移動互聯(lián)網(wǎng)應(yīng)用程序(App)由于其便捷性、普惠性、及時性被民眾廣泛應(yīng)用,在促進(jìn)經(jīng)濟(jì)社會發(fā)展、服務(wù)民生等方面發(fā)揮了重要的作用。但與此同時,App強(qiáng)制授權(quán)、過度索權(quán)、超范圍收集個人信息的現(xiàn)象普遍存在,個人信息泄露、濫用等情形時有發(fā)生,廣大網(wǎng)民對此反映強(qiáng)烈。為保障個人信息安全,維護(hù)廣大網(wǎng)民合法權(quán)益,我國從2017年開始對App收集使用個人信息的行為開展了專項評估、檢測工作。
為進(jìn)一步規(guī)范App收集、使用用戶個人信息的行為,2023年,國家市場監(jiān)管總局、中央網(wǎng)信辦聯(lián)合發(fā)布公告,開展App安全認(rèn)證工作。此認(rèn)證嚴(yán)格依據(jù)《移動互聯(lián)網(wǎng)應(yīng)用程序(App)安全認(rèn)證實施規(guī)則》(以下簡稱《實施規(guī)則》)開展認(rèn)證活動,把好發(fā)證前的每道門檻。這是利用市場選擇機(jī)制引導(dǎo)App運營者規(guī)范個人信息收集、使用、轉(zhuǎn)讓等行為,真正提升其個人信息保護(hù)能力和水平的重要前提。
同時,作為中央網(wǎng)信辦、工信部、公安部、市場監(jiān)管總局四部委組織的“App違法違規(guī)收集使用個人信息治理行動”重要組成部分,App安全認(rèn)證相較于治理的背對背評估工作,可運用更多的技術(shù)手段對企業(yè)內(nèi)部個人信息全生命周期的合規(guī)性做更全面的檢測審核。
App安全認(rèn)證模式分析
與傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品不同,App安全檢測不僅關(guān)注App軟件本身,還要對它收集傳輸?shù)臄?shù)據(jù)做分析,且個人信息收集使用的合規(guī)性評定不僅依靠客觀檢測結(jié)果,還要結(jié)合經(jīng)驗進(jìn)行主觀判斷。為全面了解App收集使用個人信息的行為,創(chuàng)新傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品認(rèn)證模式是必然要求。《實施規(guī)則》中指出App安全認(rèn)證以GB/T 35273《信息安全技術(shù)個人信息安全規(guī)范》(以下簡稱《安全規(guī)范》)及相關(guān)標(biāo)準(zhǔn)、規(guī)范為依據(jù),采用“技術(shù)驗證+現(xiàn)場審核+獲證后監(jiān)督”的認(rèn)證模式,其中技術(shù)驗證方式包括實驗室檢測和現(xiàn)場核查。現(xiàn)場核查和現(xiàn)場審核工作既有聯(lián)系又有區(qū)別,現(xiàn)場核查關(guān)注個人信息的傳輸、存儲、匿名化處理等App服務(wù)器后臺技術(shù)驗證,以及數(shù)據(jù)的共享、轉(zhuǎn)讓等后臺技術(shù)處理的核查驗證等,是實驗室檢測有效的補(bǔ)充手段,現(xiàn)場審核關(guān)注個人信息安全事件處置、個人信息安全工程、個人信息安全影響評估等管理類要求。認(rèn)證模式中已包含現(xiàn)場審核部分,在技術(shù)驗證中又加入了現(xiàn)場核查的工作,足以看出進(jìn)駐現(xiàn)場與企業(yè)面對面,對于App安全認(rèn)證工作的重要性。
充分利用現(xiàn)場工作的手段保障App安全認(rèn)證的有效性
結(jié)合App產(chǎn)品特點開展現(xiàn)場核查工作
App是一種通過分析、設(shè)計、編碼生成的特殊軟件,其存在形式具有產(chǎn)品的特性,相較于傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品,App的分發(fā)渠道、版本迭代頻率、用戶感知程度完全不同。傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品的工廠檢查主要關(guān)注產(chǎn)品的信息安全保證能力、質(zhì)量保證能力和產(chǎn)品一致性。
為最大程度地保障投放市場的產(chǎn)品與送檢的型式試驗品的質(zhì)量一致,需審查產(chǎn)品的版本管理,重點檢查是否為App的不同版本提供唯一的標(biāo)識。由于App應(yīng)用商店的多樣化,同時為滿足不同操作系統(tǒng)的配置要求,App運營者也會有不同版本,即使現(xiàn)場審查的版本、標(biāo)識管理滿足要求,也不能確定檢測版本與投放市場的App在個人信息與合規(guī)性方面保持一致。
具體操作上,檢測機(jī)構(gòu)會從任一家應(yīng)用商店下載相應(yīng)的App安裝包并對其進(jìn)行檢測。一般而言,App收集個人信息行為主要發(fā)生在客戶端,做好技術(shù)檢測,嚴(yán)把信息入口,可以對App在收集個人信息時是否明示告知、一攬子強(qiáng)制收集等行為作出明確判斷。但由于App保護(hù)技術(shù)的發(fā)展,檢測中存在難以脫殼、數(shù)據(jù)加密、反調(diào)試運行等技術(shù)瓶頸,App技術(shù)檢測無法確認(rèn)所有收集階段的個人信息收集問題,因此,現(xiàn)場審查是對技術(shù)檢測的有力補(bǔ)充和方法突破,如《安全規(guī)范》9.2對未征得個人信息主體授權(quán)同意進(jìn)行的共享、轉(zhuǎn)讓個人信息去標(biāo)識化的要求。去標(biāo)識化是一種數(shù)據(jù)脫敏的方法,但其不能通過遠(yuǎn)程技術(shù)檢測到,只能在運營現(xiàn)場,通過抽查運營者共享、轉(zhuǎn)讓個人信息流才能確認(rèn)。
結(jié)合技術(shù)驗證結(jié)果開展現(xiàn)場核查工作
依據(jù)《安全規(guī)范》,App安全認(rèn)證需對收集、使用、存儲、共享全生命周期個人信息相關(guān)的處理活動進(jìn)行合規(guī)化審核,現(xiàn)場工作不僅需關(guān)注傳統(tǒng)的風(fēng)險管理要求,同時,還要兼顧對App客戶端進(jìn)行文本核查、功能試用、數(shù)據(jù)檢測后仍無法覆蓋的評估項,并且驗證技術(shù)驗證報告中不符合項或高危風(fēng)險漏洞的整改情況、核查收集個人信息的合理性、補(bǔ)充完善技術(shù)驗證結(jié)果、評判App客戶端和服務(wù)端行為的一致性。
以上現(xiàn)場工作內(nèi)容,在短短的幾天時間內(nèi)完全覆蓋不可能也無必要。見微知著,我們可從細(xì)節(jié)著眼,衡量運營者是否存在形式化、敷衍審核的情況。如《安全規(guī)范》“5.5 a)1) 個人信息控制者的基本情況,包括主體身份、聯(lián)系方式”和“10.2 b) 5)個人信息保護(hù)負(fù)責(zé)人和個人信息保護(hù)工作機(jī)構(gòu)的聯(lián)系方式”兩處都提到了個人信息控制聯(lián)系方式。《安全規(guī)范》5.5中是個人信息保護(hù)規(guī)則中披露的個人信息控制者的聯(lián)系方式,此聯(lián)系方式在對外發(fā)布的文件中予以明確,而10.2是在發(fā)生安全事件時個人信息控制者的聯(lián)系方式,此聯(lián)系方式應(yīng)在內(nèi)部應(yīng)急預(yù)案等文檔中予以明確。理論而言,這兩處注明的聯(lián)系方式應(yīng)為同一負(fù)責(zé)人或部門,如不同則反映企業(yè)在個人信息保護(hù)上存在內(nèi)外“兩張皮”,不能完全滿足用戶個人信息權(quán)益的保障。這樣結(jié)合技術(shù)檢測結(jié)論的現(xiàn)場審查工作更能發(fā)現(xiàn)實質(zhì)性問題。
結(jié)合監(jiān)管重點開展現(xiàn)場核查工作
App收集個人信息存在的問題,反映了運營者在個人信息保護(hù)方面意識欠缺、管理機(jī)制缺乏、保護(hù)技術(shù)落后等問題。中央網(wǎng)信辦、工信部、公安部、國家市場監(jiān)管總局2023年細(xì)化已有法律法規(guī)的要求,結(jié)合App典型違法違規(guī)行為,發(fā)布《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》(以下簡稱《認(rèn)定方法》),對六大類31種典型行為進(jìn)行定性。2023年11月,工信部針對測評規(guī)范和收集原則組織發(fā)布18項團(tuán)體標(biāo)準(zhǔn),并為其“App侵害用戶權(quán)益專項整治”工作提供依據(jù)和支撐。同時,地方網(wǎng)信部門、通信管理局、公安局也積極響應(yīng)個人信息保護(hù)工作,對所屬轄區(qū)內(nèi)的網(wǎng)絡(luò)運營者進(jìn)行監(jiān)督管理。監(jiān)管部門依據(jù)《認(rèn)定方法》對App收集使用個人信息行為進(jìn)行認(rèn)定,對存在的問題予以公開曝光通報。
相較于背對背評估工作,App安全認(rèn)證著眼于App全生命周期收集、使用個人信息的行為,可以深入運營現(xiàn)場檢查核驗,因此更能發(fā)現(xiàn)問題。但由于各部委對行業(yè)要求有所區(qū)別,測評方法不盡相同,通過認(rèn)證的被認(rèn)為優(yōu)秀個人信息保護(hù)實踐者有可能在某些點存在不符合的現(xiàn)象,因而被公開通報,大大影響了App安全認(rèn)證的公信力。因此,擴(kuò)展評估依據(jù)的要求并將之納入核查重點,從細(xì)節(jié)處著手現(xiàn)場工作尤為重要,有必要在標(biāo)準(zhǔn)符合性驗證的基礎(chǔ)上突出重點評估項,實現(xiàn)一次認(rèn)證經(jīng)得起多方檢測評估,如《認(rèn)定方法》中“未明示收集使用個人信息的目的、方式和范圍:未逐一列出App(包括委托的第三方或嵌入的第三方代碼、插件)”規(guī)定,實質(zhì)是對App中不為用戶所感知的可以收集個人信息的第三方予以告知,是對《網(wǎng)絡(luò)安全法》中明示告知義務(wù)的響應(yīng)。此點是監(jiān)管的重點,也是曝光通報的熱點問題。
在新修訂的2020版《安全規(guī)范》增加的9.7章節(jié)“第三方接入管理”中要求更具體更全面。9.7要求運營者對所有第三方履行管理機(jī)制、合同約束、保存記錄、監(jiān)督管理、行為審計等工作,如僅就文檔機(jī)制進(jìn)行審核,無疑在第三方接入管理中將App前后端割裂開了,會遺漏對實際引入的第三方管理。因此,在這些重要的評估項上,應(yīng)進(jìn)一步確認(rèn)App中嵌入的第三方是否都納入了管控范圍,是否告知用戶其收集使用個人信息的類型、范圍和目的。
做好現(xiàn)場核查工作的幾點建議
經(jīng)過一年半的試點工作,2023年9月,云閃付、百度地圖等18款A(yù)pp在多次整改完善后頒發(fā)證書,這些App先行先試,為大量App的個人信息保護(hù)提供了可借鑒的模式。同時隨著App收集個人信息更深層次、本質(zhì)性問題的凸顯,對法律法規(guī)的細(xì)化解讀,勢必對App安全認(rèn)證工作提出更高的要求。由于技術(shù)驗證的瓶頸問題短時間無法解決,可以預(yù)見,現(xiàn)場核查工作將承擔(dān)更多更復(fù)雜的任務(wù)。
從國際范圍來看,個人信息保護(hù)立法工作日趨完善,但相關(guān)的檢測認(rèn)證工作尚處于起步階段。由于法律法規(guī)等頂層設(shè)計文件對于運營者而言不具備指導(dǎo)性,相關(guān)的細(xì)化支撐文檔還未完善,因此現(xiàn)場核查工作既是實施認(rèn)證的關(guān)鍵環(huán)節(jié),也是宣貫解讀政策標(biāo)準(zhǔn)的恰好時機(jī)。運營者通過有效交流,完成整改,在企業(yè)內(nèi)部逐步建立起有效的個人信息保護(hù)運行體系,提升了企業(yè)個人信息保護(hù)能力,對App持續(xù)滿足認(rèn)證要求意義重大。
個人信息保護(hù)之路任重道遠(yuǎn),在多方聯(lián)手形成協(xié)同共治局面的過程中,認(rèn)證工作扮演著重要角色,做好現(xiàn)場核查工作,提升證書的權(quán)威性和含金量,可以從以下方面著手:
做好準(zhǔn)備工作。包括簡單試用App功能、通讀其個人信息保護(hù)規(guī)則,跟蹤了解監(jiān)管部門發(fā)布的政策法規(guī)及相關(guān)標(biāo)準(zhǔn)規(guī)范、國際個人信息保護(hù)的動向和大事件。做好充足的知識儲備,充分了解產(chǎn)品的特性,預(yù)判存在的問題,以國際視野,指導(dǎo)企業(yè)深刻認(rèn)識本質(zhì)問題。
做好銜接工作。包括熟悉、分析技術(shù)檢測結(jié)果、自評價結(jié)果和相關(guān)證明文檔、不同發(fā)布渠道的版本差異性說明及App版本控制說明。做好與前階段各工作的銜接,現(xiàn)場核驗、補(bǔ)充、完善相關(guān)結(jié)論,帶著問題做現(xiàn)場核查,有重點地檢查疑似不合規(guī)處,在薄弱點、疏漏點下功夫,往往會事半功倍。
做好反饋工作。包括將找到的新問題、發(fā)現(xiàn)的新方法、個人信息使用的不同形式等反饋至檢測認(rèn)證機(jī)構(gòu)、技術(shù)小組和方法庫。這種知識體系的循環(huán)往復(fù),不僅是后續(xù)培訓(xùn)、研討素材來源,還可加深評審人員對個人信息關(guān)鍵問題的理解。通過研討,達(dá)成一致意見,又將為修訂體系文件、評價準(zhǔn)則提供可靠的輸入源。
中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢,檢驗檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計量校準(zhǔn)、知識產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認(rèn)證、計量、校準(zhǔn)機(jī)構(gòu),儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商,法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了,如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊,包括商標(biāo)注冊、食品檢測、第三方檢測機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息,中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī),咨詢輔導(dǎo)等知識。
本文內(nèi)容整合網(wǎng)站:百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會、質(zhì)量認(rèn)證中心
免責(zé)聲明:本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理,文章版權(quán)歸原作者所有。向原作者致敬!發(fā)布旨在積善利他,如涉及作品內(nèi)容、版權(quán)和其它問題,請跟我們聯(lián)系刪除并致歉!
