业务讲堂
技术研究
最新文章
App违法违规收集使用个人信息合规评估,你了解多少?
作者:UGUARDSEC 发表日期:2021/05/25 来源:原创

一、背景

近年来,移动互联网得到迅速发展,移动互联网便捷、普惠的特点最大程度地在App上予以呈现,“微信”“淘宝”“百度地图”“支付宝”等App早已成为广大网民生活中的“必需品”,极大地便利和丰富了人们的生活。然而,伴随着App的繁荣发展,个人信息泄露、滥用、非法交易等问题开始凸显,App强制授权、过度索权、超范围收集个人信息的现象大量存在,广大网民对此反应强烈。遏制乱象、促进移动互联网健康发展,成为当下迫切的任务。

2019年1月25日,中央网信办、工业和信息化部、公安部、市场监管总局等四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》将对超千款App进行评估,规模空前,展现对乱象重拳治理的决心。其中第五条指出“开展App个人信息安全认证,鼓励App运营者自愿通过App个人信息安全认证,鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的App。”

2019年3月15日,市场监管总局、中央网信办发布关于开展App安全认证的公告。

2019年11月4日,工业和信息化部信息通信管理局召开整治工作启动会,(工信部信管函[2019]337号),开展信息通信领域APP侵害用户权益专项整治行动。此次专项整治行动面向APP服务提供者和APP分发服务提供者两类主体对象,重点整治违规收集用户个人信息、违规使用用户个人信息、不合理索取用户权限、为用户账号注销设置障碍等四个方面的8类突出问题。整治工作分为企业自查自纠、监督检查和结果处置三个阶段,时间为2个月。

2019年12月30日,国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、国家市场监督管理总局办公厅四部门联合印发了《App违法违规收集使用个人信息行为认定方法》,界定了App违法违规收集使用个人信息行为的六大类方法,并提出,征得用户同意前就开始收集个人信息或打开可收集个人信息的权限、实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围等行为可被认定为“未经用户同意收集使用个人信息”。

二、评估目标

用人员访谈、本地核查、渗透测试、自动化检测等方式对评估工作范围内的APP应用软件、隐私政策文本、各项业务功能及所收集的个人信息类型、个人信息处理规则及用户权益保障、不合理条款、收集使用个人信息的目的、方式、范围、必要性、授权行为、对用户权利保障的途径进行合规性评估,同时为后续合规性分析及综合合规分析提供参考数据。

三、评估内容

App违法违规收集使用个人信息合规评估,从安全管理和安全技术两大方面进行合规建设和整改服务,能够为客户解决一系列的合规安全问题,提升APP应用的整体安全防护能力,通过自身监管、行业基线、国家政策的信息系统安全合规的测评,使APP应用更加合规化。

1. 合规性识别

合规性识别是整个评估中最重要的一个环节。合规性识别可以以APP应用为核心,针对每一项需要保护的基本要求,识别可能不符的情况,并对合规性的符合程度进行评估;也可以从隐私政策文本、收集使用个人信息行为、对用户权利的保障等层次进行识别,然后与APP应用对应起来。合规性识别的依据是国家安全标准和安全规范的安全要求。


2. 合规性分析

在合规性识别的基础上,进一步分析被评估APP应用及其安全管理所存在的各方面合规性即基础安全措施、安全管理、技术合规性。并依据其合规性符合程度进行评判。从而为最后综合合规分析提供参考数据。

四、评估流程

合规评估服务主要分为四个阶段,包括评估准备阶段、评估实施阶段、评估分析阶段、评估验收阶段。这些阶段中前两个阶段没有严格的顺序关系,阶段工作可根据实际情况灵活处理。

实施过程及各阶段的任务如图所示:

五、做合规评估的必要性

(1)加强自身对违法违规收集使用个人信息行为的监管和处罚;

(2)App运营者根据法律法规要求,主动自查自纠,规范个人信息收集使用行为,切实提升个人信息保护水平;

(3)可以使App运营者符合监管要求,切实负起个人信息保护的责任,助力我国个人信息保护水平迈上新台阶;

(4)有利于通过App个人信息安全认证,APP应用在搜索引擎、应用商店等会明确标识并优先推荐通过认证。

六、客户收益

(1)技术性验证/检查安全隐患

合规评估有效的主动性防御手段,技术性验证目标APP应用的合规性,查找APP应用不符合规的隐患。

(2)合规、评估的基本要求

满足安全规范和法律的基本要求,如《网络安全法》、《个人信息安全规范》《消费者权益保护法》、《关于开展App违法违规收集使用个人信息专项治理的公告》等均要求进行合规性评估。

(3)单位形象/经济规避

可帮助单位因合规问题带来单位形象的损失和经济损失的风险,提高客户的操作安全性或满足业务合作伙伴的要求。最终的目标应该是最大限度地减小业务风险。

(4)安全教育与技能提升

合规评估的结果可作为内部安全意识的案例,在对相关的接口人员进行安全教育时使用。

一份专业的合规评估报告不但可为客户提供作为整改依据,更可作为常见合规标准的学习参考。



上一篇:关于APP个人信息安全和隐私合规评估,你想知道的都在这!
下一篇:APP移动应用安全加固是如何进行的?