計算機的普及與應用被公認為信息技術的第五次革命,而網際網路則是將這場革命推向高潮的一雙巨手。隨著PC端網際網路日趨飽和,更多的智能行動裝置漸漸成為我們日常生活中不可或缺的部分,移動網際網路應用已經滲透到我們每個人的衣食住行每個方面。
然而近年來,移動網際網路App強制授權、過度索權、超範圍收集個人信息的現象大量存在,App違法違規收集使用個人信息的問題日漸嚴峻。為了規範App收集、使用個人信息的行為,加強個人信息安全保護,國家屢次重拳出擊。
2019年,市場監管總局、中央網信辦決定開展App安全認證工作,對App收集、存儲、傳輸、處理、使用個人信息等活動的合格評定,並指定中國網絡安全審查技術與認證中心(CCRC)作為此項認證的認證機構。
App安全認證適用於任何具有收集、存儲、傳輸和使用個人信息行為的App。App安全認證通過後,CCRC將頒發認證證書,並授權獲證App運營者使用認證標識。獲證App可以在應用市場、搜尋引擎使用認證標誌,並獲得優先推薦,向消費者和用戶傳遞安全信任,引導網民在下載同類App時優先選擇獲證App。
那麼究竟如何開展App認證工作呢?主要依據GB/T 35273《信息安全技術 個人信息安全規範》《移動網際網路應用程式(App)安全認證實施規則》以「技術驗證+現場審核+獲證後的監督」的模式開展,認證流程為:
1、申請受理
申請方向認證機構提交申請材料,認證機構對申請材料進行文件審核,向申請方反饋受理決定,對於受理的申請,申請方需確認技術驗證的App名稱和版本信息。
2、技術驗證
認證機構指定的檢測機構依據標準和技術規範實施技術驗證,出具技術驗證報告。技術驗證採用實驗室檢測和現場核查結合的方式。實驗室檢測時,檢測機構按照申請書中描述的樣品獲取方式獲取樣品,在檢測機構場所實施檢測;現場核查時,檢測機構到申請方運營現場進行評估。發現不符合時,檢測機構向申請方出具不符合報告,並要求限期整改;逾期未完成整改的,中止認證過程。
3、現場審核
認證機構按照現場審核規範實施現場審核,出具現場審核報告。發現不符合時,認證機構向認證申請方出具不符合報告,並要求限期整改;逾期未完成整改的,中止認證過程。
4、認證決定
認證機構根據申請資料、技術驗證結論和現場審核結論等進行綜合評價,做出認證決定。認證決定通過後,認證機構向申請方頒發認證證書,並授權獲證App運營者使用規定的認證標誌。認證決定不通過的,終止認證。
5、獲證後的監督
認證機構對獲證App進行實時在線監測,重點監測:渠道一致性、版本一致性、持續合規性、認證標誌使用合規、安全性等內容,並開通了網民監督投訴舉報渠道。同時,獲證App運營者對獲證App持續符合認證要求的情況進行自評價。當出現如下情形時,獲證App運營者應向認證機構提交自評價報告:
(1)獲證App的分發渠道發生變化;
(2)認證標誌使用情況發生變化;
(3)獲證App隱私政策發生變化;
(4)獲證App收集、處理和使用個人信息的目的、類型、方式發生變化;
(5)獲證App運營者對所收集個人信息的共享、轉讓、公開披露的對象、方式和目的發生變化;
(6)獲證App運營者收到獲證App個人信息保護相關的投訴舉報。
流程簡圖如下:
App安全認證工作將利用市場選擇機制的淘汰和正面示範效應,引導App運營者進一步規範個人信息收集、使用、轉讓等行為,在一些涉及個人敏感信息的關鍵領域,形成事實上的安全準入門檻,為數據安全綜合治理提供基礎性技術支撐,為努力營造起健康的App安全生態,減少各行業管理部門的重複檢測和評估,切實降低企業負擔起到積極作用。
在CCRC承擔的2020年國家級檢驗檢測機構能力驗證計劃「移動網際網路應用程式(App)個人信息安全測試」項目中,中國金融認證中心(CFCA)已按要求提交能力驗證結果,目前已被CCRC認定可以作為檢測機構進行檢測工作。而CFCA也已經做好準備,不僅可以提供檢測服務,也可提供個人信息安全的諮詢業務,助力App規範個人信息收集及使用,合法合規運營。