超大城市交通出行App个人信息合规评估实践
2022-8-16 09:54:27 Author: www.4hou.com(查看原文) 阅读量:16 收藏

导语:今天,我们用App进行网络购物、订票、美食、生活资讯、地图、旅行、天气、导航、健康、看电影等,App已经渗透到人们的衣食住行各个方面,彻底改变了现代人的日常工作生活习惯。

今天,我们用App进行网络购物、订票、美食、生活资讯、地图、旅行、天气、导航、健康、看电影等,App已经渗透到人们的衣食住行各个方面,彻底改变了现代人的日常工作生活习惯。

与此同时,App乱象丛生。其中,过度收集用户个人信息、隐私条款不完善或缺失情况严重等问题成为消费者最大的困扰之一。于是,国家从立法、监管、治理等方面展开行动。

APP开始踏上一条被监管、治理,满足合规的求生存、谋发展之路。

作为出行必备,交通App在后疫情时代发挥的作用越来越大,这类APP收集使用了大量个人隐私和敏感信息,如个人基础信息、个人轨迹信息、个人生物识别信息等,与此同时,交通App违法、违规收集使用个人信息问题开始凸显。因此,这类App的个人信息合规评估需求也在十分迫切。本文将分享云集至针对超大城市交通App个人信息合规评估实践。

处罚!“滴滴”预警,合规之剑高悬

2022年7月21日,国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规,对滴滴全球股份有限公司(以下简称“滴滴”)做出处罚,决定罚款80.26亿,同时对滴滴CEO程维、总裁柳青各处人民币100万罚款。

本事件社会影响、处罚力度空前,也对众多交通App运营者亮出了合规这一把悬顶之剑,警示交通App运营者依法做好个人信息合规评估。

刚需!个人信息合规评估需求

如今,交通出行方式发生巨大改变,人们只需下载一款交通App即可便捷乘坐公交地铁。交通App除了为人们日常出行提供便捷,还需要维护个人信息主体的合法权益,履行个人信息保护的义务。

近年来,国家针对个人信息保护从立法、执法等层面均开展一系列动作,

法律层面,《个人信息保护法》出台;

标准层面,GB/T 35273-2020《信息安全技术 个人信息安全规范》发布;

执法层面,由中央网信办、工信部、公安部、市场监管总局指导成立了App违法违规收集使用个人信息专项治理工作组(App专项治理工作组),该小组出台了《App违法违规收集使用个人信息行为认定方法》和《App违法违规收集使用个人信息自评估指南》。

挑战!个人信息合规评估难点

基于合规要求,达到规范交通App收集使用个人信息,维护个人信息主体权益的目的,交通App个人信息合规评估工作内容包含:

  • 开展App个人信息合规检查,针对IOS、安卓两大手机系统进行评估;

  • 形成App个人信息合规评估报告,包含合规问题和整改建议;

  • 跟踪App开发团队进行问题整改。

针对本次交通App个人信息合规整体评估工作,客户发出四大灵魂拷问:

1、疫情当下,个人信息超范围收集亟需合规

背景:新冠疫情当下,疫情管控层面牵涉到多方验证用户信息,出行数据收集过量,但用户无法拒绝的困境。

拷问:如何定义采集数据与疫情验证的必要性?

2、登陆强制、过度索取人脸等生物特征

背景:首次App登陆强制人脸识别,并存储人脸识别信息,保护措施未知。

拷问:身份认证强度弱,不得已采用人脸识别,是否有更好的替换方法?

3、隐私规定与App实际隐私政策差距过大

背景:隐私政策内容不清晰、用词含糊、语义不清、冗长难懂、用户难理解,“霸王条款”限制用户权利,默认、强制用户同意隐私政策,侵犯用户选择权等都是目前的常态化问题。

拷问:传统律师存在技术短板,我们可能缺少数据安全法律解读专家+数据安全专家分析?

4、数据共享行为未规范,缺乏约束措施

背景:共享行为未向用户明示;未经用户同意转移用户个人信息。用户拒绝同意的情况下,依然转移;未对第三方数据共享行为进行安全评估,时常发生。

拷问:如何发现全部App后台共享接口,并监督非预期的业务的数据共享?

面对以上灵魂拷问

客户需要一支专业队伍

解决两大诉求:快速应对+成果展现

仅三天时间,需要完成针对六款交通App的个人信息合规评估,包括完成评估计划、评估实施、评估报告等一系列事情。时间紧,任务重,对评估团队来说是挑战。

评估围绕《个人信息保护法》、GB/T 35273-2020《信息安全技术 个人信息安全规范》、《App违法违规收集使用个人信息行为认定方法》、《App违法违规收集使用个人信息自评估指南》四项合规文件进行解读并输出合规检查表,最后的评估工作需要以可视化交付物进行呈现,对评估团队的政策法规解读能力和个人信息合规评估经验均是考验。

专业!体系流程+可视化成果

1、建立合规评估流程

为了在最短时间完成最好的个人信息合规评估效果,云集至构建了“评估—分析—整改”三步走的思路。云集至安服专家结合过往丰富的标准参与制定和政策解读经验,快速将合规文件解读转化成合规检查表,采取“人工+工具”检查方式,即专业的安全团队结合专业化的检测工具,多个安服工程师分工协作进行App评估、分析、整改,快速完成了本次评估工作,攻克了时间紧任务重、合规对标项多的难题。

1660549606505664.jpeg

1、App评估

APP评估涵盖三方面内容:

  • App检查:人工服务,依据《合规检查表》对APP功能进行检查;

  • App检测:工具检测,完成APP权限、SDK、行为检测;

  • 渗透测试:通过渗透测试,发现APP漏洞。

2、App分析

依据APP评估结果,进行合规、SDK、漏洞等的综合分析,形成APP个人信息合规评估报告。

3、App整改

跟踪交通App开发团队,及时验证问题的整改情况,直至满足合规要求。

2、交付合规评估结果

本次交通App个人信息合规评估工作,将合规问题的分布加以统计、合规问题的分类加以描述以及漏洞问题统计,通过工具和图表的形式进行了可视化成果展示,帮助用户直观地看见交通App存在的个人信息安全问题。通过将以下内容进行可视化成果展示,帮助客户实现合规和安全收益。

满足!客户收货评估收益

本次交通App个人信息合规评估工作的完成,帮助App运营者达到以下效益:

1、满足合规要求

基于对个人信息保护法、个人信息安全规范、《App违法违规收集使用个人信息行为认定方法》和《App违法违规收集使用个人信息自评估指南》等一系列政策的合规要求满足,制定合规检查表开展合规检查实践。通过输出合规评估工作的可视化文档成果,帮助App运营主体实现个人信息采集、使用等的自查、自检、自评估,切实维护好个人信息主体的合法权益,从而帮助App运营主体避免违法违规处罚。

2、弥补安全漏洞

利用渗透测试等方法发现App的安全漏洞,通过对安全漏洞的分析全面汇总安全漏洞详情,并输出相关交付文档,高效指导App运营主体对安全漏洞及时做出应对和处理,降低攻击面,大大提升了App的安全系数。

3、App趋规范化

在个人信息保护法的政策背景下,实现App个人信息收集与使用的规范化,主动维护和深度参与营造清朗的App运营环境,整体提升App用户的体验和粘性。

云集至作为专业的数据安全厂商,将继续以此为标杆,深入更多作为App运营主体的客户真实业务场景,与之共建合规、安全、规范的运营环境。我们响应号召,App个人信息合规应当举各方力量来进行协同共治。需要依靠网信、工信部、公安等部门协同配合,推动构建政府监管、企业自律、媒体监督、社会组织和用户共同参与的综合监管格局,进一步营造更安全、更清朗、更可靠的个人信息保护和数据安全工作局面。

如若转载,请注明原文地址


文章来源: https://www.4hou.com/posts/wg2M
如有侵权请联系:admin#unsafe.sh