近期,工信部通报2023年第1批《侵害用户权益行为的APP通报》(总第27批),共通报46款APP(SDK),这些被责令限期整改的APP(SDK),涉及的问题主要包括3个方面:收集个人信息明示告知不到位、超范围和强迫收集个人信息。
因此,为了避免因违法违规而造成APP被下架、被责令限期整改,建议企业应当及时开展APP内部合规审查与评估工作,通过APP违法违规收集使用个人信息合规评估及时发现潜在的数据安全与个人信息保护风险点,并制定相应的解决方案,以实现企业的合规经营。具体服务范围、流程如下:
APP违法违规收集使用个人信息合规评估服务范围
App违法违规收集使用个人信息-合规评估服务,从安全管理和安全技术两大方面进行合规建设和整改服务,采用人员访谈、本地核查、渗透测试、自动化检测等方式对评估工作范围内的APP应用软件、隐私政策文本、各项业务功能及所收集的个人信息类型、个人信息处理规则及用户权益保障、不合理条款、收集使用个人信息的目的、方式、范围、必要性、授权行为、对用户权利保障的途径进行合规性评估,同时为后续合规性分析及综合合规分析提供参考数据。
APP违法违规收集使用个人信息合规评估服务流程
合规评估服务主要分为四个阶段,包括评估准备阶段、评估实施阶段、评估分析阶段、评估验收阶段。这些阶段中前两个阶段没有严格的顺序关系,阶段工作可根据实际情况灵活处理。
评估准备阶段
本阶段主要是前期的准备和计划工作,包括明确评估目标,确定评估范围,组建评估管理与实施团队,对APP应用业务功能结构、规章制度和技术措施等进行初步调研,沟通和确认评估分析方法,协商并确定评估项目的实施方案,并得到被评估单位的许可。尽管评估准备阶段的工作比较琐碎,但准备阶段中充分、细致和沟通、合理、精确的计划,是保证评估工作得以顺利实施的关键。
评估实施阶段
在准备阶段完成之后,将依靠已建立起来的评估管理与实施团队,遵照准备阶段中确定的实施方案进行评估。首先要进行的就是调研APP应用体系的构成功能要素——业务功能与其对应的个人信息,以及识别和验证已有安全合规措施的有效性——为下一阶段的评估分析收集必要的基础数据。本阶段除了要进行有关要素的识别工作以外,还需要进行要素的分类、验证、检查、访谈以及要素间的关联等活动,这由所选用的具体评估方法而定。
评估分析阶段
经过实施阶段之后,已经得到了影响被评估APP应用合规检测的基本数据,包括APP应用业务结构、安全功能措施、管理制度等。接下来需要根据被评估单位的实际情况对其合规场景进行分析,描述和评价各检测项的合规情况,从而确定APP应用合规项符合情况。经过与被评估单位的沟通与协商,应以被评估单位所接受的形式,提交合规评估分析报告与合规整改建议。
评估验收阶段
经过分析阶段之后,已经得到了本次评估工作的合规评估报告。接下来需要召开项目总结会,向被评估单位领导小组汇报合规评估情况,在描述不符合项之后表述出采取何种对策防范、符合合规要求,并将问题的轻重缓急描述清楚。经过全面的协助整改过程,最后完成全部的整改合规工作,然后总结汇报经过领导小组认可后,双方进行项目验收工作,交接文档,签字验收。
企业做APP违法违规收集使用个人信息合规评估的好处
从App违法违规收集使用个人信息合规评估服务中,被评估方能够得到的收益至少有:
技术性验证/检查安全隐患
合规评估有效的主动性防御手段,技术性验证目标APP应用的合规性,查找APP应用不符合规的隐患。
合规、评估的基本要求
满足安全规范和法律的基本要求,如《网络安全法》、《个人信息安全规范》《消费者权益保护法》、《关于开展App违法违规收集使用个人信息专项治理的公告》等均要求进行合规性评估。
单位形象/经济规避
可帮助单位因合规问题带来单位形象的损失和经济损失的风险,提高客户的操作安全性或满足业务合作伙伴的要求。最终的目标应该是最大限度地减小业务风险。
安全教育与技能提升
合规评估的结果可作为内部安全意识的案例,在对相关的接口人员进行安全教育时使用。
一份专业的合规评估报告不但可为客户提供作为整改依据,更可作为常见合规标准的学习参考。