盤點2020年上半年個人信息保護重大事件
數據已成為當前企業乃至國家重要的戰略資源,個人信息作為個人的數據資產受到了越來越廣泛的關注。App企業跑馬圈地野蠻生長,強制授權、過度索權、超范圍收集個人信息、未制定并公開隱私政策等亂象叢生,使個人信息保護難上加難。
自2019年四部門聯合成立App專項治理工作組以來,相關部門連續出臺了多個法律法規并陸續開展了專項治理行動,完善個人信息保護監督管理機制,打擊違法違規收集使用個人信息行為,引導相關企業和公共服務機構強化保護措施,保障公民合法權益。
一、《App違法違規收集使用個人信息行為認定方法》發布
2019年12月底,根據《關于開展App違法違規收集使用個人信息專項治理的公告》,為監督管理部門認定App違法違規收集使用個人信息行為提供參考,為App運營者自查自糾和網民社會監督提供指引,落實《網絡安全法》等法律法規,國家互聯網信息辦公室、工業和信息化部、公安部、市場監管總局聯合制定了《App違法違規收集使用個人信息行為認定方法》。
二、金融行業標準《個人金融信息保護技術規范》正式發布
2020年2月,中國人民銀行發布了金融行業標準《個人金融信息保護技術規范》,從安全技術和安全管理兩個方面規定了個人金融信息在收集、傳輸、存儲、使用、刪除、銷毀等生命周期環節的安全防護要求。
三、新版《個人信息安全規范》正式發布
2020年3月,GB/T 35273-2020《信息安全技術 個人信息安全規范》正式發布,并將于2020年10月1日實施。規范對個人信息收集、儲存、使用做出了明確規定,并規定了個人信息主體具有查詢、更正、刪除、撤回授權、注銷賬戶、獲取個人信息副本等權力。
四、公安部依法查處違法違規收集公民個人信息App服務單位
2020第一季度,全國公安機關網安部門充分發揮職能作用,加大公民個人信息保護力度,依法查處違法違規收集公民個人信息App服務單位386個,涉及信息咨詢、輔助學習、文學小說、新聞資訊、娛樂播報等多個類型。其中,97個App被予以行政處罰,192個App被依法責令改正違法行為,51個App被下架、停運,有效保護了公民個人信息。
五、國家計算機病毒應急處理中心監測發現20余款違規移動應用
2020年4月,國家計算機病毒應急處理中心在“凈網2020”專項行動中對互聯網監測發現,20余款外賣、醫療和在線教育類移動應用存在涉嫌隱私不合規行為。這些移動應用的違法違規行為主要有三大方面:一是未向用戶明示申請的全部隱私權限。二是未說明收集使用個人信息規則。三是未提供有效的更正、刪除個人信息及注銷用戶賬號功能。
六、移動金融App逐步規范,App備案進行時
2020年5月,開始正式公布首批擬備案移動金融客戶端應用軟件名單,目前已經公布了三批,127款應用入圍備案名單。為保障個人金融信息安全、提升金融APP安全防護能力,央行于2019年9月發布了《移動金融客戶端應用軟件安全管理規范》,要求金融機構按照《規范》對APP進行整改,并向中國互聯網金融協會進行備案。移動金融客戶端應用軟件備案管理工作試點于2019年底展開,中國互聯網金融協會在全國范圍內分批組織開展App備案推廣,并逐步落實風險信息共享、投訴處置機制、黑白名單、違規約束等自律管理工作。
七、《App違法違規收集使用個人信息專項治理報告(2019)》發布
2020年5月,App專項治理工作組發布《App違法違規收集使用個人信息專項治理報告(2019)》(以下簡稱《報告》),2019年3月起,評估發現違法違規收集使用個人信息問題共計6976個,向256款App的運營者通報問題,督促其完成1267個重點問題的整改工作,建議有關監管部門下架未落實整改要求App共11款。《報告》稱,四類具體問題中,“無隱私政策”“一次性打開多個權限”“申請權限未明示目的”三類問題降幅明顯。就“收集與業務功能無關的個人信息”問題來看,由于存在界定“無關”范圍的復雜性等問題,該問題目前發現比例較少,且處于波動階段,應當作為后續治理工作的關注重點。
八、2020年7月1日教育APP備案已截止,進入限期整改
截止2020年5月底,教育移動互聯網應用程序備案管理系統公布了1543家企業的3388個教育App備案。教育部印發《教育移動互聯網應用程序備案管理辦法》。《辦法》規定,省級教育行政部門開發的教育移動應用向教育部進行備案。小程序、企業號等平臺第三方應用統一到平臺方提交備案信息,并由平臺方向教育部共享備案信息。7月1日起,將對未完成備案的教育App提供者予以通報,限時1個月進行整改。7月31日前未完成整改的,將撤銷教育App備案。
九、工信部針對頻繁自啟動問題約談多家App企業
2020年6月,據央視新聞報道,有網友反映自己手機上安裝的App很多存在頻繁自啟動、訪問、讀取手機信息的現象。其中一款名為“優學院”的移動教學軟件十多分鐘讀取近25000次手機照片和文件;而騰訊“TIM”一小時內嘗試自啟動近七千次,并不斷嘗試讀取通訊錄。針對媒體曝光手機App侵害用戶權益的問題,工信部組織第三方檢測機構對手機應用軟件進行檢查,并對發現存在問題的企業進行了集中約談。要求相關企業于6月17日前完成整改。
十、工信部通報兩批侵害用戶權益行為App
2020年7月初,依據《網絡安全法》《電信條例》《電信和互聯網用戶個人信息保護規定》等法律法規,工信部組織第三方檢測機構對手機應用軟件進行檢查,對發現存在問題的企業進行督促整改。截至目前,工信部共發布兩批侵害用戶權益行為App共計31款,好醫生、智慧樹、游民星空等在列,所涉問題集中在過度索取權限、私自收集個人信息、超范圍收集個人信息、不給權限不讓用、私自共享給第三方、強制用戶使用定向推送功能、不給權限不讓用等。
合規是業務發展的生命線。在個人信息保護監管趨嚴的大環境下,依賴App提供業務的企業越來越多,被點名、被約談、整改下架都會直接影響業務的正常運行。安全關口前移,防患于未然,才能保障業務健康有序發展。
安全是一項長期對抗性的工作,需要持續做好安全檢查與改進。針對當前App個人信息保護存在的困難,梆梆安全為用戶提供個人信息保護合規整體解決方案,提出個人信息合規整改4步法(個人信息保護現狀評估→個人信息安全影響評估→個人信息保護合規整改→個人信息保護管理制定)。在產品層面,為用戶提供應用安全測評、應用保護、應用威脅感知、應用安全監測,持續引導并幫助客戶走好個人信息保護合規之路。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
