如今,APP應(yīng)用已經(jīng)融入我們生活的方方面面��,社交��、出行�、工作、閱讀……�,似乎生活上的任何需求,透過(guò)APP應(yīng)用都可以有求必應(yīng)�����,APP在方便人們生活的同時(shí)��,通過(guò)強(qiáng)制授權(quán)�����、過(guò)度索權(quán)����、超范圍收集個(gè)人信息等現(xiàn)象���,導(dǎo)致App用戶個(gè)人信息安全保護(hù)形勢(shì)極其嚴(yán)峻。
App個(gè)人信息收集與保護(hù)現(xiàn)狀
5月24日���,App專項(xiàng)工作組發(fā)布了“百款常用App申請(qǐng)收集使用個(gè)人信息權(quán)限情況”��,并公開(kāi)了“百款常用App申請(qǐng)收集使用個(gè)人信息權(quán)限列表”��,受到了廣泛關(guān)注����。其結(jié)果表明存儲(chǔ)�����、位置����、相機(jī)、麥克風(fēng)等權(quán)限被申請(qǐng)的百分比大于90%�,讀取通訊錄申請(qǐng)百分比大于70%,以上權(quán)限申請(qǐng)幾乎成為App的標(biāo)配����。83%的APP“強(qiáng)制”申請(qǐng)開(kāi)啟5個(gè)以下“與收集個(gè)人信息相關(guān)權(quán)限”��。申請(qǐng)和強(qiáng)制收集的大部分信息屬于個(gè)人敏感信息��,對(duì)企業(yè)來(lái)說(shuō),意味著較高的商業(yè)價(jià)值���,對(duì)個(gè)人來(lái)說(shuō)����,一旦泄露���,將導(dǎo)致個(gè)人信息主體及收集�����、使用個(gè)人信息的組織和機(jī)構(gòu)喪失對(duì)個(gè)人信息的控制能力���,造成個(gè)人信息擴(kuò)散范圍和用途的不可控,可能對(duì)個(gè)人信息主體人身和財(cái)產(chǎn)帶來(lái)重大風(fēng)險(xiǎn)����。
中國(guó)消費(fèi)者協(xié)會(huì)發(fā)布的《100款A(yù)pp個(gè)人信息收集與隱私政策測(cè)評(píng)報(bào)告》也揭示多達(dá)91款A(yù)pp列出的權(quán)限涉嫌“越界”過(guò)度收集用戶個(gè)人信息。在繁榮的APP市場(chǎng)中對(duì)于個(gè)人信息保護(hù)的水平卻極低。
App個(gè)人信息保護(hù)相關(guān)法律法規(guī)
目前���,國(guó)內(nèi)外均沒(méi)有專門針對(duì)App個(gè)人信息保護(hù)的法規(guī)���,相關(guān)個(gè)人信息保護(hù)要求包含在對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者的數(shù)據(jù)安全保護(hù)義務(wù)和責(zé)任中。
1996年香港制定個(gè)人資料(隱私)條例���,成為亞洲第一個(gè)對(duì)個(gè)人信息專門立法保護(hù)的司法區(qū)����,2012年香港對(duì)個(gè)人隱私條例進(jìn)行了大幅度更新�����,旨在個(gè)人資料方面保障個(gè)人隱私的安全���,對(duì)“數(shù)據(jù)用戶”(即數(shù)據(jù)使用者)�,獲取���、持有���、處理個(gè)人資料提出了規(guī)范性要求����。該條例明確了在香港����,個(gè)人信息資料獲得法律保護(hù)。個(gè)人資料的搜集須以“合法及公平”方式進(jìn)行��;除非獲得當(dāng)事人同意����,否則對(duì)個(gè)人資料的使用“只可按當(dāng)時(shí)所述明的用途”�����,違反規(guī)定者最高可被罰款50萬(wàn)港元及監(jiān)禁3年��。
2015年���,歐盟發(fā)布的《通用數(shù)據(jù)保護(hù)條例》(GDPR)�,圍繞個(gè)人數(shù)據(jù)的收集���、使用���、保存��、分享�、轉(zhuǎn)移等����,對(duì)數(shù)據(jù)控制者和處理者、數(shù)據(jù)主體的權(quán)利義務(wù)進(jìn)行了全面規(guī)定��。
2017年6月1日起施行的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》是國(guó)內(nèi)首部關(guān)于網(wǎng)絡(luò)安全的基礎(chǔ)性法律���,其中對(duì)個(gè)人信息保護(hù)提出專門要求�����。明確要求網(wǎng)絡(luò)運(yùn)營(yíng)者必須建章立制�,擔(dān)負(fù)用戶信息“保管員”的職責(zé)�,確保對(duì)所收集的用戶信息在不泄露的前提下進(jìn)行使用,同時(shí)強(qiáng)化了個(gè)人信息保護(hù)的知情同意和特定目的原則���。
2018年��,加利福尼亞州頒布《加州消費(fèi)者隱私保護(hù)法案》(CCPA)�����,被認(rèn)為是美國(guó)國(guó)內(nèi)最嚴(yán)格的個(gè)人信息立法���。指明�����,個(gè)人就其個(gè)人信息的使用和出售的控制能力對(duì)于隱私權(quán)而言具有基礎(chǔ)性意義并對(duì)違規(guī)行為設(shè)定了較重的處罰����。
App個(gè)人信息保護(hù)需要數(shù)據(jù)安全治理
2019年1月25日�,中央網(wǎng)信辦�����、工信部���、公安部���、市場(chǎng)監(jiān)管總局四部門聯(lián)合發(fā)布《關(guān)于開(kāi)展App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理的公告》,將對(duì)超千款A(yù)pp進(jìn)行評(píng)估����,規(guī)?�?涨?�,展現(xiàn)對(duì)亂象重拳治理的決心�����。但正如美國(guó)的《大數(shù)據(jù)與隱私報(bào)告》指出:信息所具有敏感性��,以及與一般商業(yè)活動(dòng)�����、政府行政或者來(lái)自公共場(chǎng)合的收集中的大量數(shù)據(jù)的難以分割性��,使得規(guī)制這些信息的使用比規(guī)制收集更合適���。如果能在合理收集數(shù)據(jù)的基礎(chǔ)上對(duì)數(shù)據(jù)進(jìn)行有效的數(shù)據(jù)安全治理,則會(huì)對(duì)個(gè)人信息數(shù)據(jù)提供更深層次的安全保障�。
數(shù)據(jù)安全治理不僅僅是一套用工具組合的產(chǎn)品級(jí)解決方案,而是從決策層到技術(shù)層���,從管理制度到工具支撐���,自上而下貫穿整個(gè)組織架構(gòu)的完整鏈條���。可以以最有效的方式保護(hù)個(gè)人隱私信息的安全�,又能夠讓企業(yè)發(fā)揮出共享數(shù)據(jù)應(yīng)有的價(jià)值,數(shù)據(jù)安全治理體系建設(shè)可以從能力維度�����、執(zhí)行維度�、場(chǎng)景維度三個(gè)層面開(kāi)展:
能力維度
完善的組織機(jī)構(gòu)、有針對(duì)性和可行的管理制度和規(guī)范�、全面和先進(jìn)的數(shù)據(jù)安全技術(shù),是構(gòu)建數(shù)據(jù)安全治理體系的基礎(chǔ)�。
●組織建設(shè):組織的職責(zé)可劃分為數(shù)據(jù)安全策略的決策、數(shù)據(jù)的安全管理���、數(shù)據(jù)安全使用的監(jiān)督三類,根據(jù)不同職責(zé)分配角色和人員��。
●治理評(píng)估:組織在進(jìn)行規(guī)劃過(guò)程中���,應(yīng)定期通過(guò)業(yè)務(wù)合規(guī)性評(píng)估手段開(kāi)展咨詢?cè)u(píng)估工作��,對(duì)業(yè)務(wù)系統(tǒng)和數(shù)據(jù)安全進(jìn)行全面檢測(cè)�����,并對(duì)評(píng)估結(jié)果進(jìn)行安全能力分析����,從而形成業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全能力評(píng)估報(bào)告。
●制度建設(shè):將制度���、規(guī)范按照方針政策�����、制度規(guī)范�、操作明細(xì)��、基礎(chǔ)模板四類進(jìn)行分類��,形成樹狀結(jié)構(gòu)���,便于管理���。
●技術(shù)建設(shè):數(shù)據(jù)安全技術(shù)��,支撐制度規(guī)范的執(zhí)行與監(jiān)控����,技術(shù)工具建議使用標(biāo)準(zhǔn)的數(shù)據(jù)安全產(chǎn)品或平臺(tái)����,也可以是自主開(kāi)發(fā)的組件或工具;技術(shù)工具應(yīng)覆蓋數(shù)據(jù)使用的各個(gè)場(chǎng)景中的數(shù)據(jù)安全需求����。
執(zhí)行維度
針對(duì)數(shù)據(jù)使用的各個(gè)場(chǎng)景,需要通過(guò)梳理來(lái)了解數(shù)據(jù)資產(chǎn)狀況和風(fēng)險(xiǎn)�;配合制度規(guī)范要求,采用不同的安全技術(shù)手段進(jìn)行數(shù)據(jù)使用過(guò)程中的管控����,同時(shí)要監(jiān)控使用過(guò)程,對(duì)訪問(wèn)行為進(jìn)行稽核����,并不斷完善�。
●資產(chǎn)梳理
此過(guò)程是數(shù)據(jù)安全治理全維度的基礎(chǔ),因?yàn)椋挥忻遒Y產(chǎn)使用部門和角色���、數(shù)據(jù)資產(chǎn)的分布���、數(shù)據(jù)量級(jí)、訪問(wèn)權(quán)限��、數(shù)據(jù)使用狀況�����,才能夠有效的針對(duì)數(shù)據(jù)進(jìn)行精細(xì)化的安全管控���。
●行為管控
此過(guò)程是結(jié)合業(yè)務(wù)流程��,在數(shù)據(jù)流轉(zhuǎn)中的數(shù)據(jù)訪問(wèn)��、數(shù)據(jù)運(yùn)維�、數(shù)據(jù)傳輸外發(fā)��、數(shù)據(jù)存儲(chǔ)等各環(huán)節(jié)做到內(nèi)外兼顧�����,并對(duì)數(shù)據(jù)處理/使用環(huán)節(jié)中的數(shù)據(jù)進(jìn)行安全保護(hù)。
●治理稽核
稽核是保證數(shù)據(jù)安全治理規(guī)范落地的關(guān)鍵��,也是信息安全管理部門的重要職責(zé)�。因此,此環(huán)節(jié)是保障數(shù)據(jù)安全治理的策略和規(guī)范能否被有效執(zhí)行和落地���,以及最終實(shí)現(xiàn)數(shù)據(jù)安全治理全流程的閉環(huán)���。
場(chǎng)景維度
數(shù)據(jù)安全治理涵蓋數(shù)據(jù)在日常使用過(guò)程中面臨的各種場(chǎng)景,具體包含開(kāi)發(fā)測(cè)試�、運(yùn)維、共享����、分析、應(yīng)用訪問(wèn)��、內(nèi)部特權(quán)訪問(wèn)等場(chǎng)景���。在做數(shù)據(jù)安全建設(shè)時(shí)必須首先分析業(yè)務(wù)場(chǎng)景�,包含但不限于如:開(kāi)發(fā)測(cè)試��、數(shù)據(jù)運(yùn)維���、數(shù)據(jù)分析�、應(yīng)用訪問(wèn)�、特權(quán)訪問(wèn)等場(chǎng)景,然后按照能力維度中所梳理的資產(chǎn)�����、數(shù)據(jù)����、用戶、權(quán)限等內(nèi)容導(dǎo)入到場(chǎng)景化�����,包括早期策略制定前的數(shù)據(jù)梳理工具�����,數(shù)據(jù)訪問(wèn)過(guò)程控制中��,采用什么樣的技術(shù)手段幫助實(shí)現(xiàn)數(shù)據(jù)的安全管理過(guò)程�,以及在后期對(duì)數(shù)據(jù)安全治理工作進(jìn)行稽核的過(guò)程中采用什么樣的技術(shù)工具進(jìn)行輔助監(jiān)管。結(jié)合數(shù)據(jù)安全治理工具幫助完成數(shù)據(jù)安全治理工作�。
在APP融入并改變?nèi)藗兩畹娜缃?����,其中的用戶個(gè)人隱私信息安全問(wèn)題備受關(guān)注��,合理收集����、適度開(kāi)發(fā)���、系統(tǒng)保護(hù)將會(huì)是長(zhǎng)期的工作���。
產(chǎn)品咨詢:4000 258 365 
