关于App安全认证现场核查工作的几点思考

信息安全管理体系

您当前所在位置：首页 > 常见问题&知识园地 > 信息安全管理体系

发布时间： 2021-07-16 09:46:50

移动互联网应用程序（App）由于其便捷性、普惠性、及时性被民众广泛应用，在促进经济社会发展、服务民生等方面发挥了重要的作用。但与此同时，App强制授权、过度索权、超范围收集个人信息的现象普遍存在，个人信息泄露、滥用等情形时有发生，广大网民对此反映强烈。为保障个人信息安全，维护广大网民合法权益，我国从2017年开始对App收集使用个人信息的行为开展了专项评估、检测工作。

为进一步规范App收集、使用用户个人信息的行为，2019年，国家市场监管总局、中央网信办联合发布公告，开展App安全认证工作。此认证严格依据《移动互联网应用程序（App）安全认证实施规则》（以下简称《实施规则》）开展认证活动，把好发证前的每道门槛。这是利用市场选择机制引导App运营者规范个人信息收集、使用、转让等行为，真正提升其个人信息保护能力和水平的重要前提。

同时，作为中央网信办、工信部、公安部、市场监管总局四部委组织的“App违法违规收集使用个人信息治理行动”重要组成部分，App安全认证相较于治理的背对背评估工作，可运用更多的技术手段对企业内部个人信息全生命周期的合规性做更全面的检测审核。

App安全认证模式分析

与传统的网络安全产品不同，App安全检测不仅关注App软件本身，还要对它收集传输的数据做分析，且个人信息收集使用的合规性评定不仅依靠客观检测结果，还要结合经验进行主观判断。为全面了解App收集使用个人信息的行为，创新传统的网络安全产品认证模式是必然要求。《实施规则》中指出App安全认证以GB/T35273《信息安全技术个人信息安全规范》（以下简称《安全规范》）及相关标准、规范为依据，采用“技术验证+现场审核+获证后监督”的认证模式，其中技术验证方式包括实验室检测和现场核查。现场核查和现场审核工作既有联系又有区别，现场核查关注个人信息的传输、存储、匿名化处理等App服务器后台技术验证，以及数据的共享、转让等后台技术处理的核查验证等，是实验室检测有效的补充手段，现场审核关注个人信息安全事件处置、个人信息安全工程、个人信息安全影响评估等管理类要求。认证模式中已包含现场审核部分，在技术验证中又加入了现场核查的工作，足以看出进驻现场与企业面对面，对于App安全认证工作的重要性。

充分利用现场工作的手段保障App安全认证的有效性

结合App产品特点开展现场核查工作

App是一种通过分析、设计、编码生成的特殊软件，其存在形式具有产品的特性，相较于传统网络安全产品，App的分发渠道、版本迭代频率、用户感知程度完全不同。传统网络安全产品的工厂检查主要关注产品的信息安全保证能力、质量保证能力和产品一致性。

为最大程度地保障投放市场的产品与送检的型式试验品的质量一致，需审查产品的版本管理，重点检查是否为App的不同版本提供唯一的标识。由于App应用商店的多样化，同时为满足不同操作系统的配置要求，App运营者也会有不同版本，即使现场审查的版本、标识管理满足要求，也不能确定检测版本与投放市场的App在个人信息与合规性方面保持一致。

具体操作上，检测机构会从任一家应用商店下载相应的App安装包并对其进行检测。一般而言，App收集个人信息行为主要发生在客户端，做好技术检测，严把信息入口，可以对App在收集个人信息时是否明示告知、一揽子强制收集等行为作出明确判断。但由于App保护技术的发展，检测中存在难以脱壳、数据加密、反调试运行等技术瓶颈，App技术检测无法确认所有收集阶段的个人信息收集问题，因此，现场审查是对技术检测的有力补充和方法突破，如《安全规范》9.2对未征得个人信息主体授权同意进行的共享、转让个人信息去标识化的要求。去标识化是一种数据脱敏的方法，但其不能通过远程技术检测到，只能在运营现场，通过抽查运营者共享、转让个人信息流才能确认。

结合技术验证结果开展现场核查工作

依据《安全规范》，App安全认证需对收集、使用、存储、共享全生命周期个人信息相关的处理活动进行合规化审核，现场工作不仅需关注传统的风险管理要求，同时，还要兼顾对App客户端进行文本核查、功能试用、数据检测后仍无法覆盖的评估项，并且验证技术验证报告中不符合项或高危风险漏洞的整改情况、核查收集个人信息的合理性、补充完善技术验证结果、评判App客户端和服务端行为的一致性。

以上现场工作内容，在短短的几天时间内完全覆盖不可能也无必要。见微知著，我们可从细节着眼，衡量运营者是否存在形式化、敷衍审核的情况。如《安全规范》“5.5a）1）个人信息控制者的基本情况，包括主体身份、联系方式”和“10.2b）?5）个人信息保护负责人和个人信息保护工作机构的联系方式”两处都提到了个人信息控制联系方式。《安全规范》5.5中是个人信息保护规则中披露的个人信息控制者的联系方式，此联系方式在对外发布的文件中予以明确，而10.2是在发生安全事件时个人信息控制者的联系方式，此联系方式应在内部应急预案等文档中予以明确。理论而言，这两处注明的联系方式应为同一负责人或部门，如不同则反映企业在个人信息保护上存在内外“两张皮”，不能完全满足用户个人信息权益的保障。这样结合技术检测结论的现场审查工作更能发现实质性问题。

结合监管重点开展现场核查工作

App收集个人信息存在的问题，反映了运营者在个人信息保护方面意识欠缺、管理机制缺乏、保护技术落后等问题。中央网信办、工信部、公安部、国家市场监管总局2019年细化已有法律法规的要求，结合App典型违法违规行为，发布《App违法违规收集使用个人信息行为认定方法》（以下简称《认定方法》），对六大类31种典型行为进行定性。2020年11月，工信部针对测评规范和收集原则组织发布18项团体标准，并为其“App侵害用户权益专项整治”工作提供依据和支撑。同时，地方网信部门、通信管理局、公安局也积极响应个人信息保护工作，对所属辖区内的网络运营者进行监督管理。监管部门依据《认定方法》对App收集使用个人信息行为进行认定，对存在的问题予以公开曝光通报。

相较于背对背评估工作，App安全认证着眼于App全生命周期收集、使用个人信息的行为，可以深入运营现场检查核验，因此更能发现问题。但由于各部委对行业要求有所区别，测评方法不尽相同，通过认证的被认为优秀个人信息保护实践者有可能在某些点存在不符合的现象，因而被公开通报，大大影响了App安全认证的公信力。因此，扩展评估依据的要求并将之纳入核查重点，从细节处着手现场工作尤为重要，有必要在标准符合性验证的基础上突出重点评估项，实现一次认证经得起多方检测评估，如《认定方法》中“未明示收集使用个人信息的目的、方式和范围：未逐一列出App（包括委托的第三方或嵌入的第三方代码、插件）”规定，实质是对App中不为用户所感知的可以收集个人信息的第三方予以告知，是对《网络安全法》中明示告知义务的响应。此点是监管的重点，也是曝光通报的热点问题。

在新修订的2020版《安全规范》增加的9.7章节“第三方接入管理”中要求更具体更全面。9.7要求运营者对所有第三方履行管理机制、合同约束、保存记录、监督管理、行为审计等工作，如仅就文档机制进行审核，无疑在第三方接入管理中将App前后端割裂开了，会遗漏对实际引入的第三方管理。因此，在这些重要的评估项上，应进一步确认App中嵌入的第三方是否都纳入了管控范围，是否告知用户其收集使用个人信息的类型、范围和目的。

做好现场核查工作的几点建议

经过一年半的试点工作，2020年9月，云闪付、百度地图等18款App在多次整改完善后颁发证书，这些App先行先试，为大量App的个人信息保护提供了可借鉴的模式。同时随着App收集个人信息更深层次、本质性问题的凸显，对法律法规的细化解读，势必对App安全认证工作提出更高的要求。由于技术验证的瓶颈问题短时间无法解决，可以预见，现场核查工作将承担更多更复杂的任务。

从国际范围来看，个人信息保护立法工作日趋完善，但相关的检测认证工作尚处于起步阶段。由于法律法规等顶层设计文件对于运营者而言不具备指导性，相关的细化支撑文档还未完善，因此现场核查工作既是实施认证的关键环节，也是宣贯解读政策标准的恰好时机。运营者通过有效交流，完成整改，在企业内部逐步建立起有效的个人信息保护运行体系，提升了企业个人信息保护能力，对App持续满足认证要求意义重大。

个人信息保护之路任重道远，在多方联手形成协同共治局面的过程中，认证工作扮演着重要角色，做好现场核查工作，提升证书的权威性和含金量，可以从以下方面着手：

做好准备工作。包括简单试用App功能、通读其个人信息保护规则，跟踪了解监管部门发布的政策法规及相关标准规范、国际个人信息保护的动向和大事件。做好充足的知识储备，充分了解产品的特性，预判存在的问题，以国际视野，指导企业深刻认识本质问题。

做好衔接工作。包括熟悉、分析技术检测结果、自评价结果和相关证明文档、不同发布渠道的版本差异性说明及App版本控制说明。做好与前阶段各工作的衔接，现场核验、补充、完善相关结论，带着问题做现场核查，有重点地检查疑似不合规处，在薄弱点、疏漏点下功夫，往往会事半功倍。

做好反馈工作。包括将找到的新问题、发现的新方法、个人信息使用的不同形式等反馈至检测认证机构、技术小组和方法库。这种知识体系的循环往复，不仅是后续培训、研讨素材来源，还可加深评审人员对个人信息关键问题的理解。通过研讨，达成一致意见，又将为修订体系文件、评价准则提供可靠的输入源。

返回上一级