APP安全认证公告和实施规则解读:治理思路的创新与多样化(DPO社群成员观点)
编者按:
本公号在刊登DPO沙龙和相关社群活动的同时,还将刊登DPO社群成员的精彩文章。本篇作者为北京观韬中茂(上海)律师事务所王渝伟、陈坤。
刚刚过去的3·15晚会让全民再次聚焦APP的个人信息安全问题,同日,市场监管总局、中央网信办发布了《关于开展App安全认证工作的公告》,并附上《移动互联网应用程序(App)安全认证实施规则》 以规范App收集、使用用户信息特别是个人信息的行为,加强个人信息安全保护。本文将在对公告和规则进行分析的基础上,为读者解读APP安全认证实施的背景、实施的范围、实施的依据、实施的模式和程序等内容。
正文:
2019年1月25日,中央网信办、工业和信息化部、公安部、市场监管总局在北京举行“App违法违规收集使用个人信息专项治理”新闻发布会,正式对外发布《关于开展App违法违规收集使用个人信息专项治理的公告》,主要包括五部分的内容:1、要求APP运营者合法合规收集使用个人信息;2、要求全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会(即:APP专项治理工作组)编制大众化应用基本业务功能及必要信息规范、App违法违规收集使用个人信息治理评估要点并组织对用户数量大、与民众生活密切相关的App进行评估;3、要求有关部门加强对违法违规收集使用个人信息行为的监管和处罚;4、要求公安机关开展打击整治网络侵犯公民个人信息违法犯罪专项工作;5、要求开展APP个人信息安全认证。
为响应《关于开展App违法违规收集使用个人信息专项治理的公告》要求,3月1日,App专项治理工作组编制并发布了《App违法违规收集使用个人信息自评估指南》。3月15日,市场监管总局、中央网信办发布了《关于开展App安全认证工作的公告》(以下简称《公告》,并附上《移动互联网应用程序(App)安全认证实施规则》(以下简称《规则》,《公告》和《规则》全文见http://gkml.samr.gov.cn/nsjg/rzjgs/201903/t20190315_292035.html?from=timeline),以规范App收集、使用用户信息特别是个人信息的行为,加强个人信息安全保护。
本文将在对《公告》和《规则》进行分析的基础上,为读者解读APP安全认证实施的背景、实施的范围、实施的依据、实施的模式和程序等内容。
一、实施背景:整治的决心和治理方式的多样化
《网络安全法》自2017年6月1日正式实施以来,APP违法违规问题逐渐成为监管部门密切关注的领域,特别是关于APP违法违规收集个人信息这一行为已然成为治理重点。
2017年4月 | 北京市通信管理局通报了39款2016年第四季度违规手机APP,这些APP均存在强行捆绑推广其它无关应用软件;恶意“吸费”;未经用户同意,收集、使用用户个人信息等问题; |
2017年7月 | 由中央网信办、工信部、公安部、国家标准委指导开展的隐私条款专项工作公布对首批10款网络产品和服务进行评审,10款产品和服务在隐私政策方面均有不同程度提升; |
2018年7月至8月 | 中国消费者协会组织开展了“App个人信息泄露情况”问卷调查,85.2%的受访者表示遭遇过App个人信息泄露情况; |
2018年10月 | 上海市网信办近期对本地最常用的23个APP获取用户个人信息等相关权限申请情况开展抽查,发现其中约30%的权限与所提供的服务没有对应关系,属于不合理范围。市网信办分别约谈了运营这些APP的23家企业,要求认真整改; |
2018年12月 | 在工业和信息化部信息通信管理局部署下,中国互联网协会在北京组织召开手机App收集和使用用户个人信息情况专家评议会; |
2019年1月 | 中央网信办、工业和信息化部、公安部、市场监管总局在北京举行“App违法违规收集使用个人信息专项治理”新闻发布会,正式对外发布《关于开展App违法违规收集使用个人信息专项治理的公告》 |
2019年1月 | App专项治理工作组设立了“App个人信息举报”微信公众号和“pip@tc260.org.cn”专用邮箱两种举报渠道。 |
2019年3月 | 工信部发布通告显示,2018年四季度组织对47家手机应用商店的应用软件进行技术检测,发现违规软件43款,涉及违规收集使用用户个人信息、恶意消耗用户相关账户积分、强行捆绑推广其他应用软件等问题 |
2019年3月 | App专项治理工作组编制并发布了《App违法违规收集使用个人信息自评估指南》 |
2019年3·15晚会 | 再次聚焦APP违法违规收集、使用个人信息问题 |
这一系列执法动态、事件以及目前颁布的多部规范性文件都表明,监管部门对于治理APP违法违规收集使用个人信息乱象的决心。
《公告》和《规则》并未要求所有 APP 都必须接受安全认证(详见本文第四部分分析),仅是为符合要求的APP颁发认证证书和授权使用认证标志。这反映出国家对于APP违法违规收集使用个人信息的治理方式趋于多样化,不仅仅是限于单一的处罚整改,而是辅以引导的方式,一方面让获得国家认可的优质APP以“佩戴”认证标志的方式步入消费者视野,为消费者在选择同类APP时给出了向导;另一方面这些优质 APP 也自然更具备市场竞争力,促进了APP市场的良性发展、优胜劣汰。
二、适用范围:不限于智能手机APP
《规则》第1条将适用的范围认定为“对移动互联网应用程序(以下称“App”)的数据安全认证。”对于“移动互联网应用程序”这一概念,《规则》并未提及。经笔者检索发现,“移动互联网应用程序”在2013年7月30日第一次出现是在工业和信息化部《关于印发防范治理黑客地下产业链专项行动方案的通知》的官方文件中,在其关联文件《移动互联网恶意程序监测与处置机制》(已失效)中明确了“移动互联网恶意程序”是指运行于包括智能手机在内的具有移动通信功能的移动终端之上,存在窃听用户通话、窃取用户信息、破坏用户数据、擅自使用付费业务、发送垃圾信息、推送广告或欺诈信息、影响移动终端运行、危害互联网网络安全等恶意行为的计算机程序。
由此可以总结出《规则》所定义的“移动互联网应用程序(APP)”应当指的是运行于包括智能手机在内的具有移动通信功能的移动终端之上的计算机程序。这表明除智能手机以外的移动终端的计算机程序亦可进行APP安全认证。且《规则》第4.1.2条中“同一名称的App,版本号、操作系统平台等不同时,一般应分为不同申请单元”,也侧面反映出了不同的操作系统平台应分开进行 APP 安全认证。以“百度网盘”为例,其应用程序就分为Windows、Android、iPhone、iPad、WP和MAC六个版本。
三、认证依据:《个人信息安全规范》
《规则》第2条明确要求App安全认证的认证依据为GB/T 35273《信息安全技术 个人信息安全规范》(以下简称《个人信息安全规范》)及相关标准、规范。《个人信息安全规范》已于2018年5月1日正式生效,目前其2.0版本草案(2019年2月1日发布)的征求意见工作也于今年3月完成,相信最新版本不日就将颁布。我们注意到,本次专项治理以来《个人信息安全规范》已经多次在监管部门的公开文件中被提到,足见其重要性。对于企业来说,依据《个人信息安全规范》所要求的标准来进行个人信息的收集、保存、使用等,便有可能通过APP安全认证。
四、认证模式和认证程序:择优录取,持续监督
根据《规则》第3条和第4条分别规定了APP安全认证的模式和认证程序。总体来看,本次APP安全认证并未要求所有APP都必须进行安全认证,且规定了不得申请认证的情形。
App安全认证的认证模式为:技术验证+现场核查+获证后监督;想通过认证,必须要经过“认证申请-认证受理-技术验证-现场审核-认证决定”的程序;在获证后还需接受“日常监督和专项监督”,并且按要求向认证机构提交“自评价报告”;再加上认证机构将依据《个人信息安全规范》来考核APP 是否实质上达标,因此总体来说必须是“内外兼修”的“优等生”才有可能被“录取”。当然,认证程序的复杂性和证书的含金量成正比,拥有此证书的企业在承担更多责任的同时也必将赢得广大消费者的更多认可。
本文对《规则》的认证程序整理如下图:
本文对《规则》获证后的自评价和监督整理如下图:
除认证模式、认证程序和获证后自评价和监督以外,《规则》还就认证时限,认证证书,认证的暂停、撤销和注销,认证证书和认证标志的使用和管理以及相关主体的认证责任做出规定,本文不再赘述。
五、APP安全认证:框架已定,具体内容尚待明确
《公告》和《规则》对APP的安全认证实施的主体、机构、模式、程序等主要内容已做出规定,相关监管部门和APP运营者皆可依照其内容进行开展APP安全认证的准备工作。但《规则》仍然留有许多空白,需要相关部门去填补,比如《规则》在第4.1.1条规定“在12个月内发生重大信息安全事件”的不得申请APP安全认证,但规则尚未明确何为“重大信息安全事件”,虽然根据《个人信息安全规范》,个人信息控制者应就个人信息安全事件按照《国家网络安全事件应急预案》的有关规定及时上报,但《国家网络安全事件应急预案》也仅是对“特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件”进行分类,那么信息安全事件的分级是否就按照《国家网络安全事件应急预案》来划分呢?以及由谁来对“重大信息安全事件”作出认定等问题,这些都是《规则》及相关规定需要补足的地方。
又如,《规则》第4.3.2条和4.4.1条要求认证机构根据《个人信息安全规范》制定技术验证规范和现场审核规范,这些规范的出台也有待相关部门进一步制定和公布。
此外,针对《规则》笔者也存在一些疑惑,例如第4.6条规定了认证申请方可以对认定决定进行申诉(根据文义来看,应属于对于未通过认证的申诉),那么《规则》是否可以考虑对通过认证决定的 APP 进行公示,并且赋予除申请方以外的其他社会主体异议的权利呢?
六、小结
在《公告》和《规则》发布的同日,3·15晚会上,APP专项治理工作组还原了一款“社保掌上通”App未明示收集用户的社会保障号、社保查询密码等个人敏感信息的目的,并在用户注册、查询社保时将以上信息传送至第三方服务器。而这令消费者细思极恐的做法恰恰是目前很多APP习以为常的行为。
自智能手机普及以来,不论是衣食住行还是日常工作都有赖于APP的发展与应用,APP 逐渐在大众工作生活中成为不可移除的一部分。也正因APP的重要性,相关部门才不断加强执法力度,创新治理思路与方法,不断填补法律上的空白、明确权利的边界。这一系列的措施都向APP运营者表明一点,只有严守个人信息相关法律法规,才能谋取自身的生存和发展。
关于DPO沙龙活动的有关情况,请见:
DPO社群成果
线下沙龙实录见:
线上沙龙见:
时评见:
DPO社群成员观点