如今,APP應用已經融入我們生活的方方面面,社交、出行、工作、閱讀……,似乎生活上的任何需求,透過APP應用都可以有求必應,APP在方便人們生活的同時,通過強制授權、過度索權、超范圍收集個人信息等現象,導致App用戶個人信息安全保護形勢極其嚴峻。
App個人信息收集與保護現狀
5月24日,App專項工作組發布了“百款常用App申請收集使用個人信息權限情況”,并公開了“百款常用App申請收集使用個人信息權限列表”,受到了廣泛關注。其結果表明存儲、位置、相機、麥克風等權限被申請的百分比大于90%,讀取通訊錄申請百分比大于70%,以上權限申請幾乎成為App的標配。83%的APP“強制”申請開啟5個以下“與收集個人信息相關權限”。申請和強制收集的大部分信息屬于個人敏感信息,對企業來說,意味著較高的商業價值,對個人來說,一旦泄露,將導致個人信息主體及收集、使用個人信息的組織和機構喪失對個人信息的控制能力,造成個人信息擴散范圍和用途的不可控,可能對個人信息主體人身和財產帶來重大風險。
中國消費者協會發布的《100款App個人信息收集與隱私政策測評報告》也揭示多達91款App列出的權限涉嫌“越界”過度收集用戶個人信息。在繁榮的APP市場中對于個人信息保護的水平卻極低。
App個人信息保護相關法律法規
目前,國內外均沒有專門針對App個人信息保護的法規,相關個人信息保護要求包含在對網絡運營者的數據安全保護義務和責任中。
1996年香港制定個人資料(隱私)條例,成為亞洲第一個對個人信息專門立法保護的司法區,2012年香港對個人隱私條例進行了大幅度更新,旨在個人資料方面保障個人隱私的安全,對“數據用戶”(即數據使用者),獲取、持有、處理個人資料提出了規范性要求。該條例明確了在香港,個人信息資料獲得法律保護。個人資料的搜集須以“合法及公平”方式進行;除非獲得當事人同意,否則對個人資料的使用“只可按當時所述明的用途”,違反規定者最高可被罰款50萬港元及監禁3年。
2015年,歐盟發布的《通用數據保護條例》(GDPR),圍繞個人數據的收集、使用、保存、分享、轉移等,對數據控制者和處理者、數據主體的權利義務進行了全面規定。
2017年6月1日起施行的《中華人民共和國網絡安全法》是國內首部關于網絡安全的基礎性法律,其中對個人信息保護提出專門要求。明確要求網絡運營者必須建章立制,擔負用戶信息“保管員”的職責,確保對所收集的用戶信息在不泄露的前提下進行使用,同時強化了個人信息保護的知情同意和特定目的原則。
2018年,加利福尼亞州頒布《加州消費者隱私保護法案》(CCPA),被認為是美國國內最嚴格的個人信息立法。指明,個人就其個人信息的使用和出售的控制能力對于隱私權而言具有基礎性意義并對違規行為設定了較重的處罰。
App個人信息保護需要數據安全治理
2019年1月25日,中央網信辦、工信部、公安部、市場監管總局四部門聯合發布《關于開展App違法違規收集使用個人信息專項治理的公告》,將對超千款App進行評估,規模空前,展現對亂象重拳治理的決心。但正如美國的《大數據與隱私報告》指出:信息所具有敏感性,以及與一般商業活動、政府行政或者來自公共場合的收集中的大量數據的難以分割性,使得規制這些信息的使用比規制收集更合適。如果能在合理收集數據的基礎上對數據進行有效的數據安全治理,則會對個人信息數據提供更深層次的安全保障。
數據安全治理不僅僅是一套用工具組合的產品級解決方案,而是從決策層到技術層,從管理制度到工具支撐,自上而下貫穿整個組織架構的完整鏈條。可以以最有效的方式保護個人隱私信息的安全,又能夠讓企業發揮出共享數據應有的價值,數據安全治理體系建設可以從能力維度、執行維度、場景維度三個層面開展:
能力維度
完善的組織機構、有針對性和可行的管理制度和規范、全面和先進的數據安全技術,是構建數據安全治理體系的基礎。
●組織建設:組織的職責可劃分為數據安全策略的決策、數據的安全管理、數據安全使用的監督三類,根據不同職責分配角色和人員。
●治理評估:組織在進行規劃過程中,應定期通過業務合規性評估手段開展咨詢評估工作,對業務系統和數據安全進行全面檢測,并對評估結果進行安全能力分析,從而形成業務系統數據安全能力評估報告。
●制度建設:將制度、規范按照方針政策、制度規范、操作明細、基礎模板四類進行分類,形成樹狀結構,便于管理。
●技術建設:數據安全技術,支撐制度規范的執行與監控,技術工具建議使用標準的數據安全產品或平臺,也可以是自主開發的組件或工具;技術工具應覆蓋數據使用的各個場景中的數據安全需求。
執行維度
針對數據使用的各個場景,需要通過梳理來了解數據資產狀況和風險;配合制度規范要求,采用不同的安全技術手段進行數據使用過程中的管控,同時要監控使用過程,對訪問行為進行稽核,并不斷完善。
●資產梳理
此過程是數據安全治理全維度的基礎,因為,只有摸清資產使用部門和角色、數據資產的分布、數據量級、訪問權限、數據使用狀況,才能夠有效的針對數據進行精細化的安全管控。
●行為管控
此過程是結合業務流程,在數據流轉中的數據訪問、數據運維、數據傳輸外發、數據存儲等各環節做到內外兼顧,并對數據處理/使用環節中的數據進行安全保護。
●治理稽核
稽核是保證數據安全治理規范落地的關鍵,也是信息安全管理部門的重要職責。因此,此環節是保障數據安全治理的策略和規范能否被有效執行和落地,以及最終實現數據安全治理全流程的閉環。
場景維度
數據安全治理涵蓋數據在日常使用過程中面臨的各種場景,具體包含開發測試、運維、共享、分析、應用訪問、內部特權訪問等場景。在做數據安全建設時必須首先分析業務場景,包含但不限于如:開發測試、數據運維、數據分析、應用訪問、特權訪問等場景,然后按照能力維度中所梳理的資產、數據、用戶、權限等內容導入到場景化,包括早期策略制定前的數據梳理工具,數據訪問過程控制中,采用什么樣的技術手段幫助實現數據的安全管理過程,以及在后期對數據安全治理工作進行稽核的過程中采用什么樣的技術工具進行輔助監管。結合數據安全治理工具幫助完成數據安全治理工作。
在APP融入并改變人們生活的如今,其中的用戶個人隱私信息安全問題備受關注,合理收集、適度開發、系統保護將會是長期的工作。
產品咨詢:4000 258 365 
