网络安全始终是社会关注的重点,数据显示,网民遭受的各类网络安全问题中比例最高的是个人信息泄露。而APP作为用户日常生活、工作、学习的载体,其发挥的作用不言而喻,当移动应用存在违法违规行为或被不法分子利用时,如个人信息的过度采集、滥用和泄露等,将会对个人的正常生活、财产、名誉等造成严重影响。因此,个人信息的保护十分重要,移动应用的合法合规也成为了应用开发企业、监管机构等重点关注的焦点。
个人信息安全如此重要,国家在《中华人民共和国网络安全法》的框架下,陆续制定并发布了《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》,从法律层面明确了个人信息保护的目标和要求,明确了个人的权益和相关方的义务。爱加密,作为国内知名的移动信息安全综合服务提供商,使命是守护互联世界,将会通过自主核心技术帮助实现移动应用的合法合规、助力移动应用安全生态圈的构建。
针对众多APP开发者、运营者面临的自查自改不到位、成本高耗费精力大、自检维度不全结果不准确、难以实现与监管要求的完整匹配等问题,爱加密可提供个人隐私合规测评服务,为用户APP/SDK/小程序提供完整的本地化、专业化、系统化、定制化的信息安全合规差距测评、差距整改、合规咨询和合规建设服务,帮助企业快速满足国家、监管机构及企业自身的合规政策和标准要求。
01评估依据
◎《中华人民共和国个人信息保护法》
◎ 《常见类型移动互联网应用程序必要个人信息范围规定》
◎ 《移动互联网应用程序(APP)使用软件开 发工具包(SDK)安全指引》
◎ 《移动互联网应用程序(APP)系统权限申请使用指南》
◎ 《App违法违规收集使用个人信息自评估指南》
◎ 《移动互联网应用程序(APP)收集使用个人信息自评估指南》
◎ 《关于开展纵深推进APP侵害用户权益专项整治行动的通知(工信部信管函〔2020〕164号)》
◎ 《关于开展APP侵害用户权益专项整治工作的通知(工信部信管函〔2019〕337号)》
◎ 《GB/T 35273-2020-信息安全技术 个人信息安全规范》
◎ 《信息安全技术 移动互联网应用程序(APP)收集个人信息基本规范(征求意见稿)》
◎ 《中华人民共和国网络安全法》
◎ 《APP违法违规收集使用个人信息行为认定方法》
◎ 《个人信息出境安全评估办法(征求意见稿)》
02评估方式
本地核查
隐私政策文本、实际运行状态 ...
查看APP隐私政策文本描述和人工遍历全部业务功能、调用接口行为信息和个人信息权限代码声明列表核验,通过进行点击触发对比收集使用的个人信息,核查是否私自、超范围收集使个人信息。
自动化检测
出入境情况、SDK使用情况 ...
检测APP个人信息是否存在IP跨境传输和SDK收集使用个人信息行为,通过查看自动化检测所输出的报告描述,核查实际合规情况。
渗透测试
存储位置、安全措施 ...
检测APP数据传输、数据存储所使用的安全措施,通过查看渗透测试所输出的报告描述,对比隐私政策文本个人信息安全保护措施和能力要求是否对实际防护情况进行相应描述。
协助整改
权限目的、个人信息用于用户画像、个性化展示情况、注销模块 ...
以远程或现场协助整改的方式,提供一对一个人信息检测不合规项解读,并提供对应不合规项国家监管层面的合规标准、相关合规设计案例等,同时通过工具监控代码调用行为信息,帮助开发定位问题所在,快速有效的完成合规整改。
《个人信息保护法》的出台意义重大,不仅仅只是意在保护个人信息,同时也是在规范个人信息处理、促进个人信息的合理利用。从法律框架到实施细则,未来将是一个多方力量不断完善、共同促进的过程。爱加密也将充分发挥在移动应用安全领域中的优势作用,持续推进个人信息安全保护的进程。