规报告。
进一步地,所述生成子单元,具体用于在所述合规知识库中,查找与该合规要点对应的实体具有第二类关系的法条,以及与查找到的法条对应的实体具有第一类关系的法律法规,根据该合规要点、查找到的法条和法律法规,生成所述目标应用程序的合规报告。
进一步地,所述合规知识库的存储方式为图数据库;所述图数据库中存储了所述实体对应的属性;
所述生成子单元,具体用于根据所述图数据库中存储的该合规要点的属性、查找到的法条的属性和法律法规的属性,生成所述目标应用程序的合规报告。
进一步地,合规要点对应的属性包括如下至少一种:
详细情况、类别、子类别、合规建议。
进一步地,法律法规对应的属性包括如下至少一种:
发布机构、类型、发布日期、生效日期、公示地址。
进一步地,法条对应的属性至少包括原文。
可选地,作为一个实施例,所述装置还包括:
确定单元,用于在所述判别单元84判断所述目标应用程序是否符合所述合规知识库中的各个合规要点之前,确定所述第一类别集合与所述第二类别集合一致。
进一步地,所述装置还包括:
第一更新单元,用于当所述多部法律法规中的第一法律法规失效时,对所述合规知识库进行第一更新,所述第一更新包括:
在所述合规知识库中删除所述第一法律法规对应的第一类实体、与所述第一法律法规具有关联关系的第一法条对应的第二类实体、所述第一法律法规与第一法条之间的第一类关系、所述第一法条与合规要点之间的第二类关系,删除不具有任何关联关系的合规要点。
进一步地,所述装置还包括:
第二更新单元,用于当新增所述多部法律法规之外的第二法律法规时,获取所述第二法律法规的解析结果,并对所述合规知识库进行第二更新,所述第二更新包括:
根据该解析结果,在所述合规知识库中增加所述第二法律法规对应的第一类实体、与所述第二法律法规具有关联关系的第二法条对应的第二类实体,以及增加所述第二法律法规与第二法条之间的第一类关系;
对于解析所述第二法律法规得到的合规要点,判断其是否已经存在于合规知识库中;
若判断出其已经存在于合规知识库中,则在所述合规知识库中增加第二法条与合规要点之间的第二类关系;
若判断出其不存在于合规知识库中,则在所述合规知识库中增加合规要点对应的第三类实体,以及增加第二法条与合规要点之间的第二类关系。
通过本说明书实施例提供的装置,首先第一获取单元81获取知识图谱形式的合规知识库,所述合规知识库根据与应用程序隐私合规相关的多部法律法规的解析结果而构建,其中包含多个实体、实体之间的关系;所述多个实体分别对应于法律法规、法条或合规要点;然后第二获取单元82获取目标应用程序的代码分析结果,所述代码分析结果指示出所述目标应用程序实际采集的隐私信息类别构成的第一类别集合,以及针对隐私信息的使用情况信息;接着第三获取单元83获取所述目标应用程序的隐私声明文本声明采集的隐私信息类别构成的第二类别集合,以及包含的隐私声明合规信息的声明信息类别;最后判别单元84基于所述第一类别集合、所述使用情况信息、所述第二类别集合和所述声明信息类别,判断所述目标应用程序是否符合所述合规知识库中的各个合规要点,根据判断结果,确定所述目标应用程序的合规检测结果。由上可见,本说明书实施例,利用对法律法规的解析结果,建立全面、专业的合规知识库,通过知识图谱相关技术,实现智能的合规决策,能够高效的判别出应用程序是否合规。
根据另一方面的实施例,还提供一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行结合图2所描述的方法。
根据再一方面的实施例,还提供一种计算设备,包括存储器和处理器,所述存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现结合图2所描述的方法。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本发明所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时,可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的技术方案的基础之上,所做的任何修改、等同替换、改进等,均应包括在本发明的保护范围之内。

Claims (24)

1.一种应用程序的合规性判别方法,所述方法包括:
获取知识图谱形式的合规知识库,所述合规知识库根据与应用程序隐私合规相关的多部法律法规的解析结果而构建,其中包含多个实体、实体之间的关系;所述多个实体分别对应于法律法规、法条或合规要点;
获取目标应用程序的代码分析结果,所述代码分析结果指示出所述目标应用程序实际采集的隐私信息类别构成的第一类别集合,以及针对隐私信息的使用情况信息;
获取所述目标应用程序的隐私声明文本声明采集的隐私信息类别构成的第二类别集合,以及包含的隐私声明合规信息的声明信息类别;
基于所述第一类别集合、所述使用情况信息、所述第二类别集合和所述声明信息类别,判断所述目标应用程序是否符合所述合规知识库中的各个合规要点,根据判断结果,确定所述目标应用程序的合规检测结果。
2.如权利要求1所述的方法,其中,所述多个实体包括,对应于法律法规的第一类实体,对应于法条的第二类实体,对应于合规要点的第三类实体;所述实体之间的关系,包括第一类实体与第二类实体之间的第一类关系,以及,第二类实体与第三类实体之间的第二类关系。
3.如权利要求2所述的方法,其中,所述根据判断结果,确定所述目标应用程序的合规检测结果,包括:
当判断结果示出所述目标应用程序不符合所述合规知识库中的任一合规要点时,确定所述目标应用程序不合规;
根据所述合规知识库中的该合规要点对应的实体及其关联关系,生成所述目标应用程序的合规报告。
4.如权利要求3所述的方法,其中,所述根据所述合规知识库中的该合规要点对应的实体及其关联关系,生成所述目标应用程序的合规报告,包括:
在所述合规知识库中,查找与该合规要点对应的实体具有第二类关系的法条,以及与查找到的法条对应的实体具有第一类关系的法律法规,根据该合规要点、查找到的法条和法律法规,生成所述目标应用程序的合规报告。
5.如权利要求4所述的方法,其中,所述合规知识库的存储方式为图数据库;所述图数据库中存储了所述实体对应的属性;
所述根据该合规要点、查找到的法条和法律法规,生成所述目标应用程序的合规报告,包括:
根据所述图数据库中存储的该合规要点的属性、查找到的法条的属性和法律法规的属性,生成所述目标应用程序的合规报告。
6.如权利要求5所述的方法,其中,合规要点对应的属性包括如下至少一种:
详细情况、类别、子类别、合规建议。
7.如权利要求5所述的方法,其中,法律法规对应的属性包括如下至少一种:
发布机构、类型、发布日期、生效日期、公示地址。
8.如权利要求5所述的方法,其中,法条对应的属性至少包括原文。
9.如权利要求1所述的方法,其中,所述判断所述目标应用程序是否符合所述合规知识库中的各个合规要点之前,所述方法还包括:
确定所述第一类别集合与所述第二类别集合一致。
10.如权利要求2所述的方法,其中,所述方法还包括:
当所述多部法律法规中的第一法律法规失效时,对所述合规知识库进行第一更新,所述第一更新包括:
在所述合规知识库中删除所述第一法律法规对应的第一类实体、与所述第一法律法规具有关联关系的第一法条对应的第二类实体、所述第一法律法规与第一法条之间的第一类关系、所述第一法条与合规要点之间的第二类关系,删除不具有任何关联关系的合规要点。
11.如权利要求2所述的方法,其中,所述方法还包括:
当新增所述多部法律法规之外的第二法律法规时,获取所述第二法律法规的解析结果,并对所述合规知识库进行第二更新,所述第二更新包括:
根据该解析结果,在所述合规知识库中增加所述第二法律法规对应的第一类实体、与所述第二法律法规具有关联关系的第二法条对应的第二类实体,以及增加所述第二法律法规与第二法条之间的第一类关系;
对于解析所述第二法律法规得到的合规要点,判断其是否已经存在于合规知识库中;
若判断出其已经存在于合规知识库中,则在所述合规知识库中增加第二法条与合规要点之间的第二类关系;
若判断出其不存在于合规知识库中,则在所述合规知识库中增加合规要点对应的第三类实体,以及增加第二法条与合规要点之间的第二类关系。
12.一种应用程序的合规性判别装置,所述装置包括:
第一获取单元,用于获取知识图谱形式的合规知识库,所述合规知识库根据与应用程序隐私合规相关的多部法律法规的解析结果而构建,其中包含多个实体、实体之间的关系;所述多个实体分别对应于法律法规、法条或合规要点;
第二获取单元,用于获取目标应用程序的代码分析结果,所述代码分析结果指示出所述目标应用程序实际采集的隐私信息类别构成的第一类别集合,以及针对隐私信息的使用情况信息;
第三获取单元,用于获取所述目标应用程序的隐私声明文本声明采集的隐私信息类别构成的第二类别集合,以及包含的隐私声明合规信息的声明信息类别;
判别单元,用于基于所述第二获取单元获取的第一类别集合、所述使用情况信息、所述第三获取单元获取的第二类别集合和所述声明信息类别,判断所述目标应用程序是否符合所述第一获取单元获取的合规知识库中的各个合规要点,根据判断结果,确定所述目标应用程序的合规检测结果。
13.如权利要求12所述的装置,其中,所述多个实体包括,对应于法律法规的第一类实体,对应于法条的第二类实体,对应于合规要点的第三类实体;所述实体之间的关系,包括第一类实体与第二类实体之间的第一类关系,以及,第二类实体与第三类实体之间的第二类关系。
14.如权利要求13所述的装置,其中,所述判别单元包括:
确定子单元,用于当判断结果示出所述目标应用程序不符合所述合规知识库中的任一合规要点时,确定所述目标应用程序不合规;
生成子单元,用于根据所述合规知识库中的该合规要点对应的实体及其关联关系,生成所述目标应用程序的合规报告。
15.如权利要求14所述的装置,其中,所述生成子单元,具体用于在所述合规知识库中,查找与该合规要点对应的实体具有第二类关系的法条,以及与查找到的法条对应的实体具有第一类关系的法律法规,根据该合规要点、查找到的法条和法律法规,生成所述目标应用程序的合规报告。
16.如权利要求15所述的装置,其中,所述合规知识库的存储方式为图数据库;所述图数据库中存储了所述实体对应的属性;
所述生成子单元,具体用于根据所述图数据库中存储的该合规要点的属性、查找到的法条的属性和法律法规的属性,生成所述目标应用程序的合规报告。
17.如权利要求16所述的装置,其中,合规要点对应的属性包括如下至少一种:
详细情况、类别、子类别、合规建议。
18.如权利要求16所述的装置,其中,法律法规对应的属性包括如下至少一种:
发布机构、类型、发布日期、生效日期、公示地址。
19.如权利要求16所述的装置,其中,法条对应的属性至少包括原文。
20.如权利要求12所述的装置,其中,所述装置还包括:
确定单元,用于在所述判别单元判断所述目标应用程序是否符合所述合规知识库中的各个合规要点之前,确定所述第一类别集合与所述第二类别集合一致。
21.如权利要求13所述的装置,其中,所述装置还包括:
第一更新单元,用于当所述多部法律法规中的第一法律法规失效时,对所述合规知识库进行第一更新,所述第一更新包括:
在所述合规知识库中删除所述第一法律法规对应的第一类实体、与所述第一法律法规具有关联关系的第一法条对应的第二类实体、所述第一法律法规与第一法条之间的第一类关系、所述第一法条与合规要点之间的第二类关系,删除不具有任何关联关系的合规要点。
22.如权利要求13所述的装置,其中,所述装置还包括:
第二更新单元,用于当新增所述多部法律法规之外的第二法律法规时,获取所述第二法律法规的解析结果,并对所述合规知识库进行第二更新,所述第二更新包括:
根据该解析结果,在所述合规知识库中增加所述第二法律法规对应的第一类实体、与所述第二法律法规具有关联关系的第二法条对应的第二类实体,以及增加所述第二法律法规与第二法条之间的第一类关系;
对于解析所述第二法律法规得到的合规要点,判断其是否已经存在于合规知识库中;
若判断出其已经存在于合规知识库中,则在所述合规知识库中增加第二法条与合规要点之间的第二类关系;
若判断出其不存在于合规知识库中,则在所述合规知识库中增加合规要点对应的第三类实体,以及增加第二法条与合规要点之间的第二类关系。
23.一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行权利要求1-11中任一项的所述的方法。
24.一种计算设备,包括存储器和处理器,所述存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现权利要求1-11中任一项的所述的方法。
CN202111327731.3A 2021-11-10 2021-11-10 应用程序的合规性判别方法和装置 Pending CN114090076A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111327731.3A CN114090076A (zh) 2021-11-10 2021-11-10 应用程序的合规性判别方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111327731.3A CN114090076A (zh) 2021-11-10 2021-11-10 应用程序的合规性判别方法和装置

Publications (1)

Publication Number Publication Date
CN114090076A true CN114090076A (zh) 2022-02-25

Family

ID=80299638

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111327731.3A Pending CN114090076A (zh) 2021-11-10 2021-11-10 应用程序的合规性判别方法和装置

Country Status (1)

Country Link
CN (1) CN114090076A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114676432A (zh) * 2022-05-26 2022-06-28 河北兰科网络工程集团有限公司 一种app隐私合规性检查方法、终端和***

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114676432A (zh) * 2022-05-26 2022-06-28 河北兰科网络工程集团有限公司 一种app隐私合规性检查方法、终端和***

Similar Documents

Publication Publication Date Title
US11188657B2 (en) Method and system for managing electronic documents based on sensitivity of information
KR100877461B1 (ko) 실시간 데이터 웨어하우징
US20220100899A1 (en) Protecting sensitive data in documents
EP2562659A1 (en) Data mapping acceleration
US20110125746A1 (en) Dynamic machine assisted informatics
US20170262586A1 (en) Systems and methods for managing a master patient index including duplicate record detection
CN107273752B (zh) 基于词频统计和朴素贝叶斯融合模型的漏洞自动分类方法
CN112417492A (zh) 基于数据分类分级的服务提供方法
US11636078B2 (en) Personally identifiable information storage detection by searching a metadata source
CN111553137B (zh) 报告生成方法、装置、存储介质及计算机设备
WO2020190309A1 (en) Method and system for managing personal digital identifiers of a user in a plurality of data elements
CN110019542B (zh) 企业关系的生成、生成组织成员数据库及识别同名成员
CN109739992B (zh) 一种获取关联信息的方法及终端
Visengeriyeva et al. Anatomy of metadata for data curation
US20190294594A1 (en) Identity Data Enhancement
CN114090076A (zh) 应用程序的合规性判别方法和装置
CN113971207A (zh) 文档关联方法及装置、电子设备和存储介质
Borgs Optimal parameter choice for Bloom filter-based privacy-preserving record linkage
CN116541887B (zh) 一种大数据平台数据安全保护方法
CN110737677B (zh) 一种数据搜索***及方法
CN109636578A (zh) 信贷信息的风险检测方法、装置、设备及可读存储介质
CN115599345A (zh) 一种基于知识图谱的应用安全需求分析推荐方法
CN112365248B (zh) 一种分析数字货币交易路径的方法及***
CN113901075A (zh) 生成sql语句的方法、装置、计算机设备及存储介质
EP4006743A1 (en) Information search system

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination