當(dāng)前熱門：APP收集個人信息新國標(biāo)11月1日實施 企業(yè)合規(guī)建設(shè)亟需“三步走”

（CWW）2022年11月1日，就在《個人信息保護法》實施一周年之際，由國家市場監(jiān)督總局、國家標(biāo)準化管理委員會發(fā)布的新國家標(biāo)準《信息安全技術(shù)移動互聯(lián)網(wǎng)應(yīng)用程序（App）收集個人信息基本要求（GB/T 41391-2022）》（以下簡稱《基本要求》）正式實施。

《基本要求》于2022年4月15日發(fā)布，聚焦App違法違規(guī)收集使用個人信息的突出問題，將成為現(xiàn)階段監(jiān)管側(cè)及企業(yè)側(cè)在移動App方向上的個人信息治理實施過程中的重要參考依據(jù)。

奇安盤古隱私安全負責(zé)人趙帥表示，近年來個人信息保護監(jiān)管力度在逐步加強，隨著《關(guān)于印發(fā)〈App違法違規(guī)收集使用個人信息行為認定方法〉的通知》（國信辦秘字〔2019〕191號）、《關(guān)于印發(fā)〈常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》的通知》（國信辦秘字〔2021〕14號）等文件要求的下發(fā)，以及中央監(jiān)管、地方監(jiān)管、行業(yè)監(jiān)管針對用戶個人信息權(quán)益侵害問題上的聯(lián)合治理，頭部企業(yè)對于個人信息保護的重視程度已經(jīng)越來越高，一些典型的違規(guī)問題如未公開收集使用規(guī)則、未經(jīng)用戶同意收集個人信息等也得到了有效的遏制，但仍有一些問題，如超范圍收集個人信息、違規(guī)使用個人信息等問題仍然普遍存在，個人信息收集的合理性、必要性依然是當(dāng)前監(jiān)管及企業(yè)需要關(guān)注的重點

(資料圖片僅供參考)

新國標(biāo)給企業(yè)帶來三方面挑戰(zhàn)

趙帥認為，作為新的國家標(biāo)準，《基本要求》明確了App、基本/擴展業(yè)務(wù)功能、必要/非必要但有關(guān)聯(lián)/無關(guān)個人信息等核心概念，實施對象為App，包括移動智能終端預(yù)置App、下載安裝的App、小程序。更具體來說，新國標(biāo)將給企業(yè)App開發(fā)者提出三個方面的挑戰(zhàn)和要求。

首先是App設(shè)計的復(fù)雜度將進一步提升。例如6.1.e，標(biāo)準中，提到了“應(yīng)僅在用戶使用業(yè)務(wù)功能期間，收集該業(yè)務(wù)功能所需的個人信息”，對于提前收集個人信息、業(yè)務(wù)功能結(jié)束后仍收集個人信息等違規(guī)現(xiàn)象進行了要求。而6.4.1.c，標(biāo)準中，提到“應(yīng)拆分App的必要個人信息和非必要個人信息的同意”。這些要求都給App開發(fā)者提出更細致的要求，提高了開發(fā)設(shè)計的復(fù)雜度。

其次是個人信息合規(guī)成為App業(yè)務(wù)設(shè)計之初的關(guān)鍵決策因素。如6.2.d，標(biāo)準中提到“當(dāng)無需收集個人信息即可提供App基本業(yè)務(wù)功能時，應(yīng)確保用戶在不提供個人信息的情況下可正常使用App基本業(yè)務(wù)功能”，該條對于開發(fā)者的App功能設(shè)計、研發(fā)、運營過程將產(chǎn)生重大影響。

最后是第三方合規(guī)成為App開發(fā)運營者的關(guān)鍵責(zé)任。如6.6.1，標(biāo)準中提到“App應(yīng)對第三方應(yīng)用收集個人信息進行安全管理”。而6.6.1.c，標(biāo)準中提到“應(yīng)為用戶提供第三方應(yīng)用授權(quán)管理的功能或渠道，確保用戶可便捷地關(guān)閉或撤回第三方應(yīng)用可收集個人權(quán)限的授權(quán)”。如6.6.2.b，標(biāo)準中提到“應(yīng)在嵌入第三方SDK前，對SDK是否存在違法違規(guī)收集使用個人信息行為、個人信息出境行為進行評估”。

個人信息合規(guī)建設(shè)的“三步曲”

《基本要求》的正式實施，顯著增強了企業(yè)個人信息合規(guī)建設(shè)的緊迫性和必要性。趙帥認為，合規(guī)建設(shè)不是一項一蹴而就的任務(wù)，而需要循序漸進、分步實施的原則，對于大多數(shù)合規(guī)短板比較嚴重的企業(yè)，可以遵循“三步走”的原則。

第一步要確保形式合規(guī)。在該階段，可通過外部專業(yè)團隊指導(dǎo)，快速建立規(guī)范的管理制度，在流程、制度等層面滿足形式合規(guī)，為下一步打下基礎(chǔ)。當(dāng)然，在該階段可能對實際上存在的收集使用個人信息情況掌握不準確、不全面，距離全面合規(guī)尚存距離。

第二步要實現(xiàn)實質(zhì)合規(guī)。在該階段，通過內(nèi)部組建合規(guī)團隊，外部專業(yè)機構(gòu)指導(dǎo)，內(nèi)部外部深度配合，對個人信息收集、使用等處理過程進行風(fēng)險評估，并制定合適的修復(fù)方案，從而達成實質(zhì)合規(guī)的目標(biāo)。

第三步要達成持續(xù)合規(guī)。在業(yè)務(wù)開展過程中，企業(yè)需要隨著業(yè)務(wù)變化不斷發(fā)現(xiàn)新的合規(guī)風(fēng)險點，并持續(xù)改進，避免合規(guī)滯后于業(yè)務(wù)變化。

企業(yè)在個人信息合規(guī)建設(shè)應(yīng)該注意哪些事項？趙帥給出了更具體的實操建議。

首先，企業(yè)要滿足政府監(jiān)管要求，根據(jù)相關(guān)法規(guī)要求內(nèi)容確定合規(guī)基線；

其次，企業(yè)應(yīng)自查自測發(fā)現(xiàn)問題并及時整改，同時應(yīng)建立個人信息安全事件處置機制，面對可能突發(fā)的個人信息安全事件，提前準備合適的處置預(yù)案；

第三是企業(yè)要不斷優(yōu)化合規(guī)能力，包括定期自查發(fā)現(xiàn)合規(guī)風(fēng)險，分析問題原因，發(fā)現(xiàn)合規(guī)短板，對合規(guī)制度流程進行完善；

最后是企業(yè)應(yīng)在遵守國家數(shù)據(jù)保護、隱私保護法律的前提下促進業(yè)務(wù)發(fā)展，不能讓個人信息保護流于表面。

奇安盤古隱私衛(wèi)士已支持新國標(biāo)檢測

《基本要求》的實施，意味著圍繞移動互聯(lián)網(wǎng)和個人信息保護的監(jiān)管將持續(xù)收緊，標(biāo)準進一步細化要求。App運營者需要和第三方專業(yè)機構(gòu)合作，落實合規(guī)建設(shè)的“三步走”。據(jù)介紹，由奇安盤古隱私安全團隊推出的奇安信隱私衛(wèi)士，它能夠立足于解決企業(yè)的個人信息保護合規(guī)風(fēng)險問題，針對安卓App、iOSApp、小程序、IoT設(shè)備進行隱私合規(guī)檢測與分析，幫助企業(yè)對相關(guān)業(yè)務(wù)應(yīng)用進行全方位的隱私安全合規(guī)檢測，提前發(fā)現(xiàn)合規(guī)隱患，避免由此帶來的數(shù)據(jù)泄漏、資產(chǎn)損失、監(jiān)管處罰等風(fēng)險，最終幫助政府、研究機構(gòu)、企業(yè)等更好的履行其在個人信息保護方面的責(zé)任和義務(wù)。隱私衛(wèi)士目前已支持對新國標(biāo)（國標(biāo)41391）的全面檢測。

關(guān)鍵詞： 個人信息保護 網(wǎng)絡(luò)安全