(CWW)2022年11月1日,就在《个人信息保护法》实施一周年之际,由国家市场监督总局、国家标准化管理委员会发布的新国家标准《信息安全技术移动互联网应用程序(App)收集个人信息基本要求(GB/T 41391-2022)》(以下简称《基本要求》)正式实施。
《基本要求》于2022年4月15日发布,聚焦App违法违规收集使用个人信息的突出问题,将成为现阶段监管侧及企业侧在移动App方向上的个人信息治理实施过程中的重要参考依据。
(资料图)
奇安盘古隐私安全负责人赵帅表示,近年来个人信息保护监管力度在逐步加强,随着《关于印发〈App违法违规收集使用个人信息行为认定方法〉的通知》(国信办秘字〔2019〕191号)、《关于印发〈常见类型移动互联网应用程序必要个人信息范围规定》的通知》(国信办秘字〔2021〕14号)等文件要求的下发,以及中央监管、地方监管、行业监管针对用户个人信息权益侵害问题上的联合治理,头部企业对于个人信息保护的重视程度已经越来越高,一些典型的违规问题如未公开收集使用规则、未经用户同意收集个人信息等也得到了有效的遏制,但仍有一些问题,如超范围收集个人信息、违规使用个人信息等问题仍然普遍存在,个人信息收集的合理性、必要性依然是当前监管及企业需要关注的重点
新国标给企业带来三方面挑战
赵帅认为,作为新的国家标准,《基本要求》明确了App、基本/扩展业务功能、必要/非必要但有关联/无关个人信息等核心概念,实施对象为App,包括移动智能终端预置App、下载安装的App、小程序。更具体来说,新国标将给企业App开发者提出三个方面的挑战和要求。
首先是App设计的复杂度将进一步提升。例如6.1.e,标准中,提到了“应仅在用户使用业务功能期间,收集该业务功能所需的个人信息”,对于提前收集个人信息、业务功能结束后仍收集个人信息等违规现象进行了要求。而6.4.1.c,标准中,提到“应拆分App的必要个人信息和非必要个人信息的同意”。这些要求都给App开发者提出更细致的要求,提高了开发设计的复杂度。
其次是个人信息合规成为App业务设计之初的关键决策因素。如6.2.d,标准中提到“当无需收集个人信息即可提供App基本业务功能时,应确保用户在不提供个人信息的情况下可正常使用App基本业务功能”,该条对于开发者的App功能设计、研发、运营过程将产生重大影响。
最后是第三方合规成为App开发运营者的关键责任。如6.6.1,标准中提到“App应对第三方应用收集个人信息进行安全管理”。而6.6.1.c,标准中提到“应为用户提供第三方应用授权管理的功能或渠道,确保用户可便捷地关闭或撤回第三方应用可收集个人权限的授权”。如6.6.2.b,标准中提到“应在嵌入第三方SDK前,对SDK是否存在违法违规收集使用个人信息行为、个人信息出境行为进行评估”。
个人信息合规建设的“三步曲”
《基本要求》的正式实施,显著增强了企业个人信息合规建设的紧迫性和必要性。赵帅认为,合规建设不是一项一蹴而就的任务,而需要循序渐进、分步实施的原则,对于大多数合规短板比较严重的企业,可以遵循“三步走”的原则。
第一步要确保形式合规。在该阶段,可通过外部专业团队指导,快速建立规范的管理制度,在流程、制度等层面满足形式合规,为下一步打下基础。当然,在该阶段可能对实际上存在的收集使用个人信息情况掌握不准确、不全面,距离全面合规尚存距离。
第二步要实现实质合规。在该阶段,通过内部组建合规团队,外部专业机构指导,内部外部深度配合,对个人信息收集、使用等处理过程进行风险评估,并制定合适的修复方案,从而达成实质合规的目标。
第三步要达成持续合规。在业务开展过程中,企业需要随着业务变化不断发现新的合规风险点,并持续改进,避免合规滞后于业务变化。
企业在个人信息合规建设应该注意哪些事项?赵帅给出了更具体的实操建议。
首先,企业要满足政府监管要求,根据相关法规要求内容确定合规基线;
其次,企业应自查自测发现问题并及时整改,同时应建立个人信息安全事件处置机制,面对可能突发的个人信息安全事件,提前准备合适的处置预案;
第三是企业要不断优化合规能力,包括定期自查发现合规风险,分析问题原因,发现合规短板,对合规制度流程进行完善;
最后是企业应在遵守国家数据保护、隐私保护法律的前提下促进业务发展,不能让个人信息保护流于表面。
奇安盘古隐私卫士已支持新国标检测
《基本要求》的实施,意味着围绕移动互联网和个人信息保护的监管将持续收紧,标准进一步细化要求。App运营者需要和第三方专业机构合作,落实合规建设的“三步走”。据介绍,由奇安盘古隐私安全团队推出的奇安信隐私卫士,它能够立足于解决企业的个人信息保护合规风险问题,针对安卓App、iOSApp、小程序、IoT设备进行隐私合规检测与分析,帮助企业对相关业务应用进行全方位的隐私安全合规检测,提前发现合规隐患,避免由此带来的数据泄漏、资产损失、监管处罚等风险,最终帮助政府、研究机构、企业等更好的履行其在个人信息保护方面的责任和义务。隐私卫士目前已支持对新国标(国标41391)的全面检测。