全國:010-56542716
天津:022-27810977
常見問題&知識園地
移動互聯(lián)網(wǎng)應(yīng)用程序(App)由于其便捷性、普惠性,、及時性被民眾廣泛應(yīng)用,,在促進(jìn)經(jīng)濟社會發(fā)展、服務(wù)民生等方面發(fā)揮了重要的作用,。但與此同時,,App強制授權(quán)、過度索權(quán),、超范圍收集個人信息的現(xiàn)象普遍存在,,個人信息泄露、濫用等情形時有發(fā)生,,廣大網(wǎng)民對此反映強烈,。為保障個人信息安全,維護廣大網(wǎng)民合法權(quán)益,,我國從2017年開始對App收集使用個人信息的行為開展了專項評估,、檢測工作,。
為進(jìn)一步規(guī)范App收集、使用用戶個人信息的行為,,2019年,,國家市場監(jiān)管總局、中央網(wǎng)信辦聯(lián)合發(fā)布公告,,開展App安全認(rèn)證工作,。此認(rèn)證嚴(yán)格依據(jù)《移動互聯(lián)網(wǎng)應(yīng)用程序(App)安全認(rèn)證實施規(guī)則》(以下簡稱《實施規(guī)則》)開展認(rèn)證活動,把好發(fā)證前的每道門檻,。這是利用市場選擇機制引導(dǎo)App運營者規(guī)范個人信息收集,、使用、轉(zhuǎn)讓等行為,,真正提升其個人信息保護能力和水平的重要前提,。
同時,作為中央網(wǎng)信辦,、工信部,、公安部、市場監(jiān)管總局四部委組織的“App違法違規(guī)收集使用個人信息治理行動”重要組成部分,,App安全認(rèn)證相較于治理的背對背評估工作,,可運用更多的技術(shù)手段對企業(yè)內(nèi)部個人信息全生命周期的合規(guī)性做更全面的檢測審核。
App安全認(rèn)證模式分析
與傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品不同,,App安全檢測不僅關(guān)注App軟件本身,,還要對它收集傳輸?shù)臄?shù)據(jù)做分析,且個人信息收集使用的合規(guī)性評定不僅依靠客觀檢測結(jié)果,,還要結(jié)合經(jīng)驗進(jìn)行主觀判斷,。為全面了解App收集使用個人信息的行為,創(chuàng)新傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品認(rèn)證模式是必然要求,?!秾嵤┮?guī)則》中指出App安全認(rèn)證以GB/T35273《信息安全技術(shù)個人信息安全規(guī)范》(以下簡稱《安全規(guī)范》)及相關(guān)標(biāo)準(zhǔn)、規(guī)范為依據(jù),,采用“技術(shù)驗證+現(xiàn)場審核+獲證后監(jiān)督”的認(rèn)證模式,,其中技術(shù)驗證方式包括實驗室檢測和現(xiàn)場核查。現(xiàn)場核查和現(xiàn)場審核工作既有聯(lián)系又有區(qū)別,,現(xiàn)場核查關(guān)注個人信息的傳輸,、存儲、匿名化處理等App服務(wù)器后臺技術(shù)驗證,,以及數(shù)據(jù)的共享,、轉(zhuǎn)讓等后臺技術(shù)處理的核查驗證等,是實驗室檢測有效的補充手段,,現(xiàn)場審核關(guān)注個人信息安全事件處置,、個人信息安全工程,、個人信息安全影響評估等管理類要求。認(rèn)證模式中已包含現(xiàn)場審核部分,,在技術(shù)驗證中又加入了現(xiàn)場核查的工作,,足以看出進(jìn)駐現(xiàn)場與企業(yè)面對面,對于App安全認(rèn)證工作的重要性,。
充分利用現(xiàn)場工作的手段保障App安全認(rèn)證的有效性
結(jié)合App產(chǎn)品特點開展現(xiàn)場核查工作
App是一種通過分析,、設(shè)計、編碼生成的特殊軟件,,其存在形式具有產(chǎn)品的特性,,相較于傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品,,App的分發(fā)渠道,、版本迭代頻率、用戶感知程度完全不同,。傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品的工廠檢查主要關(guān)注產(chǎn)品的信息安全保證能力,、質(zhì)量保證能力和產(chǎn)品一致性。
為最大程度地保障投放市場的產(chǎn)品與送檢的型式試驗品的質(zhì)量一致,,需審查產(chǎn)品的版本管理,,重點檢查是否為App的不同版本提供唯一的標(biāo)識。由于App應(yīng)用商店的多樣化,,同時為滿足不同操作系統(tǒng)的配置要求,,App運營者也會有不同版本,即使現(xiàn)場審查的版本,、標(biāo)識管理滿足要求,,也不能確定檢測版本與投放市場的App在個人信息與合規(guī)性方面保持一致。
具體操作上,,檢測機構(gòu)會從任一家應(yīng)用商店下載相應(yīng)的App安裝包并對其進(jìn)行檢測,。一般而言,App收集個人信息行為主要發(fā)生在客戶端,,做好技術(shù)檢測,,嚴(yán)把信息入口,可以對App在收集個人信息時是否明示告知,、一攬子強制收集等行為作出明確判斷,。但由于App保護技術(shù)的發(fā)展,檢測中存在難以脫殼,、數(shù)據(jù)加密,、反調(diào)試運行等技術(shù)瓶頸,App技術(shù)檢測無法確認(rèn)所有收集階段的個人信息收集問題,,因此,,現(xiàn)場審查是對技術(shù)檢測的有力補充和方法突破,,如《安全規(guī)范》9.2對未征得個人信息主體授權(quán)同意進(jìn)行的共享、轉(zhuǎn)讓個人信息去標(biāo)識化的要求,。去標(biāo)識化是一種數(shù)據(jù)脫敏的方法,,但其不能通過遠(yuǎn)程技術(shù)檢測到,只能在運營現(xiàn)場,,通過抽查運營者共享,、轉(zhuǎn)讓個人信息流才能確認(rèn)。
結(jié)合技術(shù)驗證結(jié)果開展現(xiàn)場核查工作
依據(jù)《安全規(guī)范》,,App安全認(rèn)證需對收集,、使用、存儲,、共享全生命周期個人信息相關(guān)的處理活動進(jìn)行合規(guī)化審核,,現(xiàn)場工作不僅需關(guān)注傳統(tǒng)的風(fēng)險管理要求,同時,,還要兼顧對App客戶端進(jìn)行文本核查,、功能試用、數(shù)據(jù)檢測后仍無法覆蓋的評估項,,并且驗證技術(shù)驗證報告中不符合項或高危風(fēng)險漏洞的整改情況,、核查收集個人信息的合理性、補充完善技術(shù)驗證結(jié)果,、評判App客戶端和服務(wù)端行為的一致性,。
以上現(xiàn)場工作內(nèi)容,在短短的幾天時間內(nèi)完全覆蓋不可能也無必要,。見微知著,,我們可從細(xì)節(jié)著眼,衡量運營者是否存在形式化,、敷衍審核的情況,。如《安全規(guī)范》“5.5a)1)個人信息控制者的基本情況,包括主體身份,、聯(lián)系方式”和“10.2b)?5)個人信息保護負(fù)責(zé)人和個人信息保護工作機構(gòu)的聯(lián)系方式”兩處都提到了個人信息控制聯(lián)系方式,。《安全規(guī)范》5.5中是個人信息保護規(guī)則中披露的個人信息控制者的聯(lián)系方式,,此聯(lián)系方式在對外發(fā)布的文件中予以明確,,而10.2是在發(fā)生安全事件時個人信息控制者的聯(lián)系方式,此聯(lián)系方式應(yīng)在內(nèi)部應(yīng)急預(yù)案等文檔中予以明確,。理論而言,,這兩處注明的聯(lián)系方式應(yīng)為同一負(fù)責(zé)人或部門,如不同則反映企業(yè)在個人信息保護上存在內(nèi)外“兩張皮”,不能完全滿足用戶個人信息權(quán)益的保障,。這樣結(jié)合技術(shù)檢測結(jié)論的現(xiàn)場審查工作更能發(fā)現(xiàn)實質(zhì)性問題,。
結(jié)合監(jiān)管重點開展現(xiàn)場核查工作
App收集個人信息存在的問題,反映了運營者在個人信息保護方面意識欠缺,、管理機制缺乏,、保護技術(shù)落后等問題。中央網(wǎng)信辦,、工信部,、公安部、國家市場監(jiān)管總局2019年細(xì)化已有法律法規(guī)的要求,,結(jié)合App典型違法違規(guī)行為,,發(fā)布《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》(以下簡稱《認(rèn)定方法》),對六大類31種典型行為進(jìn)行定性,。2020年11月,,工信部針對測評規(guī)范和收集原則組織發(fā)布18項團體標(biāo)準(zhǔn),并為其“App侵害用戶權(quán)益專項整治”工作提供依據(jù)和支撐,。同時,,地方網(wǎng)信部門、通信管理局,、公安局也積極響應(yīng)個人信息保護工作,對所屬轄區(qū)內(nèi)的網(wǎng)絡(luò)運營者進(jìn)行監(jiān)督管理,。監(jiān)管部門依據(jù)《認(rèn)定方法》對App收集使用個人信息行為進(jìn)行認(rèn)定,,對存在的問題予以公開曝光通報。
相較于背對背評估工作,,App安全認(rèn)證著眼于App全生命周期收集,、使用個人信息的行為,可以深入運營現(xiàn)場檢查核驗,,因此更能發(fā)現(xiàn)問題,。但由于各部委對行業(yè)要求有所區(qū)別,測評方法不盡相同,,通過認(rèn)證的被認(rèn)為優(yōu)秀個人信息保護實踐者有可能在某些點存在不符合的現(xiàn)象,,因而被公開通報,大大影響了App安全認(rèn)證的公信力,。因此,,擴展評估依據(jù)的要求并將之納入核查重點,從細(xì)節(jié)處著手現(xiàn)場工作尤為重要,,有必要在標(biāo)準(zhǔn)符合性驗證的基礎(chǔ)上突出重點評估項,,實現(xiàn)一次認(rèn)證經(jīng)得起多方檢測評估,如《認(rèn)定方法》中“未明示收集使用個人信息的目的、方式和范圍:未逐一列出App(包括委托的第三方或嵌入的第三方代碼,、插件)”規(guī)定,,實質(zhì)是對App中不為用戶所感知的可以收集個人信息的第三方予以告知,是對《網(wǎng)絡(luò)安全法》中明示告知義務(wù)的響應(yīng),。此點是監(jiān)管的重點,,也是曝光通報的熱點問題。
在新修訂的2020版《安全規(guī)范》增加的9.7章節(jié)“第三方接入管理”中要求更具體更全面,。9.7要求運營者對所有第三方履行管理機制,、合同約束、保存記錄,、監(jiān)督管理,、行為審計等工作,如僅就文檔機制進(jìn)行審核,,無疑在第三方接入管理中將App前后端割裂開了,,會遺漏對實際引入的第三方管理。因此,,在這些重要的評估項上,,應(yīng)進(jìn)一步確認(rèn)App中嵌入的第三方是否都納入了管控范圍,是否告知用戶其收集使用個人信息的類型,、范圍和目的,。
做好現(xiàn)場核查工作的幾點建議
經(jīng)過一年半的試點工作,2020年9月,,云閃付,、百度地圖等18款A(yù)pp在多次整改完善后頒發(fā)證書,這些App先行先試,,為大量App的個人信息保護提供了可借鑒的模式,。同時隨著App收集個人信息更深層次、本質(zhì)性問題的凸顯,,對法律法規(guī)的細(xì)化解讀,,勢必對App安全認(rèn)證工作提出更高的要求。由于技術(shù)驗證的瓶頸問題短時間無法解決,,可以預(yù)見,,現(xiàn)場核查工作將承擔(dān)更多更復(fù)雜的任務(wù)。
從國際范圍來看,,個人信息保護立法工作日趨完善,,但相關(guān)的檢測認(rèn)證工作尚處于起步階段。由于法律法規(guī)等頂層設(shè)計文件對于運營者而言不具備指導(dǎo)性,,相關(guān)的細(xì)化支撐文檔還未完善,,因此現(xiàn)場核查工作既是實施認(rèn)證的關(guān)鍵環(huán)節(jié),也是宣貫解讀政策標(biāo)準(zhǔn)的恰好時機。運營者通過有效交流,,完成整改,,在企業(yè)內(nèi)部逐步建立起有效的個人信息保護運行體系,提升了企業(yè)個人信息保護能力,,對App持續(xù)滿足認(rèn)證要求意義重大,。
個人信息保護之路任重道遠(yuǎn),在多方聯(lián)手形成協(xié)同共治局面的過程中,,認(rèn)證工作扮演著重要角色,,做好現(xiàn)場核查工作,提升證書的權(quán)威性和含金量,,可以從以下方面著手:
做好準(zhǔn)備工作,。包括簡單試用App功能、通讀其個人信息保護規(guī)則,,跟蹤了解監(jiān)管部門發(fā)布的政策法規(guī)及相關(guān)標(biāo)準(zhǔn)規(guī)范,、國際個人信息保護的動向和大事件。做好充足的知識儲備,,充分了解產(chǎn)品的特性,,預(yù)判存在的問題,以國際視野,,指導(dǎo)企業(yè)深刻認(rèn)識本質(zhì)問題,。
做好銜接工作。包括熟悉,、分析技術(shù)檢測結(jié)果,、自評價結(jié)果和相關(guān)證明文檔、不同發(fā)布渠道的版本差異性說明及App版本控制說明,。做好與前階段各工作的銜接,現(xiàn)場核驗,、補充,、完善相關(guān)結(jié)論,帶著問題做現(xiàn)場核查,,有重點地檢查疑似不合規(guī)處,,在薄弱點、疏漏點下功夫,,往往會事半功倍,。
做好反饋工作。包括將找到的新問題,、發(fā)現(xiàn)的新方法,、個人信息使用的不同形式等反饋至檢測認(rèn)證機構(gòu)、技術(shù)小組和方法庫。這種知識體系的循環(huán)往復(fù),,不僅是后續(xù)培訓(xùn),、研討素材來源,還可加深評審人員對個人信息關(guān)鍵問題的理解,。通過研討,,達(dá)成一致意見,又將為修訂體系文件,、評價準(zhǔn)則提供可靠的輸入源,。
關(guān)注卓越空間
關(guān)注卓越微博
關(guān)注卓越微信