App安全合规:认证的工作流程&监管的重点变化梳理
前言
近些年来各监管机构对于APP的监管越来越严格,企业对APP安全合规工作也来越重视。
从2019年我负责跟进公司参与的App安全认证的试点工作到现在,已经接触App安全合规工作近两年了,非常感谢这两年一起推进工作的法务老师和同事,让我从一开始的连GB/T 35273都不知道,到之后的了解。虽然现在还是对很多状况不知所措的,但是已经有了基本的认知和处理方法。
回想这两年,虽然自己在推进App安全合规工作上一直还处于摸索阶段,但也有很多可以沉淀输出的东西,由于自己太懒一直在拖延,最近睡前(失眠)总在想一些自己对App安全合规治理和整改的想法和实践,所以想形成文章和各位对App安全合规治理感兴趣的师傅们一起交流讨论~
(一) APP安全认证的工作流程梳理
前阵子也有几位朋友也有问过我关于App安全认证的工作如何进行,所以梳理下关于推动认证的流程和重点整改项。
下文中的《规范》为GB/T 35273《信息安全技术 个人信息安全规范》的简称;
2019年03月15日 ,市场监管总局及中央网信办发布《关于开展App安全认证工作的公告》。
1 认证流程
整个流程涉及 安全、法务、业务[产品、开发、测试的同学共同努力完成。
第一步:提交认证申请及自评估材料,自评估材料主要是针对《规范》5-11的内容;
第二步:现场技术认证(主要针对APP及内置功能的是否符合《规范》5-9的内容),根据不合格问题进行整改;
第三步:现场审核(主要针对管理制度是否符合《规范》9-11的内容),根据不合格问题进行整改;
—————-到此就可以拿到证书了————
后续需要进行证书维持,包括版本迭代的信息更新、变化性评估等。
下图为《移动互联网应用程序(App)安全认证实施规则》中的流程图
1 自评估
《规范》中每一小节进行自评估,将不合规项总结出来进行整改。
1.1 自评估内容
因为公司产品功能比较单一,有些项可能未提及。大致分为:App端测试、后端及运营、隐私政策、内部管理制度四部分。具体检查内容详见下边的脑图,脑图这里就不放了,有些自己总结的东西和比较大的篇幅,主要对标35273各项的检测,从新做了归纳。
1.2 自评估材料准备
申请书附录中的位置并不够展示证明截图,建议使用如下方法准备自评估资料(不得不说认证中心这里给的模板非常好,赞),包括:
1.3 自评估遇到的问题
由于对标准的理解问题,可能会出现多次修改的情况,建议不对外发版,只打测试包就ok。
有些权限/收集信息未触发,可能是无权限进入,或者功能埋点较深,建议多和业务沟通。
不同渠道可能嵌入了不同的SDK,建议逐一测试。
2 技术验证
技术验证主要是针对APP及内置功能的是否符合《规范》5-9的内容进行的,一般测评人员也会进行现场审核。
2.1 重点关注内容
7.1 个人信息访问控制措施
5.5 个人信息保护政策
个人信息收集情况(类型、频率、是否明示)
注销功能
个性化展示
第三方SDK使用情况
个人信息存储情况
2.2 技术验证环节问题
2.2.1 第三方SDK问题
针对第三方接入管理的界定,嵌入第三方SDK是否属于第三方接入,是否需要进行适当接入评估、数据处理协议签订等等。(开始认为属于-后来不属于-针对目前情况来看还是属于,如果对这块有深入了解的大佬欢迎批评指正)
第三方SDK应该是数据处理者?数据控制者?数据共享接收方????
(1)如果跳转到第三方平台授权(如使用微信登录、QQ登录等)有品牌露出,这事独立的数据控制者。
(2)对于无品牌露出,用户无法感知的SDK应该为数据数据处理者,但因目前的形式都是第三方 SDK 提供者与 App 开发者往往通过第三方SDK 提供者的开放平台,在线签署开发者服务协议来约定双方的 权利义务,鲜少有关于委托处理数据方面的专门协议或特别规定,也就难以算作协议双方之间的有效“授权”。无法真正理清责任关系。——出自《2020年软件开发包sdk安全与合规报告》。
2.2.2 个人信息收集/存储的情况
在同意隐私政策之前,不应存在敏感个人信息收集的情况
敏感信息的收集频率不应过高,对应5.2.b
用户输入个人敏感信息的页面,应做提示
2.2.3 其他
注销流程要能跑通,符合用户注销相关要求
投诉、举报、客服渠道有人响应:如客服电话能接听、QQ申请能同意、人工客服有回复等。
个人信息访问控制措施
3 现场审核
3.1 重点关注内容
1.应急预案中是否制定了针对个人信息安全事件的
2.是否针对开发、设计等人员进行个人信息安全相关的专业化培训及考核,提供记录
3.安全审计情况
4.开展个人信息安全影响评估的情况
3.2 现场审核环节问题
3.2.1针对“明确个人信息保护负责人和个人信息保护工作机构”检查项
方法一: 个人信息保护负责人=业务负责人
方法二: 建立信息安全委员会,有机构负责个人信息保护工作。
3.2.2 开展个人信息安全评估
检查存在以下情况时,必须提供个人信息安全评估报告:
存在基于不同业务目的的所收集个人信息的融合汇聚
存在信息系统自动决策机制
存在委托处理、数据共享、个人信息公开披露情况
4 认证决定阶段需提供App漏洞测试报告
这里单独写出来主要是最近有在做的朋友问过我关于报告的问题,单独说一下。
通知准备材料如下:“此漏洞测试报告作为对标GB∕T 34975-2017检测报告中符合4.1.5.1要求的证明文件。漏洞测试工具建议选择专业主流的检测工具。”
选择市面上常见的漏扫工具即可,很多公司都有自己采购移动漏扫工具,或者使用一些在线服务如360的显危镜、腾讯的金刚等等,付费免费应该是没有太多要求。高危漏洞的处理法方法找了个比较清晰的文档http://appscan.360.cn/vulner/list/。
5 后期维护
5.1 何时需要提交自评价报告
(1)获证App的分发渠道发生变化;
(2)认证标志使用情况发生变化;
(3)获证App隐私政策发生变化;
(4)获证App收集、处理和使用个人信息的目的、类型、方式发生变化;
(5)获证App运营者对所收集个人信息的共享、转让、公开披露的对象、方式和目的发生变化;
(6)获证App运营者收到获证App个人信息保护相关的投诉举报。
5.2 证书变更
出现下列情况之一时,获证App运营者应向认证机构提出变更申请:
(1)获证App名称、版本发生变更;
(2)认证范围扩大或缩小;
(3)获证App运营者名称、注册地址发生变更;
注:大版本变更、小版本新增功能新增涉及个人信息收集等情况会涉及变更费用、技术验证、现场审核费用。
(二)监管的重点变化梳理
关于App安全合规的监管要求很多地方都可以找到,这里就不一一赘述了。本文的重点内容是通过对监管机构发出来的通报进行统计。
想要看监管走向,首先就要了解现在都有哪些监管机构:
App违法违规收集使用个人信息治理工作组(App治理小组)
工业和信息化部信息通信管理局(工信部)
国家移动互联网应用安全管理中心(病毒中心)
地方通管局(如广东省通管局、天津通管局等)
地方网安(主要关注公司所属地的,当然也不排除有跨地域通报的情况呀)
可能还有些没提到的,欢迎大家补充
1 通报情况
App治理小组发布的问题详情是监管机构里列举的很清晰的了,所以下文大部分以app治理小组通报的问题为基础进行统计。
1.1 基本情况
2019-2020年,App治理小组共发布通报3次,涉及应用软件17个分类共计173款,实用工具、金融理财、学习教育类的App占绝大多数。
2019年至今今,工信部共发布12批次通报,涉及应用软件819款。关于问题类型,这里引用知乎上史宇航发表的一篇文章的统计:
注:上图来源于知乎用户发表在知乎上的文章《对比可视化:App专项治理工作组检查》。
照猫画虎把工信部的也列个表
1.2 现状总结
1. 不给权限不让用、违规收集个人信息、违规使用个人信息、超范围收集个人信息依旧是普遍存在的问题。
问题小项:同意隐私政策前应用自身收集个人信息的情况(13、15)、同意隐私政策前第三方SDK收集个人信息情况(11)、因用户不同意某权限而拒绝提供业务功能(26)。
个人信息收集问题会在part4 个人信息收集方面踩过的坑 里详细讲解,这里简单说下:很多app的是否可以通过统一收口部门的开发解决、第三方SDK可以关注下官网有一些是给出了解决方案的。
2. 获取敏感个人信息、敏感权限时,未同步告知其使用目的(1、5)的问题一直居首位。
建议:业务认真查找敏感个人信息收集和敏感权限获取触发点,整理目的并找合规法务角色给出文案。现在部分应用商店就做的很好,上传app时就强制填写权限获取目的并在触发时弹窗提示。
3. 首次运行app无隐私弹窗、默认隐私勾选(16)、隐私政策访问难阅读难的问题逐渐减少了。
还需关注的问题:即使又弹窗登录时的登录即同意也不行!!!梳理好所有登录、注册的入口检查是否统一。
4. 未逐一列出嵌入的第三方SDK收集使用个人信息的目的、类型的问题依旧很多,但是目前已经看到很多App列了第三方SDK列表,并且很多常用的第三方SDK也给出了安全合规指南。
问题小项:SDK梳理全了吗?收集哪些信息、有什么使用目的是否列全了?
5. 收集某项个人信息的频度超出业务功能实际需要问题(24)仍需要重视,此问题可能需要深入测试加上对频度没有一个唯一的标准,所以被检测出来的在少数,通过近期发布的个人信息安全测评规范征求意见稿中也对App在不同场景下收集个人信息的频率着重强调,并且给了部分参考。
6. App通过欺诈、诱骗、误导方式收集个人信息在上边两个图中也是存在的,但猜测人工成本比较高可能命中率没有那么高,但是在个人信息安全测评规范征求意见稿也用一页的附录进行上述行为的举例,可以看出此项也可能是后续检查的方向。
1.3 其他猜测
除了上述监管机构的检查项,猜测可能后续检查重点还可能包括以下问题:
静默权限/个人信息获取问题
App个人信息获取使用问题
数据接口安全问题(如数据冗余、前端“脱敏”等)
2 有意思的不合规理由
app治理小组查的真的很细致,给大家分享一些检测出来的不合规理由,有一些都不知道是怎么查到的,也欢迎大家讨论。
未提供有效的注销用户账号功能:根据所提供的注销方式,向官方邮箱发送邮件进行注销,超过15日未收到回复。(要有人定期查看啊)
收集使用个人信息的目的、方式和范围发生变化时,未以更新隐私政策等方式通知用户:更新后新增了定制化课单功能,将收集用户的课程记录,但未以任何方式告知用户。(这个真是不知道怎么被查到的)
征得用户同意前就开始收集用户的网页点击记录;
未提供有效的更正、删除个人信息及注销用户账号功能:向隐私政策中说明的个人信息保护邮箱发送邮件,直接被系统退信;(留的联系方式要自测下是否可以跑的通)
为注销用户账号设置不合理条件:需提交用户联系方式、注册时间、注册所在地、登录过的设备型号、充值证明等信息,才允许注销;
用户撤销位置权限授权,明确表示不同意收集该类个人信息后,仍通过其他途径收集用户地理位置等个人信息并发送至第三方服务器;
未建立并公布有效的个人信息安全投诉、举报渠道:在线反馈问题显示“客服不在线,系统将自动断开会话”的提示信息;每隔15分钟拨打客服电话,均提示“坐席忙,继续等待请按1,结束请挂机”。