八部门共同规范教育App,再不重视App安全就晚了
星期一, 十一月 11, 2019
近年来,早教幼教市场快速崛起,教育App迎来爆发式增长,尤其是以App为主要载体的方式以参与度高、互动性强广受欢迎,极大推动了“互联网+教育”的发展。然而,业务发展的背后恰恰是安全的缺失,一方面,缺乏准入门槛,教育App泛滥、存在有害信息传播、广告丛生等问题;另一方面,教育App安全问题也饱受争议,过度采集个人信息,给师生、家长带来了极大的困扰。
2019年9月5日,为引导规范教育移动互联网应用(以下简称“教育App”)有序健康发展,教育部、中央网信办、工业和信息化部、公安部、民政部、市场监管总局、国家新闻出版署、全国“扫黄打非”办八部门联合印发了《关于引导规范教育移动互联网应用有序健康发展的意见》(以下简称《意见》)。这是国家层面发布的首个全面规范教育App的政策文件,覆盖各学段教育和各类教育App,对促进“互联网+教育”发展具有重要意义。
1、建立备案制度
要求和出处:
在“总体要求–工作目标–提高供给质量”小节中,《意见》提出教育移动应用提供者上线新应用前,应当在备案单位更新相关信息。
解读:
《意见》中明确要求教育移动应用提供者应当在取得ICP备案(涉及经营电信业务的,还应当申请电信业务经营许可)、网络安全等级保护定级备案的证明、等级测评报告后,向机构住所地的省级教育行政部门进行教育业务备案。
因此,教育App必须按照等级保护2.0要求,通过测评,这是备案的必要条件。
2、规范数据管理
要求和出处:
在“总体要求–工作目标–提高供给质量”小节中,《意见》提出教育移动应用提供者应当建立覆盖个人信息收集、储存、传输、使用等环节的数据保障机制。收集使用个人信息应当明示收集使用信息的目的、方式和范围,并经用户同意。收集使用未成年人信息应当取得监护人同意、授权。不得以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得收集与其提供服务无关的个人信息,不得违反法律法规与用户约定,不得泄露、非法出售或非法向他人提供个人信息。
解读:
该要求强调两个重点:
(1)教育移动应用应根据数据使用的生命周期采取相应的安全防护。数据中心侧的防护,等级保护要求大多数可以覆盖;App侧的防护,需要从检测漏洞、渗透测试入手,并进行多种防护手段。
(2)教育移动应用需要满足国家对个人信息保护的相关要求。
3、保障网络安全
要求和出处:
在“总体要求–工作目标–提高供给质量”小节中,《意见》提出教育移动应用提供者应当落实网络安全主体责任,采取有效措施,防范应对网络攻击,保障系统的平稳、安全运行。教育移动应用和后台系统应当统一落实网络安全等级保护要求。应用商店等移动应用分发平台提供者应当加强教育移动应用上架审核管理,建立开发者真实身份信息登记制度,对教育移动应用开展安全审核,及时处理违法违规教育移动应用。鼓励教育移动应用提供者参加网络安全认证、检测,全面提高网络安全保障水平。
解读:
该要求强调两个重点:
(1)教育移动应用提供者要落实等级保护主体责任,进一步强调等级保护的要求。
(2)鼓励教育移动应用参加“App安全认证”。
根据意见,规范教育App坚持问题导向、标本兼治,从供给侧和需求侧两端综合施策。适逢当下App监管趋严且常态化的大趋势,《儿童个人信息网络保护规定》也于2019年10月1日正式施行,教育App的网络安全不仅需要考虑App安全标准政策,还需结合其主要使用对象适用的法律法规加强约束,严格遵循相关法律法规标准的规定,这样教育App才能在业务发展的同时走得更远!
梆梆安全作为App安全的开创者及引领者,长期专注App安全的研究,针对意见的规定,梆梆安全提供以下产品及服务:
1、网络安全等级保护一站式咨询服务:梆梆安全为用户提供教育App网络安全等级保护一站式咨询整改服务。
2、App安全认证咨询服务:梆梆安全为用户提供通过国家认可、中国网络安全认证与审查中心下发的“App安全认证”咨询服务,帮助企业满足认证要求。
3、App个人信息保护检测和整改服务:梆梆安全为用户提供符合国家多部门监管要求的个人信息保护检测和整改咨询。
4、移动应用合规平台:帮助用户从技术和管理两方面对App个人信息保护的合规现状进行评估。
移动应用的网络安全保障是一项系统性工程,教育部等八部门《关于引导规范教育移动互联网应用有序健康发展的意见》的发布敲响了教育领域App安全整治的警钟。梆梆安全围绕移动应用全生命周期的系列安全产品及丰富的解决方案,可以有效护航“互联网+教育”发展,为教育App等保合规、个人信息保护、网络安全保障全程提供助力。