【分享题目】

个人信息保护法实施在即,

企业App合法合规如何做?

【分享人简介】

郑建安,招商基金业务安全负责人,先后在运营商、金融、互联网等行业有过十多年安全与风险管理经验。

【分享内容梗概】

首先梳理介绍针对个人信息保护及App合规的系列法规与整治行动,以及相关处罚和影响。然后分析监管关注的重点。最后提出企业的App合法合规解决之道。

目录

1.新形势简要说明-系列法规与整治行动

2.违法违规的后果-处罚与影响

3.监管关注的重点-通用及行业举例

4.解决之道-方法与认证介绍

5.持续的合规管理-资源、沟通与执行

【分享时间】

8月27日晚上7点30分准时开始,总时长60分钟,包含20分钟的问答环节。

【分享形式】

群内分享,图文穿插形式。

嘉宾将会在以下7个微信群直播:

「金融业企业安全建设实践」

「企业安全建设实践2群」

「企业安全建设实践3群」

「金融实践群-华南分会」

「金融实践群-北京分会」

「《企业安全建设指南》读者交流群」

「《企业安全建设指南》读者交流2群」

关注本公众号,实践出真知。

-------------------------------------------------------------

以下为实录:

大家好,今天很高兴,可以在这里和大家做这个分享。这一周发生的事情很多哈,包括今天,大家估计也都很忙。相信大家上周五都被《个人信息保护法》刷屏了,紧接着这周应该就是在朋友圈学习了好几篇《图解》、《要点解析》、《改动对比》之类的文章。大部分都是律所写的,这些我也学习了几篇,毕竟是新颁布的法律,还是要听执业律师的分析。

今天在这里,我所分享的呢,是从实践出发,讲一讲我的一些经验和理解,我们群本身,也是企业安全实践群,这很符合我们的群名。我的这些内容,也就是抛转引玉,希望和群里的专家和大佬一起讨论、交流,共同进步。

这次分享的初衷是在7月份,我们的App获得了CCRC的App安全认证,目前获得认证的也就十来个,当时我就给君哥提了这个想法,想给大家分享一些在App个人信息合规方面的一些经验,君哥很赞同,并给了些指导。今天就趁着《个人信息法》颁布的这个热度,和大家交流一下。

一、系列法规

先看下国家在个人信息保护方面的监管进程,国家的法律大多都是循序渐进的,这里,我列举这5个强相关的监管内容。基本的《网络安全法》和更广义些的《数据安全法》我这略过了。

这5个法规/文件在我国个人信息领域影响都很大,也是相关人员研究的最多的,推荐相关工作的同仁们能抽时间仔细看一遍原文全文。

工信部整治行动

因为《个人信息保护法》是11月1日施行,在此之前,国家监管在这一方面,主要是工信部通管局从2019年开始的App整治行动,这也是近两年威力比较大的监管行动。

按前不久鲁局长的发言数据(7月30日),截止今天,工信部已累计组织18批次集中抽测,检查了139万款App,通报了1450款违规App,下架377款拒不整改的App。

目前市面的App总计应该是300多万款,已经检查的都是下载量较大或者有用户投诉的。按统计,应该还有一半的App没有检查。

不过有一点,单个App的检查是会出现多次的,一次通过可能下次在某个专项检查或者用户投诉较多又会被再次检查,有问题还是会通报。

这里先简单列一下数,整治的具体内容,我们第三部分在细讲。

二、《个人信息保护法》罚则

接下来看一下《个人信息保护法》的罚则,简要的梳理见下表。

除了情节严重会被罚上一年营业额5%这一点可能出现比较大的罚款之外。建议大家关注的,是行政处罚中的【违法App】这一项,其实也就是工信部历次通报的问题App,侵害用户个人权益。

据我了解的信息,之前的通报,一周的整改时间,按时完成是比较难的,结果就是App很容易被下架,这其实已经算得上业务连续性里的重大风险事项了。

而一旦下架,再上架就需要走通管局的一些流程,而且在《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》里,是规定40个工作日不可以在任何渠道再次上架。

这个事件一旦发生,公司分管的领导肯定会很关注,相关负责人的压力会很大。

三、监管关注的重点-通用及行业举例

工信部18批次通报的问题统计表

通过对工信部的通报情况进行分析,可以明显的看出,问题最多的是“违规收集个人信息”,占比达到70.4%。其次是过度索取权限、强制推送、欺骗误导、账号难注销、私自共享、不给权限不让用,以及最新一次通报的违规调用通讯录和地理位置。

这里补充强调,位置信息,第17批次通报里的重点项,属个人敏感信息这一类,在个人信息保护法里对应的要求是偏高的。

具体到行业,银行类App,自去年人行开展的App备案以来,经过检测整改,情况普遍较好。

今年的通报出现的个别银行App,涉及的问题也主要集中在违规收集个人信息,以及过度索取权限和强制推送。

证券和基金被通报的问题比较零散。

这里就先说违规收集使用个人信息。

这个如何界定,可以详细的参看《App违法违规收集使用个人信息行为认定方法》和《常见类型移动互联网应用程序必要个人信息范围规定》。

在这里,我分享下这三点。

1.授权同意

收集的内容、使用的目的,就是通常的隐私政策协议文档,由个人在充分知情的前提下自愿、明确作出同意或者勾选的动作,不能默认勾选和同意。

在用户同意之前,任何涉及个人信息的内容都不能运行,SDK初始化全都要在用户同意之后,不然就是私自收集,检测到就是违法违规行为。

【SDK这一点很容易踩坑,大家需要注意】。

2.收集范围

《规定》已经有了明确的指引,但是像金融行业因为要履行《反洗钱法》义务,以及投资者适当性管理要求,所以收集的信息超过《规定》也是合法必要的。

一定要注意的是,App收集使用《规定》外的信息,需要有其他法律法规的支撑才行。

补充说一下,对于安全风控这一类信息收集,比如设备指纹采集,如果所处行业没有法律法规等正式文件支撑,这些就都不属于必要信息。强制用户同意才能使用的话,是存在违法违规风险的。

3.信息公示

需要公开收集使用规则,其实就是照着隐私政策模板写一个适合自己的隐私政策。

需要明示目的、方式和范围,这个除了需要在隐私政策里写明,还需要在具体的收集个人信息的业务场景里,就是具体的页面中,写明这些内容。

以上的三点,对应的都是《个人信息保护法》中个人的知情权,这是法律赋予的法定权益,从历次通报的情况来看,企业在这一方面还是需要加强重视。

互联网类App,目前潜在风险较大的是大数据杀熟这一部分,这个比较明显损害人民群众权益,第二十四条也明确写了,“不得对个人在交易价格等交易条件上实行不合理的差别待遇”,并且个人有权拒绝。

有自动化决策、依据用户画像定价这类功能的App,还不让用户拒绝的,最好只在中午这么做,因为早晚会出事。

四、解决之道-方法与认证介绍

App合规问题解决的核心思路,我认为就是要保护用户合法权益。

抓手是两处,一是要站在一个小白用户角度去体验App,二是在专业的角度去测评和整改App。

小白用户的体验其一,就是隐私政策要通俗易懂。专业术语要尽量的没有或者少用;收集的信息依据要列明,比如金融行业很多要求存储时间不少于5年、20年,那就把相关的要求文件名称和条款写上去。隐私政策虽然用户不太看,但是现在监管方、应用市场对这部分已经开始关注了,像应用宝、华为应用市场。

隐私政策写完了,UI设计完了,买个某茶,请公司职能部门的同事抽个一小时,帮你看一遍,职能同事能看明白的,能理解的,这八成没啥问题了。

隐私政策可以学习参考银联云闪付App,内容涵盖很全,也包括境外,作者也极其资深,墙裂推荐。

小白用户还有个体验就是以前App容易行坑蒙拐骗之事,之后是肯定不可以这样,以前很常见的欺骗、诱导、虚假的一些内容或手段,今后肯定也是重点打击的对象。

专业角度的测评和整改,需要借助专业的检测工具,或者服务公司开展检测,依据工具或者专家的经验和建议,找出问题项,然后整改。

这里也分享一些经验和踩过的一些坑。

服务公司这里就不说了,说一说发现问题后的事情。

一般看到问题,少不了和产品及开发一通battle。但是要记住一个原则,就是这方面的要求,只能比外面严,不能比外面松。因为检查到问题再通报,监管其实不会听你解释,必须限期内整改。这类问题在内部消化掉,远比被监管通报了再解决,给企业、部门、个人带来的负面影响小。这一点,最好不要妥协。

至于解决具体途径和方法,可以大家好好商议。一个小技巧就是如果公司有比较高层级的合规或者法务部门的话,最好拉上他们一起,他们是你的盟友,要团结一切可以团结的力量。

再说一说常见容易出现问题的点。

首先,是敏感个人信息的收集,需要单独同意,和同意隐私政策一样,需要用户手动去勾选然后才能收集。例如,在涉及银行卡的App业务场景中,收集的银行卡号码,金融账户信息,是需要说明目的并让用户单独同意的。

另外就是工信部第17批次通报的位置信息获取,这也是监管后续关注的趋势之一,这个敏感个人信息的获取,也需要单独的授权同意。从业务必要性来看,非必须位置信息的,还是乖乖关掉比较稳妥。业务需要的,更要注意获取频度,不能随时随地,获取位置信息。

再一个就是SDK的行为检测。

企业的App在开发的时候,大多数时候会需要融合三方的SDK,关注的重点一般都在SDK是否给我提供了需要的功能,而忽略SDK是否超范围收集了信息或者夹带了私货。在这一点上,必须立场坚定态度鲜明,超过我们需要的,不必要的信息收集,必须关闭,不使用。一旦松动,后患无穷。

至于一些开源SDK,那只能选择调试修改或者找替换的SDK,要相信开发团队,肯定可以搞得定,没有解决不了的问题,如果有,那就是一杯茶或者一顿烧烤的事情。

SDK的问题解决掉,App基本就问题不大。

第三个是安全评估,《个人信息保护法》第五十五条和第五十六条要求的开展评估及要求,可以参看《GBT 39335-2020 信息安全技术 个人信息安全影响评估指南》开展,指南其实很详尽,也很容易照着执行并完成。

最后一个是手机号,这个在很多时候,我们把它作为ID使用。用户登录的时候密码肯定加密传输校验,但是手机号是一个比较特殊的个人信息,在传输的时候,也需要一并做加密处理。

大家都知道,安全工作的度量是比较困难的,所以会有不少的认证,比如27001信息安全管理体系认证,取得了认证,基本能够证明企业的信息安全管理具备一定的水平,达到了某个标准。

App在个人信息安全方面的保护能力也一样有认证的,虽然这个认证目前看只在国内有效,但是获得认证,也同样是能够向公司管理层、用户传达一个信息,就是我们的App在保护用户个人信息方面,达到了国家认可的水平。

目前,我了解的App安全方面的认证有2个(大家了解有其他的相关认证欢迎补充),一个是国家市场监管总局和人行推出的【金融科技产品认证-客户端软件】。还有一个更通用一些,也与《个人信息保护法》第六十二条第四部分内容更吻合些的,是由国家市场监管总局和网信办推出的【App安全认证】,这个证目前只授权给了中国网络安全审查技术与认证中心CCRC去做。

从和相关的专家、同行交流来看,这个证目前要求还是比较严格,含金量也存在。接下来就讲一点这个认证的内容。

拿这个认证,说简单也简单,满足《信息安全技术 个人信息安全规范GB/T 35273-2020》里面的要求就行。但其实也不简单,里面共计100多项,需要通过技术检测和现场审核确认。项目的周期5个月到一年多不等,有决心半年内取得认证的有,弄了两年,放弃的也有。项目主要是检测排期和内部整改会耗费不少时间,以及相关流程。

大体流程是企业提出申请,三方检测机构技术检测,整改,技术通过;然后现场审核与整改,通过;最后认定决定,更详细的内容可以在CCRC的官网了解。认证先是相关的管理制度要健全,不全就补充,类似27001那一套,但是相对简单很多,如果内部已经有安全管理体系的基础的话。

几个重要的文件,比如隐私政策,个人信息生命周期管理,影响评估制度与执行,应急预案等,有27001的底子在,这些完善起来很快,没有的话,就需要从基础安全做起。

App安全认证方面的管理要求,较传统安全管理多出的一部分是关于App开发规范、版本发布相关的内容,这部分也不难。相对规范的开发其实这部分都做了,只是可能没落到文件制度上,补一下就ok。

然后是技术检测和问题整改,这个前面基本也说过了,主要是保障用户的权益,对标《个人信息保护法》的个人权利内容,基本就是35273里的每一条都会检测,有意向做认证的完全可以开展一遍自评估,且最好站在最严苛的角度评价是否符合,至少从我的经验看,通常自评估都可以称得上,相当乐观。

关于认证的最后,想说一下的是相关的资源需求。

首先需要合规法务的支持,不管是公司内部的相关部门还是外部合作的律所,在隐私政策上,肯定是需要多次修订的。然后是基础的安全管理组织的支持,这在内部的安全管理上有一些内容。以及,App产品开发的大力支持,因为落在他们身上的整改项,改起来是挺耗资源的。

五、持续的合规管理

App的合法合规,是一个持续性的工作。即便是取得了认证,获得肯定,后续也还是需要继续开展相关的工作内容,比如年度的相关审计,按需不定期的开展影响评估等等。因为有获得认证后,还会被通报的案例存在。

所以,这需要负责的同事和部门经常给领导者们吹风,去强调这个工作的重要性以及后果的严重性,然后定期的同步一些监管动态和内部相关工作的开展情况,监管的通报朋友圈转起来,行业情报在相应的组里发起来。这些信息需要多次、持续的同步传达给相关的部门和人员,不能埋头内部干事,发现的问题和已经解决的问题都需要定期的向上汇报。

最后,在技术侧,我们需要将相关的工作前置,左移,个人信息安全的同事需要参加相关的需求评审,SDK的引入更是建议需要进行审慎的评估。

我的分享基本就到这里,感谢各位的聆听,看看各位有哪些疑问。顺便祝大家周末愉快。

ps:

第五十五条和第五十六条要求的开展评估及要求,可以参看《GBT 39335-2020 信息安全技术 个人信息安全影响评估指南》开展

第二章第二节的敏感个人信息处理规则里,需要注意的是,敏感个人信息,比如常见的人脸与指纹、银行卡、GPS位置信息、医疗信息,需要用户的单独同意,有些还需要书面同意。这一点目前很少有App能覆盖全,这是需要注意的地方。

第四章权利,知情、决定、查阅、复制、更正补充、删除。这里对于删除,在金融行业,法律、行政法规规定的保存期限未届满,那么是无法删除的,但是当用户提出删除的需求,那存储和安全保护之外的措施是不能做的。

第五章义务,管理制度,技术保护措施,事前评估,以及第五十八条定义的组织,需要有外部成员组成的独立机构进行监督,并发布报告接受监督。

---------------------------------------------------

问答环节:

Q1:对于SDK的引入,如果SDK已经提供了安全隐私合规的报告,APP接入后还需要从哪些点来考量它是否合规?

A:合同明确相关责任,有条件,再测一遍其行为最好。

---------------------------------------------------

Q2:目前CCRC的App认证含招商基金在内,累计共30个公司通过认证。我也一直在关注此认证,相比较与半强制的人民银行主导,中互金推动的金融科技App备案,当时怎么考虑要去做CCRC条线的认证?主要是立项背景怎么向上传导和说明。

A:我们当时是两个都在关注的。CCRC的App安全认证我们早期评估就是更优先,但是之前认证一直没有发出来。等到去年第一批发出来后,我们就跟进做了。前期我们和法务保持了密切的关注和内部沟通及向上汇报。

---------------------------------------------------

Q3:我想请教下SDK行为检测这个具体落地方式,比如业务要做一键登录功能,安全检测有可能是做好相关功能后才能开展,有时候可能有点晚

A:安全一定要参加需求评审和讨论,左移。实在没条件,后置了。那也要多沟通,多强调,早发现问题,早解决。主动解决和被动通报有质的不同。

---------------------------------------------------

Q4:有哪些app检测的方法或工具,可以检测到用户在没同意隐私协议下就收集了用户的信息,如位置信息,传感器信息啊?

A1:其实,拉开发的大佬,让他看逻辑,他其实是能理出来的。我们也有这样的情况,开发大佬知道,不说,检测出来了,说这个我知道,我关掉。。。。

A2: 小米手机有一个应用行为记录。可以查看到。

A1: 这确是个好提议,我也用过。但依然需要和开发兄弟确认。因为这个没经过人工核对。

---------------------------------------------------

Q5:大佬,个人信息保护法的应急预案应该遵照怎么样的流程?根据个保法和个人信息规范的融合点去写,侧重点应该关注什么?

A:参照网络安全、安全管理的应急预案流程。侧重点在场景的预测和预案的演练。

---------------------------------------------------

Q6:四部委发了《常见类型移动互联网应用程序必要个人信息范围规定》,像金融类APP收集人脸活体等信息,超出了必要范围,但人脸又是KYC的主要技术手段,这个有什么好的解决方案吗

A:这个我目前没有找到,欢迎找到的大佬拿出来大家共同学习

---------------------------------------------------

Q7: 请问公司app过了CCRC的认证,还会被网信要求整改吗?两者之间有没有必然联系?支撑单位是否一致?

A:CCRC是质量监督条线的。也是网信的支撑机构。所以,会。

声明:本文来自君哥的体历,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。