據不完全統計,截至2018年年底,我國移動互聯網用戶總數已達13.9億,手機上網用戶達12.6億 ;中國市場上移動應用數量達449萬款,其中游戲類應用以138萬款的數量排行第一,生活服務類、電子商務類分別以54.2萬款、42.1萬款排名第二和第三,規模前三的應用類型總和佔整個應用功能市場規模的52%。即時通信、電子商務、地圖導航、移動支付、外賣、網約車、手遊等大眾化應用程序已經滲透到人們日常生活中。與此同時,App 個人信息安全問題凸顯,App 運營者的個人信息安全保障能力普遍遭受質疑。App 安全認證是依據《信息安全技術個人信息安全規範》(以下簡稱《個人信息安全規範》),對 App 收集、存儲、傳輸、處理、使用個人信息等活動的合格評定。符合認證要求的App,向APP運營者將被頒發認證證書,授權其使用認證標誌。
究竟什麼樣的App才能通過認證?
當前移動應用市場中的絕大多數App與認證標準存在著差距,APP運營者需要認真研究認證標準,深入開展自評估,尤其在過度索權、強制授權、功能捆綁、用戶權益保障、定向推送、 第三方接入等方面要切實整改
App 安全認證為自願性認證,獲證 App可以在應用市場、搜索引擎使用認證標誌,並獲得優先推薦,向消費者和用戶傳遞安全信任,引導網民在下載同類 App 時優先選擇獲證App。因此,認證公告發布之後,受到包括網民、App 運營者、安全機構、行業主管部門和協會組織等社會各界的廣泛關注。那麼,究竟什麼樣的 App才能通過認證?
據調查,當前移動應用市場中的絕大多數App與認證標準存在著差距。若App運營者想申請App安全認證、成功獲得App認證證書和認證標誌,需要認真研究認證標準,深入開展自評估,尤其在過度索權、強制授權、功能捆綁、用戶權益保障、定向推送、第三方接入等方面需要切實整改,同時還需要具備對個人信息在委託、共享、轉讓和公開披露環節的安全管理能力以及對相關機構、人員的安全管理能力,方能達到認證要求。
此外《,App安全認證實施規則》規定了 App安全認證的申請主體即 App 運營者不得申請認證的情形。對於不符合申請條件的認證申請,不予受理。
App安全認證做成什麼樣?
預計2019年開展第一批App試點認證, 並推選出一批對個人信息安全保護符合標準 要求的App,通過與應用市場和搜索引擎開 展合作,顯著標識並優先推薦獲證App
為順利實施 App安全認證,中國網絡安全審查技術與認證中心前期開展了大量的調研和技術研究工作,包括 App 認證模式、編制認證規範性文件以及建立持續監督平臺等。
App安全認證的認證模式分為技術驗證+現場核查+ 獲證後監督。認證基本環節包括認證申請、認證受理、技術驗證、現場審核和認證決定5個基本環節。認證申請方首先需要提交認證申請材料,並接受資料評審。對於不具備申請條件、申請資料不完整或自評估結果顯示缺乏良好的個人信息安全保護基礎的,不予受理。受理後的App需先後經過技術驗證、現場核查兩個環節,並被作出符合認證要求的認證決定後,方能獲得認證證書和認證標誌。為確保獲證App持續符合認證要求,認證機構持續開展日常監督和專項監督,並要求獲證 App運營者按照要求向認證機構提交自評價報告,作為日常監督的內容之一。
在編制規範性文件方面,依據《移動互聯網應用程序(App)安全認證實施規則》研究制定《移動互聯網應用程序(App)安全認證實施細則》,根據《個人信息安全規範》研製移動互聯網應用程序(App)安全評價指標,以及根據認證認可工作要求研製認證配套文件。其中,相比實施規則,實施細則對申請單元劃分、各環節認證時限以及認證標誌使用進行了詳細的規定。
此外,中國網絡安全審查技術與認證中心正在同步建設App持續監督平臺(一期)。該平臺是落實《移動互聯網應用程序(App)安全認證實施規則》中獲證後持續監督要求的技術手段之一,也是實現獲證App渠道監測、一致性監測、網民監督和投訴舉報的重要技術支撐。通過建立網民監督和社會舉報 渠道,鼓勵網民通過舉報主動提供 獲證 App不符合認證要求的信息, 經核查確認後,按照實施規則規 定,予以認證證書暫停、撤銷等相應處理。
App安全認證作為自願性認證,目前已啟動認證試點工作,開通申請受理渠道。預計2019年開展第一批App試點認證,並推選出一批對個人信息安全保護符合標準要求的App,通過與應用市場和搜索引擎開展合作,顯著標識並優先推薦獲證App,引導網民優先選擇獲證 App。與此同時,逐步健全政府、行業、社會等多層面對App安全認證的採信機制,推動市場採購、行業管理、社會治理等領域廣泛採信認證結果,提高企業參與自願性認證活動的積極性和主動性,形成App個人信息安全的長效治理機制。
App 安全認證實施中的難點
App安全認證實施中 的難點主要是認證標準全方位要求與企業整改難度 大之間的矛盾
目前,App安全認證實施中的難點主要是認證標準全方位要求與企業整改難度大之間的矛盾。《個人信息安全規範》處於修訂階段,尚未最後定稿,但總的方向是嚴格落實有關法律法規要求。大多數企業還沒有做好利益調整的準備。主流企業應擺正關係,起到示範引領作用,肩負起社會責任,保護用戶合法權益,共同營造良好的個人信息安全生態。
原文刊載於《市場監督管理》半月刊2019年第8期
發佈單位:中國工商出版社 數字出版部
注重交流執法經驗
關注消費維權動態
同護市場公平正義
共觀市場經濟大潮
權威●專業
①複製“微信號或ID”,在“添加朋友”中粘貼搜索號碼關注。
微信號:banyuekan 公眾賬號搜索“市場監管半月沙龍”
編讀交流QQ群:304158374
聯繫信箱:[email protected]
閱讀更多 市場監督管理半月沙龍 的文章
