移動互聯網應用程序(App)由于其便捷性、普惠性、及時性被民眾廣泛應用,在促進經濟社會發展、服務民生等方面發揮了重要的作用。但與此同時,App強制授權、過度索權、超范圍收集個人信息的現象普遍存在,個人信息泄露、濫用等情形時有發生,廣大網民對此反映強烈。為保障個人信息安全,維護廣大網民合法權益,我國從2017年開始對App收集使用個人信息的行為開展了專項評估、檢測工作。
為進一步規范App收集、使用用戶個人信息的行為,2023年,國家市場監管總局、中央網信辦聯合發布公告,開展App安全認證工作。此認證嚴格依據《移動互聯網應用程序(App)安全認證實施規則》(以下簡稱《實施規則》)開展認證活動,把好發證前的每道門檻。這是利用市場選擇機制引導App運營者規范個人信息收集、使用、轉讓等行為,真正提升其個人信息保護能力和水平的重要前提。
同時,作為中央網信辦、工信部、公安部、市場監管總局四部委組織的“App違法違規收集使用個人信息治理行動”重要組成部分,App安全認證相較于治理的背對背評估工作,可運用更多的技術手段對企業內部個人信息全生命周期的合規性做更全面的檢測審核。
App安全認證模式分析
與傳統的網絡安全產品不同,App安全檢測不僅關注App軟件本身,還要對它收集傳輸的數據做分析,且個人信息收集使用的合規性評定不僅依靠客觀檢測結果,還要結合經驗進行主觀判斷。為全面了解App收集使用個人信息的行為,創新傳統的網絡安全產品認證模式是必然要求。《實施規則》中指出App安全認證以GB/T 35273《信息安全技術個人信息安全規范》(以下簡稱《安全規范》)及相關標準、規范為依據,采用“技術驗證+現場審核+獲證后監督”的認證模式,其中技術驗證方式包括實驗室檢測和現場核查。現場核查和現場審核工作既有聯系又有區別,現場核查關注個人信息的傳輸、存儲、匿名化處理等App服務器后臺技術驗證,以及數據的共享、轉讓等后臺技術處理的核查驗證等,是實驗室檢測有效的補充手段,現場審核關注個人信息安全事件處置、個人信息安全工程、個人信息安全影響評估等管理類要求。認證模式中已包含現場審核部分,在技術驗證中又加入了現場核查的工作,足以看出進駐現場與企業面對面,對于App安全認證工作的重要性。
充分利用現場工作的手段保障App安全認證的有效性
結合App產品特點開展現場核查工作
App是一種通過分析、設計、編碼生成的特殊軟件,其存在形式具有產品的特性,相較于傳統網絡安全產品,App的分發渠道、版本迭代頻率、用戶感知程度完全不同。傳統網絡安全產品的工廠檢查主要關注產品的信息安全保證能力、質量保證能力和產品一致性。
為最大程度地保障投放市場的產品與送檢的型式試驗品的質量一致,需審查產品的版本管理,重點檢查是否為App的不同版本提供唯一的標識。由于App應用商店的多樣化,同時為滿足不同操作系統的配置要求,App運營者也會有不同版本,即使現場審查的版本、標識管理滿足要求,也不能確定檢測版本與投放市場的App在個人信息與合規性方面保持一致。
具體操作上,檢測機構會從任一家應用商店下載相應的App安裝包并對其進行檢測。一般而言,App收集個人信息行為主要發生在客戶端,做好技術檢測,嚴把信息入口,可以對App在收集個人信息時是否明示告知、一攬子強制收集等行為作出明確判斷。但由于App保護技術的發展,檢測中存在難以脫殼、數據加密、反調試運行等技術瓶頸,App技術檢測無法確認所有收集階段的個人信息收集問題,因此,現場審查是對技術檢測的有力補充和方法突破,如《安全規范》9.2對未征得個人信息主體授權同意進行的共享、轉讓個人信息去標識化的要求。去標識化是一種數據脫敏的方法,但其不能通過遠程技術檢測到,只能在運營現場,通過抽查運營者共享、轉讓個人信息流才能確認。
結合技術驗證結果開展現場核查工作
依據《安全規范》,App安全認證需對收集、使用、存儲、共享全生命周期個人信息相關的處理活動進行合規化審核,現場工作不僅需關注傳統的風險管理要求,同時,還要兼顧對App客戶端進行文本核查、功能試用、數據檢測后仍無法覆蓋的評估項,并且驗證技術驗證報告中不符合項或高危風險漏洞的整改情況、核查收集個人信息的合理性、補充完善技術驗證結果、評判App客戶端和服務端行為的一致性。
以上現場工作內容,在短短的幾天時間內完全覆蓋不可能也無必要。見微知著,我們可從細節著眼,衡量運營者是否存在形式化、敷衍審核的情況。如《安全規范》“5.5 a)1) 個人信息控制者的基本情況,包括主體身份、聯系方式”和“10.2 b) 5)個人信息保護負責人和個人信息保護工作機構的聯系方式”兩處都提到了個人信息控制聯系方式。《安全規范》5.5中是個人信息保護規則中披露的個人信息控制者的聯系方式,此聯系方式在對外發布的文件中予以明確,而10.2是在發生安全事件時個人信息控制者的聯系方式,此聯系方式應在內部應急預案等文檔中予以明確。理論而言,這兩處注明的聯系方式應為同一負責人或部門,如不同則反映企業在個人信息保護上存在內外“兩張皮”,不能完全滿足用戶個人信息權益的保障。這樣結合技術檢測結論的現場審查工作更能發現實質性問題。
結合監管重點開展現場核查工作
App收集個人信息存在的問題,反映了運營者在個人信息保護方面意識欠缺、管理機制缺乏、保護技術落后等問題。中央網信辦、工信部、公安部、國家市場監管總局2023年細化已有法律法規的要求,結合App典型違法違規行為,發布《App違法違規收集使用個人信息行為認定方法》(以下簡稱《認定方法》),對六大類31種典型行為進行定性。2023年11月,工信部針對測評規范和收集原則組織發布18項團體標準,并為其“App侵害用戶權益專項整治”工作提供依據和支撐。同時,地方網信部門、通信管理局、公安局也積極響應個人信息保護工作,對所屬轄區內的網絡運營者進行監督管理。監管部門依據《認定方法》對App收集使用個人信息行為進行認定,對存在的問題予以公開曝光通報。
相較于背對背評估工作,App安全認證著眼于App全生命周期收集、使用個人信息的行為,可以深入運營現場檢查核驗,因此更能發現問題。但由于各部委對行業要求有所區別,測評方法不盡相同,通過認證的被認為優秀個人信息保護實踐者有可能在某些點存在不符合的現象,因而被公開通報,大大影響了App安全認證的公信力。因此,擴展評估依據的要求并將之納入核查重點,從細節處著手現場工作尤為重要,有必要在標準符合性驗證的基礎上突出重點評估項,實現一次認證經得起多方檢測評估,如《認定方法》中“未明示收集使用個人信息的目的、方式和范圍:未逐一列出App(包括委托的第三方或嵌入的第三方代碼、插件)”規定,實質是對App中不為用戶所感知的可以收集個人信息的第三方予以告知,是對《網絡安全法》中明示告知義務的響應。此點是監管的重點,也是曝光通報的熱點問題。
在新修訂的2020版《安全規范》增加的9.7章節“第三方接入管理”中要求更具體更全面。9.7要求運營者對所有第三方履行管理機制、合同約束、保存記錄、監督管理、行為審計等工作,如僅就文檔機制進行審核,無疑在第三方接入管理中將App前后端割裂開了,會遺漏對實際引入的第三方管理。因此,在這些重要的評估項上,應進一步確認App中嵌入的第三方是否都納入了管控范圍,是否告知用戶其收集使用個人信息的類型、范圍和目的。
做好現場核查工作的幾點建議
經過一年半的試點工作,2023年9月,云閃付、百度地圖等18款App在多次整改完善后頒發證書,這些App先行先試,為大量App的個人信息保護提供了可借鑒的模式。同時隨著App收集個人信息更深層次、本質性問題的凸顯,對法律法規的細化解讀,勢必對App安全認證工作提出更高的要求。由于技術驗證的瓶頸問題短時間無法解決,可以預見,現場核查工作將承擔更多更復雜的任務。
從國際范圍來看,個人信息保護立法工作日趨完善,但相關的檢測認證工作尚處于起步階段。由于法律法規等頂層設計文件對于運營者而言不具備指導性,相關的細化支撐文檔還未完善,因此現場核查工作既是實施認證的關鍵環節,也是宣貫解讀政策標準的恰好時機。運營者通過有效交流,完成整改,在企業內部逐步建立起有效的個人信息保護運行體系,提升了企業個人信息保護能力,對App持續滿足認證要求意義重大。
個人信息保護之路任重道遠,在多方聯手形成協同共治局面的過程中,認證工作扮演著重要角色,做好現場核查工作,提升證書的權威性和含金量,可以從以下方面著手:
做好準備工作。包括簡單試用App功能、通讀其個人信息保護規則,跟蹤了解監管部門發布的政策法規及相關標準規范、國際個人信息保護的動向和大事件。做好充足的知識儲備,充分了解產品的特性,預判存在的問題,以國際視野,指導企業深刻認識本質問題。
做好銜接工作。包括熟悉、分析技術檢測結果、自評價結果和相關證明文檔、不同發布渠道的版本差異性說明及App版本控制說明。做好與前階段各工作的銜接,現場核驗、補充、完善相關結論,帶著問題做現場核查,有重點地檢查疑似不合規處,在薄弱點、疏漏點下功夫,往往會事半功倍。
做好反饋工作。包括將找到的新問題、發現的新方法、個人信息使用的不同形式等反饋至檢測認證機構、技術小組和方法庫。這種知識體系的循環往復,不僅是后續培訓、研討素材來源,還可加深評審人員對個人信息關鍵問題的理解。通過研討,達成一致意見,又將為修訂體系文件、評價準則提供可靠的輸入源。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
