个人信息合规体系介绍(隐私合规隐私检测)

2021/03/05 other 共 6589 字,约 19 分钟

关键词:APP违规违法收集使用个人信息、个人信息合规、隐私合规、隐私检测

背景

近年来,移动互联网应用程序(App)得到广泛应用,在促进经济社会发展、服务民生等方面发挥了不可替代的作用。同时,App强制授权、过度索权、超范围收集个人信息的现象大量存在,违法违规使用个人信息的问题十分突出,广大网民对此反应强烈。落实《网络安全法》《消费者权益保护法》的要求,为保障个人信息安全,维护广大网民合法权益,中央网信办、工业和信息化部、公安部、市场监管总局决定,自2019年1月至12月,在全国范围组织开展App违法违规收集使用个人信息专项治理。

–摘自中央网信办、工业和信息化部、公安部、市场监管总局《关于开展App违法违规收集使用个人信息专项治理的公告》

其实APP违规违法收集使用个人信息的问题早已被诟病很久了,有部分网民可能已经麻木了,早已习以为常了。然而「存在的就一定合理吗」?还是有广大网民能清醒地认识到这一点,大量的投诉举报,问题日益突出。所以此举措出台,是一件利国利民的好政策,希望各个企业能够拥抱政策,配合落实,还互联网一片清净。

政策文件、机构组织

可以参考这个指南:关于APP违法违规收集使用个人信息专项治理工作这有一份详尽的查询指南!

四部联合

四部委指:中央网信办、工信部、公安部、市场监管总局四部门。

《方法》提出,征得用户同意前就开始收集个人信息或打开可收集个人信息的权限、实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围等行为可被认定为“未经用户同意收集使用个人信息”。

App专项治理工作组

​ 为落实《公告》相关部署,受四部门委托,全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立App违法违规收集使用个人信息专项治理工作组(以下简称“App专项治理工作组”),具体推动App违法违规收集使用个人信息评估工作。

工信部

网信办

其他

谁在监管?

  • 全国各个领域:四部门:工信部、公安部、网信办、市场监管总局;
  • 行业领域:央行、证监会、教育部、交通部等各自行业也会监管;例如金融领域 BCTC(银行卡检测中心)、 CFCA(中国金融认证中心)

谁在通报?

为落实《公告》相关部署,受四部门委托,全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立App违法违规收集使用个人信息专项治理工作组(以下简称“App专项治理工作组”),具体推动App违法违规收集使用个人信息评估工作,并对结果进行发布和通报,此外,公安、工信部以及地方的通信管理局也会进行检测和通报。

一般通报后,监管要求在 10 天内完成整改。

历史通报

未来监管趋势

  1. 抓手变化
    1. 支撑机构
    2. 渠道(应用市场、搜索引擎、接入服务商、终端厂家)
    3. 认证(强制国推认证及非强制App安全认证)
  2. 范围变化
    1. App(安卓为主)
    2. 小程序等轻应用
    3. SDK
  3. 规则变化
    1. 从指南、指引到国标、行标、团标
    2. 不断细化
    3. 如何统一

如何自查自改

App开发者可以从移动应用的研发生命周期的各个阶段入手,在每个环节做好App的合规工作。覆盖到App研发到运营的各个阶段,覆盖大版本与小版本 。在自动化测试的基础,由隐私专家进行更深入测试,排查误报,提供专业的报告解读和应急处置。与个人信息监管机构保持合作,持续跟踪理解最新检测项,降低通报风险

  • 需求和设计
    • 需求/用户故事评审
    • 个人信息安全影响评估
  • 编码开发
    • 自动化合规测试(覆盖小版本)
    • 隐私政策更新与评审
  • 测试和发布
    • 发布前的全面合规测评(覆盖大版本)
    • 修复和整改支持
    • 团队评审和发布决定
  • 运营和运维
    • 现场合规检查支持
    • 针对监管通报问题的应急支持

企业自查自改的办法可以:

隐私政策协议参考

这些是公开的,不是什么机密,可以借鉴参考。

常见不合规参考

违规处理个人信息

主要是违规违法收集使用个人信息,主要问题有:

  • 隐私政策协议描述不清,或隐私政策协议不容易找到需要超过 3 步才能找到;隐私政策协议可以参考后面的章节。
  • 默认勾选同意隐私政策;
  • 超范围收集使用个人信息(或申请无关权限);
  • 权限申请在隐私政策协议之前;
  • 未经用户同意(提前)申请或者收集个人信息;
  • 三方SDK列表未单独明示
  • 申请敏感身份信息时未明确告知用户
  • 存在个推功能(就是利用个人信息进行大数据分析的用户画像),但隐私政策里未说明存在该功能,且没有关闭该功能的选项(或用户点击关闭后实际并没有关闭,界面欺骗)

这点个人感觉知乎APP做的很巧妙,同时也符合规范。通常情况下,大部分APP的合规做法是,首次运行APP会先弹框隐私协议,并留有一个统一的勾选框,用户勾选同意进入后,会再提示权限申请的弹框,用户同意后再申请安卓的权限(此时有权限申请弹框),综合下来步骤很多。知乎的做法是,把隐私政策弹框去掉,放在权限申请的弹框里(这样用户也可以不用超过3步就能点开查看具体的隐私政策协议),还提供了不同意并退出的选项(这个是可以的),同意继续后,再进入权限申请弹框,这一步骤用户依然是可以拒绝的(用户拒绝不能退出哦,否则就是不合规了)。

也就是整体效果感知上,就两个弹框步骤,规范上也能说得通,大家可以借鉴参考。

设置障碍 频繁骚扰用户

主要问题有:

  • APP强制、频繁、过度索取权限;
  • 不给权限不让用:申请某权限,用户拒绝后,应用退出,或无限弹窗申请,导致应用无法正常使用;
  • 个推功能不能关闭或关不掉;
  • 账号注销难,不能在App内部注销,需要去官网注销;
  • APP自启动或关联启动;

欺骗误导用户

主要问题有:

  • 欺骗误导掩饰用户提供个人信息及使用目的;
  • 欺骗误导用户下载APP;
  • 广告关闭选项找不到、关不掉;
  • APP中的广告,点击页面任意区域自动下载非用户所自愿下载APP;
  • 凡是广告设计不合理容易误导误点,直接打开跳到一切非用户本意的广告或下载其他APP的情况;

应用分发责任不到位

这一条款有点连坐,但是政策的设计非常到位,打个比方,一款热门的应用品牌影响力也很高,网民用户都很信赖,但是APP里提供广告或者提供第三方APP的下载,如果这些广告或者第三方APP有问题,很容易让用户受到伤害。所以这块的监管是必须的,也是合理的,主要问题是:

  • APP具有分发下载其他应用的功能,但未明示第三方APP的以下信息:APP的开发者信息、版本信息、权限列表及用途、收集使用个人信息的内容、目的、方式和范围等

工具检测

检测工具能够自动化准确识别工信部通报较多的违规问题,例如在用户同意隐私政策之前收集MAC地址、手机号等个人信息以及频繁收集个人信息等行为,协助客户高效定位并修复,达到按期完成整改的合规目标。

设备信息

可以重点检测如下几个设备信息的获取使用情况:

  • MAC地址
  • IMEI
  • IMSI
  • Android ID
  • IP地址
  • 基站信息
  • App安装列表、App运行列表

当然纯工具检测可以发现部分问题,但是还有些需要人工辅助配合才能完全准确地检测出来,因此,目前还是人工结合工具的方式进行检测。

关于权限

​ APP该使用哪些权限,这个在2021-03-22关于印发《常见类型移动互联网应用程序必要个人信息范围规定》的通知 App能提取哪些个人信息?国家明确了!里有提到,可以借鉴参考。

​ 权限的使用,不能太离谱,如果APP不是这个类型但是提供的某个模块有相关功能,需要申请对应地权限,也可以解释得合理。但是不能申请与功能完全不相干的权限,否则就是超范围。

​ 另外敏感权限的定义可以参考:《App申请安卓系统权限机制分析与建议V1.0》,内容不再贴了,主要是26个敏感权限需要注意下。

借助第三方解决方案

安全认证

参考:市场监管总局中央网信办关于开展App安全认证工作的公告-中共中央网络安全和信息化委员会办公室

2020国家网络安全宣传周,「App个人信息保护」主题发布活动个人信息保护主题日。

2020年9月20日:云闪付、苏宁易购、中国移动、百度地图等10家企业的18款App(移动互联网应用程序)在京获颁安全认证证书,标志着我国App安全认证工作正式开展。

认证价值

  • 帮助企业以合理方式进行优势竞争

    国家鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的APP,对于企业用户增长助益良多。

  • 佐证企业个人信息保护工作的合规性

    APP安全认证可以作为企业数据工作合规的佐证,帮助企业开展各项工作,极大减少被检查和通报的风险。

  • 助力企业获得市场宣传和竞争优势

    在企业的宣传中,我们可借认证证书和认证标志进行宣传,使产品APP与竟品有所区别。

3年内有效,监管背书。

认证依据

依据标准: GB/T35273-2020《信息安全技术个人信息安全规范》

  1. 范围
  2. 规范性引用文件
  3. 术语和定义
  4. 个人信息安全基本原则
  5. 个人信息的收集
  6. 个人信息的存储
  7. 个人信息的使用
  8. 个人信息主体的权利
  9. 个人信息的委托处理、共享、转让、公开披露
  10. 个人信息安全事件处置
  11. 组织的个人信息安全管理要求
  12. 附录:ABCD

其中5,6,7,8,9属于App安全测试范畴,10,11属于App安全认证现场审核。

参考依据:

  1. 《App违法违规收集使用个人信息行为认定方法》
  2. 《常见类型移动互联网应用程序必要个人信息范围规定》
  3. 《移动互联网应用程序(App)收集个人信息基本规范》(征求意见稿)等

实施规则:

  • 《移动互联网应用程序(App)安全认证实施规则》CNCA-App-001
  • 《移动互联网应用程序(App)安全认证实施细则》CCRC-APPS-2019

认证流程

  1. 前期阶段-准备认证申请书、自评表、不同发布渠道差异性声明以及符合妥全技术标准的证明文件。
  2. 认证阶段(不含整改时间,90个工作日)-通过技术验证和现场审核。
  3. 获证后阶段-接受日常监督和专项监督。
阶段工作角色
申请受理申请书、版本控制说明、自评估文件、渠道差异性说明申请方
技术验证实验室检测、现场验证技术检测机构
现场审核现场访谈、现场核实、现场检查认证机构
认证决定综合评价、认证批准、颁发证书认证机构
获证后监督日常监督、专项监督、自评价申请方&官方机构

总结

还有一个参考做法,就是要以人为本,以人民为本的思路。这个可能说的有点大了,但是App违规违法收集的这个政策来源就是因为网民苦这些问题久矣,投诉的很多。拿最近在整顿的开屏广告来说,App一打开就是开屏广告,是不是很扰民?很多中老年人根本找不到应用本身的入口,点开就是广告,容易误操作,给他们带来了很多的困扰。那这个就是以人为本,这次整顿很是大快人心。

参考

  • App专项治理工作组
  • 公号关注:APP个人信息保护治理 中国信息通信研究院 APP个人信息保护治理的工作动态、通知公告等相关信息发布。
  • 公号关注:App个人信息举报 中国网络空间安全协会 受理对违法违规收集使用个人信息的举报;发布对App隐私政策和个人信息收集情况的评估及处置结果。
  • 公号关注:12315 国家市场监督管理总局信息中心,可以投诉举报。

检测依据和标准

  • 工业和信息化部《关于开展纵深推进APP侵害用户权益专项整治行动的通知(工信部信管函〔2020〕164号)》
  • 《App违法违规收集使用个人信息行为认定方法
  • 《常见类型移动互联网应用程序必要个人信息范围规定
  • 《信息安全技术 个人信息安全规范》(GB/T 35273-2020)
  • 《移动互联网应用程序(App)收集使用个人信息自评估指南》(2020)
  • 《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》
  • 起草阶段:《APP个人信息合规安全测试规范》《信息安全技术 移动互联网应用程序APP个人信息安全测评规范》
  • 全国信息安全标准化技术委员会《GB/T 35273-2020-信息安全技术 个人信息安全规范》
  • 全国信息安全标准化技术委员会《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范(征求意见稿)》
  • 全国信息安全标准化技术委员会《移动互联网应用程序(App)收集使用个人信息自评估指南》
  • 全国信息安全标准化技术委员会《移动互联网应用程序(APP)系统权限申请使用指引(征求意见稿)》
  • App专项治理工作组《App违法违规收集使用个人信息自评估指南》
  • APP专项治理工作组《App申请安卓系统权限机制分析与建议》
  • 工业和信息化部《关于开展APP侵害用户权益专项整治工作的通知(工信部信管函〔2019〕337号)》
  • 国家互联网信息办公室《个人信息出境安全评估办法(征求意见稿)》
  • 中国信通院《小程序个人信息保护研究报告》
  • GB/T41391-2022《信息安全技术-移动互联网应用程序(APP)收集个人信息基本要求》
  • 《网络安全实践指南-移动互联网应用基本业务功能必要信息规范》
  • 《电信和互联网用户个人信息保护规定》(工信部24号文,2013年9月施行)
  • JR/T0171-2020《个人金融信息保护技术规范》
  • 《中华人民共和国网络安全法》
  • 《个人信息安全规范》 –中国版的GDPR
  • 《中华人民共和国网络安全法》
  • 《中华人民共和国消费者权益保护法》
  • 《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》

技术方案

文档信息

Search

    Table of Contents