(CWW)2022年11月1日,就在《個(gè)人信息保護(hù)法》實(shí)施一周年之際,由國家市場(chǎng)監(jiān)督總局、國家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布的新國家標(biāo)準(zhǔn)《信息安全技術(shù)移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(App)收集個(gè)人信息基本要求(GB/T 41391-2022)》(以下簡稱《基本要求》)正式實(shí)施。
《基本要求》于2022年4月15日發(fā)布,聚焦App違法違規(guī)收集使用個(gè)人信息的突出問題,將成為現(xiàn)階段監(jiān)管側(cè)及企業(yè)側(cè)在移動(dòng)App方向上的個(gè)人信息治理實(shí)施過程中的重要參考依據(jù)。
【資料圖】
奇安盤古隱私安全負(fù)責(zé)人趙帥表示,近年來個(gè)人信息保護(hù)監(jiān)管力度在逐步加強(qiáng),隨著《關(guān)于印發(fā)〈App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法〉的通知》(國信辦秘字〔2019〕191號(hào))、《關(guān)于印發(fā)〈常見類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》的通知》(國信辦秘字〔2021〕14號(hào))等文件要求的下發(fā),以及中央監(jiān)管、地方監(jiān)管、行業(yè)監(jiān)管針對(duì)用戶個(gè)人信息權(quán)益侵害問題上的聯(lián)合治理,頭部企業(yè)對(duì)于個(gè)人信息保護(hù)的重視程度已經(jīng)越來越高,一些典型的違規(guī)問題如未公開收集使用規(guī)則、未經(jīng)用戶同意收集個(gè)人信息等也得到了有效的遏制,但仍有一些問題,如超范圍收集個(gè)人信息、違規(guī)使用個(gè)人信息等問題仍然普遍存在,個(gè)人信息收集的合理性、必要性依然是當(dāng)前監(jiān)管及企業(yè)需要關(guān)注的重點(diǎn)
新國標(biāo)給企業(yè)帶來三方面挑戰(zhàn)
趙帥認(rèn)為,作為新的國家標(biāo)準(zhǔn),《基本要求》明確了App、基本/擴(kuò)展業(yè)務(wù)功能、必要/非必要但有關(guān)聯(lián)/無關(guān)個(gè)人信息等核心概念,實(shí)施對(duì)象為App,包括移動(dòng)智能終端預(yù)置App、下載安裝的App、小程序。更具體來說,新國標(biāo)將給企業(yè)App開發(fā)者提出三個(gè)方面的挑戰(zhàn)和要求。
首先是App設(shè)計(jì)的復(fù)雜度將進(jìn)一步提升。例如6.1.e,標(biāo)準(zhǔn)中,提到了“應(yīng)僅在用戶使用業(yè)務(wù)功能期間,收集該業(yè)務(wù)功能所需的個(gè)人信息”,對(duì)于提前收集個(gè)人信息、業(yè)務(wù)功能結(jié)束后仍收集個(gè)人信息等違規(guī)現(xiàn)象進(jìn)行了要求。而6.4.1.c,標(biāo)準(zhǔn)中,提到“應(yīng)拆分App的必要個(gè)人信息和非必要個(gè)人信息的同意”。這些要求都給App開發(fā)者提出更細(xì)致的要求,提高了開發(fā)設(shè)計(jì)的復(fù)雜度。
其次是個(gè)人信息合規(guī)成為App業(yè)務(wù)設(shè)計(jì)之初的關(guān)鍵決策因素。如6.2.d,標(biāo)準(zhǔn)中提到“當(dāng)無需收集個(gè)人信息即可提供App基本業(yè)務(wù)功能時(shí),應(yīng)確保用戶在不提供個(gè)人信息的情況下可正常使用App基本業(yè)務(wù)功能”,該條對(duì)于開發(fā)者的App功能設(shè)計(jì)、研發(fā)、運(yùn)營過程將產(chǎn)生重大影響。
最后是第三方合規(guī)成為App開發(fā)運(yùn)營者的關(guān)鍵責(zé)任。如6.6.1,標(biāo)準(zhǔn)中提到“App應(yīng)對(duì)第三方應(yīng)用收集個(gè)人信息進(jìn)行安全管理”。而6.6.1.c,標(biāo)準(zhǔn)中提到“應(yīng)為用戶提供第三方應(yīng)用授權(quán)管理的功能或渠道,確保用戶可便捷地關(guān)閉或撤回第三方應(yīng)用可收集個(gè)人權(quán)限的授權(quán)”。如6.6.2.b,標(biāo)準(zhǔn)中提到“應(yīng)在嵌入第三方SDK前,對(duì)SDK是否存在違法違規(guī)收集使用個(gè)人信息行為、個(gè)人信息出境行為進(jìn)行評(píng)估”。
個(gè)人信息合規(guī)建設(shè)的“三步曲”
《基本要求》的正式實(shí)施,顯著增強(qiáng)了企業(yè)個(gè)人信息合規(guī)建設(shè)的緊迫性和必要性。趙帥認(rèn)為,合規(guī)建設(shè)不是一項(xiàng)一蹴而就的任務(wù),而需要循序漸進(jìn)、分步實(shí)施的原則,對(duì)于大多數(shù)合規(guī)短板比較嚴(yán)重的企業(yè),可以遵循“三步走”的原則。
第一步要確保形式合規(guī)。在該階段,可通過外部專業(yè)團(tuán)隊(duì)指導(dǎo),快速建立規(guī)范的管理制度,在流程、制度等層面滿足形式合規(guī),為下一步打下基礎(chǔ)。當(dāng)然,在該階段可能對(duì)實(shí)際上存在的收集使用個(gè)人信息情況掌握不準(zhǔn)確、不全面,距離全面合規(guī)尚存距離。
第二步要實(shí)現(xiàn)實(shí)質(zhì)合規(guī)。在該階段,通過內(nèi)部組建合規(guī)團(tuán)隊(duì),外部專業(yè)機(jī)構(gòu)指導(dǎo),內(nèi)部外部深度配合,對(duì)個(gè)人信息收集、使用等處理過程進(jìn)行風(fēng)險(xiǎn)評(píng)估,并制定合適的修復(fù)方案,從而達(dá)成實(shí)質(zhì)合規(guī)的目標(biāo)。
第三步要達(dá)成持續(xù)合規(guī)。在業(yè)務(wù)開展過程中,企業(yè)需要隨著業(yè)務(wù)變化不斷發(fā)現(xiàn)新的合規(guī)風(fēng)險(xiǎn)點(diǎn),并持續(xù)改進(jìn),避免合規(guī)滯后于業(yè)務(wù)變化。
企業(yè)在個(gè)人信息合規(guī)建設(shè)應(yīng)該注意哪些事項(xiàng)?趙帥給出了更具體的實(shí)操建議。
首先,企業(yè)要滿足政府監(jiān)管要求,根據(jù)相關(guān)法規(guī)要求內(nèi)容確定合規(guī)基線;
其次,企業(yè)應(yīng)自查自測(cè)發(fā)現(xiàn)問題并及時(shí)整改,同時(shí)應(yīng)建立個(gè)人信息安全事件處置機(jī)制,面對(duì)可能突發(fā)的個(gè)人信息安全事件,提前準(zhǔn)備合適的處置預(yù)案;
第三是企業(yè)要不斷優(yōu)化合規(guī)能力,包括定期自查發(fā)現(xiàn)合規(guī)風(fēng)險(xiǎn),分析問題原因,發(fā)現(xiàn)合規(guī)短板,對(duì)合規(guī)制度流程進(jìn)行完善;
最后是企業(yè)應(yīng)在遵守國家數(shù)據(jù)保護(hù)、隱私保護(hù)法律的前提下促進(jìn)業(yè)務(wù)發(fā)展,不能讓個(gè)人信息保護(hù)流于表面。
奇安盤古隱私衛(wèi)士已支持新國標(biāo)檢測(cè)
《基本要求》的實(shí)施,意味著圍繞移動(dòng)互聯(lián)網(wǎng)和個(gè)人信息保護(hù)的監(jiān)管將持續(xù)收緊,標(biāo)準(zhǔn)進(jìn)一步細(xì)化要求。App運(yùn)營者需要和第三方專業(yè)機(jī)構(gòu)合作,落實(shí)合規(guī)建設(shè)的“三步走”。據(jù)介紹,由奇安盤古隱私安全團(tuán)隊(duì)推出的奇安信隱私衛(wèi)士,它能夠立足于解決企業(yè)的個(gè)人信息保護(hù)合規(guī)風(fēng)險(xiǎn)問題,針對(duì)安卓App、iOSApp、小程序、IoT設(shè)備進(jìn)行隱私合規(guī)檢測(cè)與分析,幫助企業(yè)對(duì)相關(guān)業(yè)務(wù)應(yīng)用進(jìn)行全方位的隱私安全合規(guī)檢測(cè),提前發(fā)現(xiàn)合規(guī)隱患,避免由此帶來的數(shù)據(jù)泄漏、資產(chǎn)損失、監(jiān)管處罰等風(fēng)險(xiǎn),最終幫助政府、研究機(jī)構(gòu)、企業(yè)等更好的履行其在個(gè)人信息保護(hù)方面的責(zé)任和義務(wù)。隱私衛(wèi)士目前已支持對(duì)新國標(biāo)(國標(biāo)41391)的全面檢測(cè)。
標(biāo)簽: 個(gè)人信息保護(hù) 網(wǎng)絡(luò)安全