如今,在移动互联网的大力发展下,保险行业服务形态已发生全面变化,众多保险公司纷纷推出各自的APP、公众号、小程序等移动应用移动应用正在成为保险行业销售和服务的主流渠道。与此同时,与保险业移动应用相关的投诉及问题快速增长,根据银保监会数据2021年投诉同比增长121.01%。
在投诉的主要问题中,个人隐私信息遭泄漏此类安全问题占比较大。不仅如此,保险行业移动应用被监管通报屡见不鲜,这些存在“违规收集个人信息”、“违规使用个人信息”、“APP强制、频繁、过度索取权限”等相关问题的APP被责令要求整改,对不整改的依法进行处置。
保险行业APP隐私合规难点在哪?
1、法规条文规则众多且不熟悉,较难进行合规判定
保险公司个人信息及隐私方面专业法务团队较少,研发测试人员对相关的法规、条文不熟悉,进行针对性合规检测较困难。
2、APP数据量庞大,耗费大量人力、时间成本
针对多款APP进行个人隐私合规检测, APP本身合规性参差不齐,检测工作量庞大,需要耗费大量的人力、时间等成本。
3、隐私合规判断流程繁琐、复杂、验证APP环节众多
不同的法规、标准对APP的检测要求众多,需要对APP隐私政策前行为、APP后台保活、APP进程杀掉、权限拒绝等多个环节进行全面检测,对检测和验证分析的技术要求较高。
4、APP/SDK的应用行为与隐私政策对应不一致
研发环节及人员众多,对APP中SDK的调用及个人信息的使用缺少统一管理,很难掌握所有嵌入的第三方SDK与个人信息相关的数据调用、应用行为等信息。
保险行业合规要求法律依据
中国人民银行印发关于《发布金融行业标准加强移动金融客户端应用软件安全管理》的通知 (银发〔2019〕237号)中提出:加强个人金融信息保护:移动金融客户端应用软件加强个人金融信息保护,进行评估和整改。
JR/T0171-2020《个人金融信息保护技术规范》把个人金融信息生命周期明确划分为收集、传输、使用、存储、删除、销毁六大过程。对个人金融信息进行分类、分级,不同级别做出不同要求,为237号文提到的个人信息保护、个人信息评估提供了依据。
保险移动应用信息安全基本要求 (JR/T 0225-2021)提出,应建立移动应用的个人信息保护政策,对个人信息的收集、使用、保护等进行说明。银保监会《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》指出,应深入查找本机构个人信息保护方面存在的问题,列出问题清单。自查过程中要坚持立查立改。
爱加密APP隐私合规建设思路
通过建设移动应用个人信息隐私合规检测平台和专家人工测评团队,采用成熟的静态检测和动态分析技术,对APP的个人隐私获取情况进行持续性评估,形成完善的个人信息安全检测报告,以落实《网络安全法》、《个人信息保护法》 、 《个人信息安全规范》 、 《App违法违规收集使用个人信息自评估指南》 、《个人金融信息保护技术规范》等要求,确保保险类APP、小程序、公众号等移动应用合法合规地生产运营。
1、平台快速自动化检测+深度遍历
建设移动应用个人信息安全检测平台,基于平台的检测、抓取、分析能力,针对个人信息安全核心法规/行业标准/监管文件,进行移动应用自动化快速检测+手工遍历检测,自动输出合规检测报告。
2、安全专家团队+人工全面测评
搭建移动应用个人信息安全专家团队,依据个人信息合规全部相关国家法规/行业标准/监管文件,进行全面、深入的合规测评,人工严格复核后输出全量合规测评报告,并配合一对一指导整改。
爱加密个人隐私合规优势及价值
支持SAAS及本地部署
个人信息安全检测平台支持SAAS、本地部署、一体机、接口、报告等多种模式来提供服务。
批量自动化检测能力
云手机结合自动化遍历技术,可完成大批量自动化合规风险检测,快速发现APP中存在的合规风险,可针对164号文、191号文、GB/T35273-2020中共计50多个检测场景进行快速自动化检测,一天最多可完成5000个APP检测。
iOS、Android检测
覆盖移动端iOS、Android主流系统(目前仅有少量厂商平台可全面支持iOS端的个人信息合规检测)。