移動互聯(lián)網(wǎng)應用程序(App)由于其便捷性、普惠性、及時性被民眾廣泛應用，在促進經(jīng)濟社會發(fā)展、服務民生等方面發(fā)揮了重要的作用。但與此同時，App強制授權、過度索權、超范圍收集個人信息的現(xiàn)象普遍存在，個人信息泄露、濫用等情形時有發(fā)生，廣大網(wǎng)民對此反映強烈。為保障個人信息安全，維護廣大網(wǎng)民合法權益，我國從2017年開始對App收集使用個人信息的行為開展了專項評估、檢測工作。

為進一步規(guī)范App收集、使用用戶個人信息的行為，2023年，國家市場監(jiān)管總局、中央網(wǎng)信辦聯(lián)合發(fā)布公告，開展App安全認證工作。此認證嚴格依據(jù)《移動互聯(lián)網(wǎng)應用程序(App)安全認證實施規(guī)則》(以下簡稱《實施規(guī)則》)開展認證活動，把好發(fā)證前的每道門檻。這是利用市場選擇機制引導App運營者規(guī)范個人信息收集、使用、轉讓等行為，真正提升其個人信息保護能力和水平的重要前提。

同時，作為中央網(wǎng)信辦、工信部、公安部、市場監(jiān)管總局四部委組織的“App違法違規(guī)收集使用個人信息治理行動”重要組成部分，App安全認證相較于治理的背對背評估工作，可運用更多的技術手段對企業(yè)內(nèi)部個人信息全生命周期的合規(guī)性做更全面的檢測審核。

App安全認證模式分析

與傳統(tǒng)的網(wǎng)絡安全產(chǎn)品不同，App安全檢測不僅關注App軟件本身，還要對它收集傳輸?shù)臄?shù)據(jù)做分析，且個人信息收集使用的合規(guī)性評定不僅依靠客觀檢測結果，還要結合經(jīng)驗進行主觀判斷。為全面了解App收集使用個人信息的行為，創(chuàng)新傳統(tǒng)的網(wǎng)絡安全產(chǎn)品認證模式是必然要求?！秾嵤┮?guī)則》中指出App安全認證以GB/T 35273《信息安全技術個人信息安全規(guī)范》(以下簡稱《安全規(guī)范》)及相關標準、規(guī)范為依據(jù)，采用“技術驗證+現(xiàn)場審核+獲證后監(jiān)督”的認證模式，其中技術驗證方式包括實驗室檢測和現(xiàn)場核查。現(xiàn)場核查和現(xiàn)場審核工作既有聯(lián)系又有區(qū)別，現(xiàn)場核查關注個人信息的傳輸、存儲、匿名化處理等App服務器后臺技術驗證，以及數(shù)據(jù)的共享、轉讓等后臺技術處理的核查驗證等，是實驗室檢測有效的補充手段，現(xiàn)場審核關注個人信息安全事件處置、個人信息安全工程、個人信息安全影響評估等管理類要求。認證模式中已包含現(xiàn)場審核部分，在技術驗證中又加入了現(xiàn)場核查的工作，足以看出進駐現(xiàn)場與企業(yè)面對面，對于App安全認證工作的重要性。

充分利用現(xiàn)場工作的手段保障App安全認證的有效性

結合App產(chǎn)品特點開展現(xiàn)場核查工作

App是一種通過分析、設計、編碼生成的特殊軟件，其存在形式具有產(chǎn)品的特性，相較于傳統(tǒng)網(wǎng)絡安全產(chǎn)品，App的分發(fā)渠道、版本迭代頻率、用戶感知程度完全不同。傳統(tǒng)網(wǎng)絡安全產(chǎn)品的工廠檢查主要關注產(chǎn)品的信息安全保證能力、質量保證能力和產(chǎn)品一致性。

為最大程度地保障投放市場的產(chǎn)品與送檢的型式試驗品的質量一致，需審查產(chǎn)品的版本管理，重點檢查是否為App的不同版本提供唯一的標識。由于App應用商店的多樣化，同時為滿足不同操作系統(tǒng)的配置要求，App運營者也會有不同版本，即使現(xiàn)場審查的版本、標識管理滿足要求，也不能確定檢測版本與投放市場的App在個人信息與合規(guī)性方面保持一致。

具體操作上，檢測機構會從任一家應用商店下載相應的App安裝包并對其進行檢測。一般而言，App收集個人信息行為主要發(fā)生在客戶端，做好技術檢測，嚴把信息入口，可以對App在收集個人信息時是否明示告知、一攬子強制收集等行為作出明確判斷。但由于App保護技術的發(fā)展，檢測中存在難以脫殼、數(shù)據(jù)加密、反調試運行等技術瓶頸，App技術檢測無法確認所有收集階段的個人信息收集問題，因此，現(xiàn)場審查是對技術檢測的有力補充和方法突破，如《安全規(guī)范》9.2對未征得個人信息主體授權同意進行的共享、轉讓個人信息去標識化的要求。去標識化是一種數(shù)據(jù)脫敏的方法，但其不能通過遠程技術檢測到，只能在運營現(xiàn)場，通過抽查運營者共享、轉讓個人信息流才能確認。

結合技術驗證結果開展現(xiàn)場核查工作

依據(jù)《安全規(guī)范》，App安全認證需對收集、使用、存儲、共享全生命周期個人信息相關的處理活動進行合規(guī)化審核，現(xiàn)場工作不僅需關注傳統(tǒng)的風險管理要求，同時，還要兼顧對App客戶端進行文本核查、功能試用、數(shù)據(jù)檢測后仍無法覆蓋的評估項，并且驗證技術驗證報告中不符合項或高危風險漏洞的整改情況、核查收集個人信息的合理性、補充完善技術驗證結果、評判App客戶端和服務端行為的一致性。

以上現(xiàn)場工作內(nèi)容，在短短的幾天時間內(nèi)完全覆蓋不可能也無必要。見微知著，我們可從細節(jié)著眼，衡量運營者是否存在形式化、敷衍審核的情況。如《安全規(guī)范》“5.5 a)1) 個人信息控制者的基本情況，包括主體身份、聯(lián)系方式”和“10.2 b)  5)個人信息保護負責人和個人信息保護工作機構的聯(lián)系方式”兩處都提到了個人信息控制聯(lián)系方式?！栋踩?guī)范》5.5中是個人信息保護規(guī)則中披露的個人信息控制者的聯(lián)系方式，此聯(lián)系方式在對外發(fā)布的文件中予以明確，而10.2是在發(fā)生安全事件時個人信息控制者的聯(lián)系方式，此聯(lián)系方式應在內(nèi)部應急預案等文檔中予以明確。理論而言，這兩處注明的聯(lián)系方式應為同一負責人或部門，如不同則反映企業(yè)在個人信息保護上存在內(nèi)外“兩張皮”，不能完全滿足用戶個人信息權益的保障。這樣結合技術檢測結論的現(xiàn)場審查工作更能發(fā)現(xiàn)實質性問題。

結合監(jiān)管重點開展現(xiàn)場核查工作

App收集個人信息存在的問題，反映了運營者在個人信息保護方面意識欠缺、管理機制缺乏、保護技術落后等問題。中央網(wǎng)信辦、工信部、公安部、國家市場監(jiān)管總局2023年細化已有法律法規(guī)的要求，結合App典型違法違規(guī)行為，發(fā)布《App違法違規(guī)收集使用個人信息行為認定方法》(以下簡稱《認定方法》)，對六大類31種典型行為進行定性。2023年11月，工信部針對測評規(guī)范和收集原則組織發(fā)布18項團體標準，并為其“App侵害用戶權益專項整治”工作提供依據(jù)和支撐。同時，地方網(wǎng)信部門、通信管理局、公安局也積極響應個人信息保護工作，對所屬轄區(qū)內(nèi)的網(wǎng)絡運營者進行監(jiān)督管理。監(jiān)管部門依據(jù)《認定方法》對App收集使用個人信息行為進行認定，對存在的問題予以公開曝光通報。

相較于背對背評估工作，App安全認證著眼于App全生命周期收集、使用個人信息的行為，可以深入運營現(xiàn)場檢查核驗，因此更能發(fā)現(xiàn)問題。但由于各部委對行業(yè)要求有所區(qū)別，測評方法不盡相同，通過認證的被認為優(yōu)秀個人信息保護實踐者有可能在某些點存在不符合的現(xiàn)象，因而被公開通報，大大影響了App安全認證的公信力。因此，擴展評估依據(jù)的要求并將之納入核查重點，從細節(jié)處著手現(xiàn)場工作尤為重要，有必要在標準符合性驗證的基礎上突出重點評估項，實現(xiàn)一次認證經(jīng)得起多方檢測評估，如《認定方法》中“未明示收集使用個人信息的目的、方式和范圍：未逐一列出App(包括委托的第三方或嵌入的第三方代碼、插件)”規(guī)定，實質是對App中不為用戶所感知的可以收集個人信息的第三方予以告知，是對《網(wǎng)絡安全法》中明示告知義務的響應。此點是監(jiān)管的重點，也是曝光通報的熱點問題。

在新修訂的2020版《安全規(guī)范》增加的9.7章節(jié)“第三方接入管理”中要求更具體更全面。9.7要求運營者對所有第三方履行管理機制、合同約束、保存記錄、監(jiān)督管理、行為審計等工作，如僅就文檔機制進行審核，無疑在第三方接入管理中將App前后端割裂開了，會遺漏對實際引入的第三方管理。因此，在這些重要的評估項上，應進一步確認App中嵌入的第三方是否都納入了管控范圍，是否告知用戶其收集使用個人信息的類型、范圍和目的。

做好現(xiàn)場核查工作的幾點建議

經(jīng)過一年半的試點工作，2023年9月，云閃付、百度地圖等18款App在多次整改完善后頒發(fā)證書，這些App先行先試，為大量App的個人信息保護提供了可借鑒的模式。同時隨著App收集個人信息更深層次、本質性問題的凸顯，對法律法規(guī)的細化解讀，勢必對App安全認證工作提出更高的要求。由于技術驗證的瓶頸問題短時間無法解決，可以預見，現(xiàn)場核查工作將承擔更多更復雜的任務。

從國際范圍來看，個人信息保護立法工作日趨完善，但相關的檢測認證工作尚處于起步階段。由于法律法規(guī)等頂層設計文件對于運營者而言不具備指導性，相關的細化支撐文檔還未完善，因此現(xiàn)場核查工作既是實施認證的關鍵環(huán)節(jié)，也是宣貫解讀政策標準的恰好時機。運營者通過有效交流，完成整改，在企業(yè)內(nèi)部逐步建立起有效的個人信息保護運行體系，提升了企業(yè)個人信息保護能力，對App持續(xù)滿足認證要求意義重大。

個人信息保護之路任重道遠，在多方聯(lián)手形成協(xié)同共治局面的過程中，認證工作扮演著重要角色，做好現(xiàn)場核查工作，提升證書的權威性和含金量，可以從以下方面著手：

做好準備工作。包括簡單試用App功能、通讀其個人信息保護規(guī)則，跟蹤了解監(jiān)管部門發(fā)布的政策法規(guī)及相關標準規(guī)范、國際個人信息保護的動向和大事件。做好充足的知識儲備，充分了解產(chǎn)品的特性，預判存在的問題，以國際視野，指導企業(yè)深刻認識本質問題。

做好銜接工作。包括熟悉、分析技術檢測結果、自評價結果和相關證明文檔、不同發(fā)布渠道的版本差異性說明及App版本控制說明。做好與前階段各工作的銜接，現(xiàn)場核驗、補充、完善相關結論，帶著問題做現(xiàn)場核查，有重點地檢查疑似不合規(guī)處，在薄弱點、疏漏點下功夫，往往會事半功倍。

做好反饋工作。包括將找到的新問題、發(fā)現(xiàn)的新方法、個人信息使用的不同形式等反饋至檢測認證機構、技術小組和方法庫。這種知識體系的循環(huán)往復，不僅是后續(xù)培訓、研討素材來源，還可加深評審人員對個人信息關鍵問題的理解。通過研討，達成一致意見，又將為修訂體系文件、評價準則提供可靠的輸入源。

中企檢測認證網(wǎng)提供iso體系認證機構查詢，檢驗檢測、認證認可、資質資格、計量校準、知識產(chǎn)權貫標一站式行業(yè)企業(yè)服務平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關檢驗、檢測、認證、計量、校準機構，儀器設備、耗材、配件、試劑、標準品供應商，法規(guī)咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權、版權法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構、網(wǎng)絡信息技術檢測、環(huán)境檢測、管理體系認證、服務體系認證、產(chǎn)品認證、版權登記、專利申請、知識產(chǎn)權、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權、版權、商標、專利的轉讓代理查詢法律法規(guī)，咨詢輔導等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質量認證中心

免責聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡信息整理，文章版權歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202107/ccaa_25177.html