2022年11月1日,就在《个人信息保护法》实施一周年之际,由国家市场监督总局、国家标准化管理委员会发布的新国家标准《信息安全技术移动互联网应用程序(App)收集个人信息基本要求(GB/T 41391-2022)》(以下简称《基本要求》)正式实施。
《基本要求》于2022年4月15日发布,聚焦App违法违规收集使用个人信息的突出问题,将成为现阶段监管侧及企业侧在移动App方向上的个人信息治理实施过程中的重要参考依据。
奇安盘古隐私安全负责人赵帅表示,近年来个人信息保护监管力度在逐步加强,随着《关于印发〈App违法违规收集使用个人信息行为认定方法〉的通知》(国信办秘字〔2019〕191号)、《关于印发〈常见类型移动互联网应用程序必要个人信息范围规定》的通知》(国信办秘字〔2021〕14号)等文件要求的下发,以及监管、地方监管、行业监管针对用户个人信息权益侵害问题上的联合治理,头部企业对于个人信息保护的重视程度已经越来越高,一些典型的违规问题如未公开收集使用规则、未经用户同意收集个人信息等也得到了有效的遏制,但仍有一些问题,如超范围收集个人信息、违规使用个人信息等问题仍然普遍存在,个人信息收集的合理性、必要性依然是当前监管及企业需要关注的重点。
新国标给企业带来三方面挑战
赵帅认为,作为新的国家标准,《基本要求》明确了App、基本/扩展业务功能、必要/非必要但有关联/无关个人信息等核心概念,实施对象为App,包括移动智能终端预置App、下载安装的App、小程序。
更具体来说,新国标将给企业App开发者提出三个方面的挑战和要求。
首先是App设计的复杂度将进一步提升。例如6.1.e,标准中,提到了“应仅在用户使用业务功能期间,收集该业务功能所需的个人信息”,对于提前收集个人信息、业务功能结束后仍收集个人信息等违规现象进行了要求。而6.4.1.c,标准中,提到“应拆分App的必要个人信息和非必要个人信息的同意”。这些要求都给App开发者提出更细致的要求,提高了开发设计的复杂度。
其次是个人信息合规成为App业务设计之初的关键决策因素。如6.2.d,标准中提到“当无需收集个人信息即可提供App基本业务功能时,应确保用户在不提供个人信息的情况下可正常使用App基本业务功能”,该条对于开发者的App功能设计、研发、运营过程将产生重大影响。
最后是第三方合规成为App开发运营者的关键责任。如6.6.1,标准中提到“App应对第三方应用收集个人信息进行安全管理”。而6.6.1.c,标准中提到“应为用户提供第三方应用授权管理的功能或渠道,确保用户可便捷地关闭或撤回第三方应用可收集个人权限的授权”。如6.6.2.b,标准中提到“应在嵌入第三方SDK前,对SDK是否存在违法违规收集使用个人信息行为、个人信息出境行为进行评估”。
个人信息合规建设的“三步曲”
《基本要求》的正式实施,显著增强了企业个人信息合规建设的紧迫性和必要性。赵帅认为,合规建设不是一项一蹴而就的任务,而需要循序渐进、分步实施的原则,对于大多数合规短板比较严重的企业,可以遵循“三步走”的原则。
步要确保形式合规。在该阶段,可通过外部专业团队指导,快速建立规范的管理制度,在流程、制度等层面满足形式合规,为下一步打下基础。当然,在该阶段可能对实际上存在的收集使用个人信息情况掌握不准确、不全面,距离全面合规尚存距离。
第二步要实现实质合规。在该阶段,通过内部组建合规团队,外部专业机构指导,内部外部深度配合,对个人信息收集、使用等处理过程进行风险评估,并制定合适的修复方案,从而达成实质合规的目标。
第三步要达成持续合规。在业务开展过程中,企业需要随着业务变化不断发现新的合规风险点,并持续改进,避免合规滞后于业务变化。
企业在个人信息合规建设应该注意哪些事项?赵帅给出了更具体的实操建议。
首先,企业要满足政府监管要求,根据相关法规要求内容确定合规基线;
其次,企业应自查自测发现问题并及时整改,同时应建立个人信息安全事件处置机制,面对可能突发的个人信息安全事件,提前准备合适的处置预案;
第三是企业要不断优化合规能力,包括定期自查发现合规风险,分析问题原因,发现合规短板,对合规制度流程进行完善;
最后是企业应在遵守国家数据保护、隐私保护法律的前提下促进业务发展,不能让个人信息保护流于表面。
奇安盘古隐私卫士已支持新国标检测
《基本要求》的实施,意味着围绕移动互联网和个人信息保护的监管将持续收紧,标准进一步细化要求。App运营者需要和第三方专业机构合作,落实合规建设的“三步走”。
据介绍,由奇安盘古隐私安全团队推出的奇安信隐私卫士,它能够立足于解决企业的个人信息保护合规风险问题,针对安卓App、iOSApp、小程序、IoT设备进行隐私合规检测与分析,帮助企业对相关业务应用进行全方位的隐私安全合规检测,提前发现合规隐患,避免由此带来的数据泄漏、资产损失、监管处罚等风险,最终帮助政府、研究机构、企业等更好的履行其在个人信息保护方面的责任和义务。隐私卫士目前已支持对新国标(国标41391)的全面检测。
品类:
终端安全运营,终端安全运营平台,终端安全运营支撑平台
通用: 奇安信成都分公司,成都奇安信公司地址,奇安信业务,奇安信销售, 奇安信公司简介,奇安信公司全称,奇安信客服电话,奇安信官网,奇安信旗下产品,奇安信成都
产品:网神终端安全管理系统 V8.0,奇安信 网神终端安全管理系统 杀毒软件,奇安信安全防护软件,PC端的安全防护软件,PC端隐私保护空白,奇安信服务器安全管理系统(云锁),天眼新一代威胁感知系统(SkyEye),奇安信天擎EDR,天眼威胁检测与反应,终端安全管理、终端防病毒、终端流量监测,天擎终端安全管理系统,奇安信天擎,奇安信 网神终端安全管理系统 杀毒软件 ,奇安信网神终端安全管理系统,奇安信终端安全系列产品:奇安信天擎V10,ESOP这款数字化终端安全运营支撑平台
360网神终端安全管理系统,360天擎终端安全管理系统V6.0
网神SecGate 3600下一代极速防火墙 网神SecGate 3600 防火墙 网神SecGate 3600安全网关(IPSec VPN) 网神SecGate 3600安全网关(UTM) 网神SecSIS 3600网闸 网神SecIPS 3600入侵防御系统 网神SecIDS 3600入侵检测系统 网神SecAV 3600防毒墙 网神SecSSL 3600安全接入网关 网神SecWAF 3600应用防火墙 网神SecSSM 3600服务器安全加固管理系统 网神SecBMS 3600带宽管理系统 网神虚拟化办公平台 网神SecVSS 3600漏洞扫描系统 网神SecCloud3600私有云病毒查杀系统 网神SecDefense3600多维终端防御系统 网神SecADS 3600应用交付系统 网神SecDDOS 3600抗拒绝服务攻击产品 网神安全通告 网神SecFox日志收集与分析系统 网神SecFox运维安全管理与审计系统 网神SecFox日志收集与分析系统 360网神防火墙NSG5000-TG30P-Q 网神SecFox安全审计系统 360网神防火墙NSG-1260 360网神防火墙NSG-1460 360网神安全分析与管理系统 360网神服务器安全管理系统 奇安信网神SecFox日志收集与分析系统 360网神数据防泄漏系统 奇安信网神私有云杀毒管理系统(Windows版) 360网神终端安全管理系统 360网神移动存储介质管理系统及安全U盘软件 1 360网神终端安全管理系统 V7.0 终端安全管理系统V7.0(桌面端) 1 450元/点 360网神终端安全管理系统是面向政府、企业、金融、军队、医疗、教育、制造业等大型企事业单位推出的终端安全管理一体化的解决方案。360网神终端安全管理系统,以大数据技术为支撑、以可靠服务为保障,它能够为用户提供终端资产管理、系统补丁管理、运维管控、日志审计、XP盾甲防护等功能。。 2 360网神终端安全管理系统 V7.0 终端安全管理系统V7.0(服务器端) 1 3000元/点 360网神终端安全管理系统是面向政府、企业、金融、军队、医疗、教育、制造业等大型企事业单位推出的终端安全管理一体化的解决方案。360网神终端安全管理系统,以大数据技术为支撑、以可靠服务为保障,它能够为用户提供终端资产管理、系统补丁管理、运维管控、日志审计、XP盾甲防护等功能。
奇安信网神新一代智慧防火墙,nsg3000 te45p
成都科汇科技有限公司(IT解决方案商)
地址:四川省成都市武侯区人民南路四段一号时代数码大厦18楼A5
电话咨询热线:400-028-1235
QQ咨询热线: 1325383361
24小时咨询热线:180 8195 0517(微信同号)
本文章为转发的公开信息,如有相关侵权,敬请联系上述联系方式即可删除。