监管思路 也需因势而变——简评App安全认证制度及应对建议.docxVIP

最新整理资料 文档精选合集 公司及并购法律评述 2019 年 3 月 监管思路也需因势而变——简评 监管思路也需因势而变——简评 App 安全认证制度及应对建议 作者: 潘永建 | 邓梓珊 央视 3?15 晚会重点曝光了 App 泄露个人隐私信息的案例, 将民众目光聚焦于移动互联网的个人信息安全问题。同日, 市场监管总局、中央网信办发布了《关于开展 App 安全认证工作的公告》(“《App 认证公告》”), 并附上国家认证认可监督管理委员会发布的《移动互联网应用程序(App)安全认证实施规则》(“《App 认证规则》”) 以规范 App 收集、使用用户信息特别是个人信息的行为, 加强个人信息安全保护。本文将在对《App 认证公告》和《App 认证规则》进行分析解读的基础上, 为企业如何通过 App 合规收集、使用用户个人信息提出建议。 一． 政策背景 如您需要了解我们的出版物, 请与下列人员联系: 郭建良: +86 21 3135 8756 \h Publication@ 通力律师事务所 \h 2019 年开年以来, 国家有关部门针对 App 收集、使用用户个人信息陆续出台了一系列治理政策、指南、实施规则(见下表)。App 用户个人信息安全已成为监管焦点。 最新整理资料 文档精选合集 2019 年 1 月 23 日 中央网信办、工信部、公安部、市场 监管总局 \h 《关于开展 App 违法违规收集使 \h 用个人信息专项治理的公告》 2019 年 3 月 1 日 全国信息安全标准化技术委员会、中 国消费者协会、中国互联网协会、中国网络空间安全协会(以上简称“App 专项治理工作组”) 《App 违法违规收集使用个人信 息自评估指南》 2019 年 3 月 13 日 市场监管总局、中央网信办 《关于开展 App 安全认证工作的 公告》 2019 年 3 月 13 日 国家认证认可监督管理委员会 《移动互联网应用程序(App)安全 认证实施规则》 值得注意的是, App 专项治理工作要求 App 运营者进行自查; 同时, 从公众监督的角度出发, App 专项治理工作组设立了“App 个人信息举报”微信公众号, 鼓励 App 用户对 App 违法违规收集使用个人信息的行为进行举报; 此次《App 认证公告》以及《App 认证规则》也并未要求所有的 App 都必须进行安全认证。从这种态势变化可以看出, 监管部门在加强事后处罚的同时, 治理方式逐渐趋于多样化, 对于个人信息违法违规的问题越来越注重事前监管; 且辅以引导的方式, 鼓励 App 运营者进行合规自查主动提升个人信息保护水平。此次发布的《App 认证公告》旨在鼓励 App 运营者主动进行 App 安全检测、通过 App 安全认证, 并鼓励搜索引擎、应用商店等明确标识并优先推荐已通过认证的 App, 为 App 用户提供安全放心的移动互联网环境。《App 认证规则》则对检测认证的具体程序作出了详细的指引。 二． 重点提示 认证适用范围: 移动互联网应用程序 根据网信办于 2016 年 6 月 28 日发布的《移动互联网应用程序信息服务管理规定》, 移动互联网应用程序指通过预装、下载等方式获取并运行在移动智能终端上、向用户提供信息服务的应用软件。而根据工信部于 2016 年 12 月 16 日发布的《移动智能终端应用软件预置和分发管理暂行规定》, 移动智能终端指接入公众移动通信网络、具有操作系统、可由用户自行安装和卸载应用软件的移动通信终端产品。由此可见, 除智能手机以外, 其他移动通信终端的应用程序也可以进行 App 安全认证。 认证依据: GB/T 35273《信息安全技术个人信息安全规范》 《App 认证公告》以及《App 认证规则》第 2 条明确规定安全认证依据为《中华人民共和国网 络安全法》《中华人民共和国认证认可条例》、GB/T 35273《信息安全技术 个人信息安全规范》(“《个人信息安全规范》”)及相关标准、规范。由于《网络安全法》的配套法规一直未出台, 中国亦未公布个人信息保护的综合性法律法规, 《个人信息安全规范》自公布以来成为网络运营者进行个人信息的收集、使用、处理及其他合规管理工作的重要指引。《个人信息安全规范》作为推荐性国标, 已多次在监管部门的公开文件中被提到, 足见其重要性。因此, 尽管《个人信息安全规范》为推荐性国标, 企业不应掉以轻心, 对其在个人信息合规中的落实执行而持犹疑观望的态度。 认证模式及流程: 技术验证、现场核查、获证后监督 App 安全认证的主要程序为: 认证申请→认证受理→技术验证→现场审核→认证决定。从 App 认证申请方需提交的文件来看, 申请前申请方还需要对是否符合认证的要求, 即对照《个人信息安全规范