當(dāng)前熱門:APP收集個人信息新國標(biāo)11月1日實施 企業(yè)合規(guī)建設(shè)亟需“三步走”

發(fā)布時間:2022-10-31 21:43:48  |  來源:通信世界全媒體  

(CWW)2022年11月1日,就在《個人信息保護法》實施一周年之際,由國家市場監(jiān)督總局、國家標(biāo)準化管理委員會發(fā)布的新國家標(biāo)準《信息安全技術(shù)移動互聯(lián)網(wǎng)應(yīng)用程序(App)收集個人信息基本要求(GB/T 41391-2022)》(以下簡稱《基本要求》)正式實施。

《基本要求》于2022年4月15日發(fā)布,聚焦App違法違規(guī)收集使用個人信息的突出問題,將成為現(xiàn)階段監(jiān)管側(cè)及企業(yè)側(cè)在移動App方向上的個人信息治理實施過程中的重要參考依據(jù)。

奇安盤古隱私安全負責(zé)人趙帥表示,近年來個人信息保護監(jiān)管力度在逐步加強,隨著《關(guān)于印發(fā)〈App違法違規(guī)收集使用個人信息行為認定方法〉的通知》(國信辦秘字〔2019〕191號)、《關(guān)于印發(fā)〈常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》的通知》(國信辦秘字〔2021〕14號)等文件要求的下發(fā),以及中央監(jiān)管、地方監(jiān)管、行業(yè)監(jiān)管針對用戶個人信息權(quán)益侵害問題上的聯(lián)合治理,頭部企業(yè)對于個人信息保護的重視程度已經(jīng)越來越高,一些典型的違規(guī)問題如未公開收集使用規(guī)則、未經(jīng)用戶同意收集個人信息等也得到了有效的遏制,但仍有一些問題,如超范圍收集個人信息、違規(guī)使用個人信息等問題仍然普遍存在,個人信息收集的合理性、必要性依然是當(dāng)前監(jiān)管及企業(yè)需要關(guān)注的重點


(資料圖片僅供參考)

新國標(biāo)給企業(yè)帶來三方面挑戰(zhàn)

趙帥認為,作為新的國家標(biāo)準,《基本要求》明確了App、基本/擴展業(yè)務(wù)功能、必要/非必要但有關(guān)聯(lián)/無關(guān)個人信息等核心概念,實施對象為App,包括移動智能終端預(yù)置App、下載安裝的App、小程序。更具體來說,新國標(biāo)將給企業(yè)App開發(fā)者提出三個方面的挑戰(zhàn)和要求。

首先是App設(shè)計的復(fù)雜度將進一步提升。例如6.1.e,標(biāo)準中,提到了“應(yīng)僅在用戶使用業(yè)務(wù)功能期間,收集該業(yè)務(wù)功能所需的個人信息”,對于提前收集個人信息、業(yè)務(wù)功能結(jié)束后仍收集個人信息等違規(guī)現(xiàn)象進行了要求。而6.4.1.c,標(biāo)準中,提到“應(yīng)拆分App的必要個人信息和非必要個人信息的同意”。這些要求都給App開發(fā)者提出更細致的要求,提高了開發(fā)設(shè)計的復(fù)雜度。

其次是個人信息合規(guī)成為App業(yè)務(wù)設(shè)計之初的關(guān)鍵決策因素。如6.2.d,標(biāo)準中提到“當(dāng)無需收集個人信息即可提供App基本業(yè)務(wù)功能時,應(yīng)確保用戶在不提供個人信息的情況下可正常使用App基本業(yè)務(wù)功能”,該條對于開發(fā)者的App功能設(shè)計、研發(fā)、運營過程將產(chǎn)生重大影響。

最后是第三方合規(guī)成為App開發(fā)運營者的關(guān)鍵責(zé)任。如6.6.1,標(biāo)準中提到“App應(yīng)對第三方應(yīng)用收集個人信息進行安全管理”。而6.6.1.c,標(biāo)準中提到“應(yīng)為用戶提供第三方應(yīng)用授權(quán)管理的功能或渠道,確保用戶可便捷地關(guān)閉或撤回第三方應(yīng)用可收集個人權(quán)限的授權(quán)”。如6.6.2.b,標(biāo)準中提到“應(yīng)在嵌入第三方SDK前,對SDK是否存在違法違規(guī)收集使用個人信息行為、個人信息出境行為進行評估”。

個人信息合規(guī)建設(shè)的“三步曲”

《基本要求》的正式實施,顯著增強了企業(yè)個人信息合規(guī)建設(shè)的緊迫性和必要性。趙帥認為,合規(guī)建設(shè)不是一項一蹴而就的任務(wù),而需要循序漸進、分步實施的原則,對于大多數(shù)合規(guī)短板比較嚴重的企業(yè),可以遵循“三步走”的原則。

第一步要確保形式合規(guī)。在該階段,可通過外部專業(yè)團隊指導(dǎo),快速建立規(guī)范的管理制度,在流程、制度等層面滿足形式合規(guī),為下一步打下基礎(chǔ)。當(dāng)然,在該階段可能對實際上存在的收集使用個人信息情況掌握不準確、不全面,距離全面合規(guī)尚存距離。

第二步要實現(xiàn)實質(zhì)合規(guī)。在該階段,通過內(nèi)部組建合規(guī)團隊,外部專業(yè)機構(gòu)指導(dǎo),內(nèi)部外部深度配合,對個人信息收集、使用等處理過程進行風(fēng)險評估,并制定合適的修復(fù)方案,從而達成實質(zhì)合規(guī)的目標(biāo)。

第三步要達成持續(xù)合規(guī)。在業(yè)務(wù)開展過程中,企業(yè)需要隨著業(yè)務(wù)變化不斷發(fā)現(xiàn)新的合規(guī)風(fēng)險點,并持續(xù)改進,避免合規(guī)滯后于業(yè)務(wù)變化。

企業(yè)在個人信息合規(guī)建設(shè)應(yīng)該注意哪些事項?趙帥給出了更具體的實操建議。

首先,企業(yè)要滿足政府監(jiān)管要求,根據(jù)相關(guān)法規(guī)要求內(nèi)容確定合規(guī)基線;

其次,企業(yè)應(yīng)自查自測發(fā)現(xiàn)問題并及時整改,同時應(yīng)建立個人信息安全事件處置機制,面對可能突發(fā)的個人信息安全事件,提前準備合適的處置預(yù)案;

第三是企業(yè)要不斷優(yōu)化合規(guī)能力,包括定期自查發(fā)現(xiàn)合規(guī)風(fēng)險,分析問題原因,發(fā)現(xiàn)合規(guī)短板,對合規(guī)制度流程進行完善;

最后是企業(yè)應(yīng)在遵守國家數(shù)據(jù)保護、隱私保護法律的前提下促進業(yè)務(wù)發(fā)展,不能讓個人信息保護流于表面。

奇安盤古隱私衛(wèi)士已支持新國標(biāo)檢測

《基本要求》的實施,意味著圍繞移動互聯(lián)網(wǎng)和個人信息保護的監(jiān)管將持續(xù)收緊,標(biāo)準進一步細化要求。App運營者需要和第三方專業(yè)機構(gòu)合作,落實合規(guī)建設(shè)的“三步走”。據(jù)介紹,由奇安盤古隱私安全團隊推出的奇安信隱私衛(wèi)士,它能夠立足于解決企業(yè)的個人信息保護合規(guī)風(fēng)險問題,針對安卓App、iOSApp、小程序、IoT設(shè)備進行隱私合規(guī)檢測與分析,幫助企業(yè)對相關(guān)業(yè)務(wù)應(yīng)用進行全方位的隱私安全合規(guī)檢測,提前發(fā)現(xiàn)合規(guī)隱患,避免由此帶來的數(shù)據(jù)泄漏、資產(chǎn)損失、監(jiān)管處罰等風(fēng)險,最終幫助政府、研究機構(gòu)、企業(yè)等更好的履行其在個人信息保護方面的責(zé)任和義務(wù)。隱私衛(wèi)士目前已支持對新國標(biāo)(國標(biāo)41391)的全面檢測。


關(guān)鍵詞: 個人信息保護 網(wǎng)絡(luò)安全

 

網(wǎng)站介紹  |  版權(quán)說明  |  聯(lián)系我們  |  網(wǎng)站地圖 

星際派備案號:京ICP備2022016840號-16 營業(yè)執(zhí)照公示信息版權(quán)所有 郵箱聯(lián)系:920 891 263@qq.com