得知互动

标题: 热点：App生命周期治理数据合规整体解决方案 [打印本页]

作者: xinshangren 时间: 2022-6-20 10:59
标题: 热点：App生命周期治理数据合规整体解决方案
　　2022年2月18日，工信部通报2022年第一批侵害用户权益的App。通报称我部近期组织第三方检测机构对移动互联网应用程序(App)进行检查，截至目前，尚有107款App未完成整改。同时，检测过程中发现，13款内嵌第三方软件开发工具包（SDK）存在违规收集用户设备信息的行为。这已经是工信部公布的第21批违规App名单。随着相关法律规制的完善，App数据合规时代已经到来。autojshttps://www.aznfz.com/冰狐智能辅助一站式app自动化解决方案，支持SaaS和微服务，不需编程通过搭积木和参数配置即可快速实现各种app自动化操作，比如：自动运营店铺，自动签到，自动薅羊毛，自动回复，自动化测试，抓取app数据，微信营销，网络推广，抢红包等功能！

　　一、App数据合规生命周期治理背景　　为全面推进网络空间法治化建设，完善网络安全法配套规定和标准体系，我国已经初步搭建起以《数据安全法》《个人信息保护法》《网络安全法》《民法典》为动静脉，以《关键信息基础设施安全保护条例》等数据和个人信息保护的部门规章、国家标准、行业标准为毛细血管的数据治理法律体系。国务院最新制定的《“十四五”数字经济发展规划》，也明确提出健全完善数字经济治理体系和着力强化数字经济安全体系，推进数字经济法治化建设。　　App数据合规运营正面临越来越强的监管要求，所以对于App运营主体来说，数据合规方面合规问题将是未来一项重要的工作，亟需一整套的合规解决方案辅助企业做好数据合规的整改，实现App的合规运营。　　二、App数据合规生命周期治理面临的问题　　2022年1月26日，市场监管总局、国家标准委联合发布的《信息安全技术移动互联网应用程序 (App)生命周期安全管理指南》（征求意见稿），对于App的生命周期给出了详细的界定，上述文件支持App的生命周期主要包含七个阶段:需求分析阶段、开发设计阶段、测试验证阶段、上架发布阶段、安装运行阶段、更新维护阶段和终止运营阶段，七个阶段都可能面临各种不同的安全风险，需要在App 生命周期中对每个阶段进行安全分析与安全管理。　　侵害用户权益的分类及风险描述　　2020年度App个人信息违规问题分类统计　　来源：广东省通信管理局《广东省移动智能终端应用程序（App）2020安全白皮书》　　《移动应用（App）个人信息保护白皮书》OPPO德勤　　App数据合规面临的核心问题就是数据安全问题和对个人信息保护的问题。针对以上问题，可以围绕App生命周期的七个阶段从两个方面展开合规工作，第一从技术角度给予App数据安全的运营环境，第二从数据合规体系制度建设角度给予App数据合规合规的制度保障生态。　　就第一方面工作，主要紧紧围绕App生命周期通过技术手段保障数据的安全。2019年5月13日，网络安全等级保护制度2.0标准正式发布，同时这些标准将于12月1日正式实施。App是等保2.0的的规制对象，故可以通过对接等保2.0的相关规定对App技术安全进行评测。大致可以通过App漏扫、App安全技术加固等措施提高App的安全性能。目前市面上，有不少科技技术公司为App治理提供上述方面的技术保障。　　三、App数据合规解决方案　　（一）数据盘点　　通过开展数据盘点，厘清、清洗、整理和完善企业相关业务活动所产生的数据库、文件文档、字段代码等数据，同时将数据进行标签化和构建目录，提升数据可读性和可用性。从而为企业的科学决策和服务提升构建一个良好的数据中台，为企业的数据合规管理和网络安全打好基石。进行数据盘点主要分为以下几步：　　1. 数据收集　　根据企业部门划分或数据范围制定《数据盘点收集表》，从而规范统一数据基本信息，便于构建数据标签化和构建目录。数据收集的主体可由企业数据合规部门、行政部门、技术部门以及外部律师或技术团队构成，数据收集时应当遵循合法、全面、真实、动态的原则。依据数据盘点收集表，将收集工具和具体的业务部门进行链接，并指定1-3名人员进行配合，主要采集对象包括系统数据库、文件文档、字段代码等。　　2. 数据识别　　根据数据分类分级具体要求以及企业实际情况，将原始数据进行识别；原始数据包含大量无意义数据，比如：空白文件、错误代码、文件副本、部分过程性文件等，应对其进行识别和过滤；可以通过技术手段进行过滤，同时通过人工识别将其中涉及到法律法规和指南标准规定的数据内容进行有效识别，从而进行判断是否可以收集。同时应当注意，数据之间的合法性、关联性和有用性，保留注释信息、含义解读等。　　3. 数据标签　　根据数据的各类原始数据信息和数据内容，进行深度剖析数据的各类特征，例如数据的法定分类、业务属性、安全等级、数据来源等进行标签化处理。从而帮助企业从法律视角、安全视角以及管理视角等维度立体化合规管理数据。　　4. 数据目录　　根据数据的分类分级以及标签化处理后，将数据统一编制数据目录并规范编号，可结合企业情况建立数据资产目录。同时需要将数据目录的编辑、修改、访问、下载等权限进行设置。目录构建完毕后应进行穿透测试和评估，可聘请外部律师团队和技术团队针对数据目录的进行测试评估，以保障数据目录的合法性以及正常运营。　　（二）数据分类分级　　在数据清单的基础上，企业应建立数据分类分级管理制度，数据分类分级的对象通常是数据项、数据集，针对不同类别、级别的数据进行不同的权限设置，从而达到针对性的管理与保护。建议企业从以下几个方面考虑分类分级的方法：　　（三）App收集信息的权限　　1. 根据《个人信息保护法》第五条：处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。第六条处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。　　2. 2019年11月28日，国家互联网信息办公室、工业和信息化部、公安部、市场监管总局联合制定了《App违法违规收集使用个人信息行为认定方法》。具体内容总结如下：　　3. 国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合制定了《常见类型移动互联网应用程序必要个人信息范围规定》并自2021年5月1日起施行，明确移动互联网应用程序（App）运营者不得因用户不同意收集非必要个人信息，而拒绝用户使用App基本功能服务。包括了地图导航类、网络约车类、即时通信类、网络社区类、网络支付类等39类App。　　（四）告知同意规则　　告知同意规则由告知规则与同意规则组成。首先要明确真实的进行告知，在个人充分知情同意的前提下，自愿、明确地作出的。　　1.告知义务的产生　　2.告知内容　　（五）自动化决策规则　　1.法定要求　　《个人信息保护法》第二十四条个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。　　通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。　　通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。　　2.具体内涵　　自动化决策规则常见的场景表现为：大数据杀熟、个性化广告、自动决策处罚等；自动化决策是指利用算法是利用计算机的算法根据个人信息自动进行决策；自动化决策将会给企业带来法律风险，决策的合法性、公平公正性难以保障，稍有不慎将会面临法律处罚。以携程为例，法院判决携程赔偿客户未完全赔付的差价及订房差价三倍支付赔偿携程赔付订房差价及三倍支付赔偿金，且要求携程应在其运营的携程旅行App中为用户增加不同意其现有“服务协议”和“隐私政策”仍可继续使用的选项，或者为用户修订携程旅行App的“服务协议”和“隐私政策”，去除对用户非必要信息采集和使用的相关内容，修订版本需经法院审定同意。　　（六）敏感个人信息处理　　1. 法定要求　　2. 核心要点　　由于敏感个人信息与自然人的人身利益和财产利益有着密切联系，故此针对个人敏感信息的处理是对企业的一大考验。基于《个人信息保护法》的规定，处理敏感个人信息必须遵循必要性原则，并限于实现特定处理目的的最小范围和最短期限，采用对个人权益影响最小的方式。企业常常进行全面收集并超出合理的使用范围进行使用，对于敏感信息与其他信息混同且缺乏保护措施，侵害了个人对其敏感信息的知情权、处分权等。　　（七）数据跨境　　1.《数据安全法》　　第二十四条国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。　　2.《个人信息保护法》　　（八）隐私政策的完整性　　根据《App违法违规收集使用个人信息行为认定方法》《App违法违规收集使用个人信息自评估指南》等，关于隐私政策部分总结如下：　　（九）构建制度化合规体系　　引用：　　【1】《信息安全技术移动互联网应用程序 (App)生命周期安全管理指南》（征求意见稿）　　【2】车伟赵申《供电企业数据盘点与数据目录构建研究》载《机电信息》2019年第36期　　【3】程啸《论个人信息处理者的告知义务》，载《上海政法学院学报（法治论丛）》2021年第5期　　【4】杨立新、赵鑫：《利用个人信息自动化决策的知情同意规则及保障——以个性化广告为视角解读<个人信息保护法>第24条规定》，载《法律适用》2021年第10期　　【5】《大数据杀熟，携程被判退一赔三！》，载微信公众号“人民法院报”2021年7月1日　　北京策略律师事务所数据合规项目组　　策略数据合规项目组在数据合规及个人信息保护领域拥有丰富的人才储备和实践经验。截止目前，项目组拥有通过EXIN（国际信息科学考试协会）DPO认证的律师12名，通过EXIN ISO27001认证的律师2名。　　项目组由律师事务所执行主任庞理鹏律师领衔，庞理鹏律师是国内较早从事数据合规和个人信息保护的律师，在该领域具有很高的知名度和影响力。项目组律师和顾问背景多元，既包括曾在跨国集团担任法务的公司律师，也包括世界500强企业尤其是高科技企业的产品经理、技术经理。项目组大部分律师精通该领域的国内外法律和实践，是企业在中国及全球业务运营中的可靠商业伙伴。　　律师介绍　　特别声明：以上仅代表笔者个人观点，不代表策略律师及策略律师事务所出具的任何形式之法律意见。如有意向就相关议题进一步交流探讨，欢迎与本所联系！ 2022/6/20

欢迎光临得知互动 (https://bbs.dezhifl.com/)