近日,全国信息安全标准化技术委员会发布推荐性国家标准——《信息安全技术 移动互联网应用程序(App)个人信息安全测评规范》(下称《规范》)并公开征求意见。

南都记者注意到,《规范》旨在设立统一的测评标准,既适用于第三方机构和监管部门,也适用于企业自评,有助于提高测评的准确性、规范性、公平性,降低第三方测评机构的测评开销和企业自身的合规投入。

文|蒋琳

出台背景:统一测评标准可降低企业合规投入

2017年5月,南都首次对1000家网站和App进行个人信息安全测评。结果显示,八成隐私政策透明度“不及格”,没有详细说明收集使用用户个人信息的规则。这也是由第三方机构开展的最大规模的测评。

随着“App违法违规收集使用个人信息专项治理”(下称“App专项治理”)的开展,以及多部相关法律法规、标准规范的陆续出台,绝大多数App的个人信息保护能力显著提升,个人信息安全测评也有了从监管部门和第三方机构外部监督到企业内部自查的转变。

据了解,《规范》规定了依据最新版《信息安全技术 个人信息安全规范》开展App个人信息安全测评的实施过程以及对各项具体安全要求进行测评的方法,包含测评准备阶段、测评实施阶段、测评结果判定阶段和测评报告编写阶段。适用于第三方测评机构的测评、主管监管部门的监管,以及App提供者开展自评。

App个人信息安全测评实施过程图。

2019年初至今,网信、工信、公安等国家监管部门相继开展了多项App个人信息安全监管活动,发布了多个监管文件或指导文件,监管过程涵盖对App的个人信息安全测评。

如2019年3月,App专项治理工作组编制发布《App违法违规收集使用个人信息自评估指南》;2020年7月,信安标委发布《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》。

《规范》编制组认为,缺乏统一的测评标准指导不仅影响测评结果的准确性、统一性和权威性,也影响个人信息安全规范等的落地实施,造成组织机构在个人信息安全保护、合规方面重复投入。《规范》属于国家标准,有助于提高测评的准确性、规范性、公平性,降低第三方测评机构的测评开销和企业自身的合规投入。

避免存储原始个人生物识别信息

《规范》主要从个人信息的收集、存储、使用、委托处理、共享、转让、公开披露、安全事件的处置,个人信息的主体权利,组织的个人信息安全管理要求等方面规定了测评的实施过程和测评方法。

其中《规范》对个人生物识别信息的相关测评做出了详细要求。如:App收集个人生物识别信息的,应将其与收集的个人身份信息分开存储;应采取恰当措施以避免存储原始个人生物识别信息;不得公开披露个人生物识别信息。

根据《信息安全技术 个人信息安全规范》,个人生物识别信息包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等,属于个人敏感信息,一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇。

其中不存储原始个人生物识别信息可采取的措施包括:1) 仅存储摘要信息;2) 在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;3) 实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。

此外,《规范》还要求,不应公开披露我国公民的种族、民族、政治观点、宗教信仰等个人敏感数据的分析结果。

收集地理位置的合理频率为每秒1次

如今,“千人千面”的个性化展示早已成为商家的重要营销手段。南都曾发布 《个性化展示安全与合规报告(2020)》指出,在受测的20款App中,仅有四分之一 通过设立单独栏目“猜你喜欢”来显著标明个性化展示的内容。

《规范》要求,当App提供的业务功能使用个性化展示时,检查App是否通过标注“定推、推荐、关注、猜你喜欢”等字样显著区分个性化展示和非个性化展示的内容。

此外,上述报告还发现,仅有少数受测App为用户提供了可编辑的个性化标签,会根据不同用户的使用习惯形成不同的标签池。大多数都是系统预设标签或者没有对标签的自主控制机制。

对此,《规范》要求:App提供者宜建立个人信息的自主控制机制,保障个人信息主体调控个性化展示相关性程度的能力。如App是否建立个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制选项。

值得注意的是,《规范》还在附录中列举了App通过欺诈、诱骗、误导方式收集个人信息的行为。

比如以红包、积分、福利、抽奖等奖励为由要求用户额外提供个人信息,用户提供个人信息后未给予说明的奖励,或将以此为由收集的个人信息用于说明以外的目的;申请权限时的说明与获得权限后的实际行为不符,如以添加联系人为由申请通讯录权限,用户打开权限后上传整个通讯录等。

在App收集个人信息的频率方面,《规范》认为,收集地理位置的合理频率是持续读取(每秒1次)。但大多数场景如收集通讯录、人脸、短信、通话记录等个人信息时,均只能在用户主动触发时读取或经用户明确授权后读取。

声明:本文来自隐私护卫队,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。