數(shù)據(jù)已成為當(dāng)前企業(yè)乃至國家重要的戰(zhàn)略資源，個人信息作為個人的數(shù)據(jù)資產(chǎn)受到了越來越廣泛的關(guān)注。App企業(yè)跑馬圈地野蠻生長，強(qiáng)制授權(quán)、過度索權(quán)、超范圍收集個人信息、未制定并公開隱私政策等亂象叢生，使個人信息保護(hù)難上加難。

[[333192]]

自2019年四部門聯(lián)合成立App專項(xiàng)治理工作組以來，相關(guān)部門連續(xù)出臺了多個法律法規(guī)并陸續(xù)開展了專項(xiàng)治理行動，完善個人信息保護(hù)監(jiān)督管理機(jī)制，打擊違法違規(guī)收集使用個人信息行為，引導(dǎo)相關(guān)企業(yè)和公共服務(wù)機(jī)構(gòu)強(qiáng)化保護(hù)措施，保障公民合法權(quán)益。

一、《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》發(fā)布

2019年12月底，根據(jù)《關(guān)于開展App違法違規(guī)收集使用個人信息專項(xiàng)治理的公告》，為監(jiān)督管理部門認(rèn)定App違法違規(guī)收集使用個人信息行為提供參考，為App運(yùn)營者自查自糾和網(wǎng)民社會監(jiān)督提供指引，落實(shí)《網(wǎng)絡(luò)安全法》等法律法規(guī)，國家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、市場監(jiān)管總局聯(lián)合制定了《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》。

二、金融行業(yè)標(biāo)準(zhǔn)《個人金融信息保護(hù)技術(shù)規(guī)范》正式發(fā)布

2020年2月，中國人民銀行發(fā)布了金融行業(yè)標(biāo)準(zhǔn)《個人金融信息保護(hù)技術(shù)規(guī)范》，從安全技術(shù)和安全管理兩個方面規(guī)定了個人金融信息在收集、傳輸、存儲、使用、刪除、銷毀等生命周期環(huán)節(jié)的安全防護(hù)要求。

三、新版《個人信息安全規(guī)范》正式發(fā)布

2020年3月，GB/T 35273-2020《信息安全技術(shù) 個人信息安全規(guī)范》正式發(fā)布，并將于2020年10月1日實(shí)施。規(guī)范對個人信息收集、儲存、使用做出了明確規(guī)定，并規(guī)定了個人信息主體具有查詢、更正、刪除、撤回授權(quán)、注銷賬戶、獲取個人信息副本等權(quán)力。

四、公安部依法查處違法違規(guī)收集公民個人信息App服務(wù)單位

2020第一季度，全國公安機(jī)關(guān)網(wǎng)安部門充分發(fā)揮職能作用，加大公民個人信息保護(hù)力度，依法查處違法違規(guī)收集公民個人信息App服務(wù)單位386個，涉及信息咨詢、輔助學(xué)習(xí)、文學(xué)小說、新聞資訊、娛樂播報等多個類型。其中，97個App被予以行政處罰，192個App被依法責(zé)令改正違法行為，51個App被下架、停運(yùn)，有效保護(hù)了公民個人信息。

五、國家計(jì)算機(jī)病毒應(yīng)急處理中心監(jiān)測發(fā)現(xiàn)20余款違規(guī)移動應(yīng)用

2020年4月，國家計(jì)算機(jī)病毒應(yīng)急處理中心在“凈網(wǎng)2020”專項(xiàng)行動中對互聯(lián)網(wǎng)監(jiān)測發(fā)現(xiàn)，20余款外賣、醫(yī)療和在線教育類移動應(yīng)用存在涉嫌隱私不合規(guī)行為。這些移動應(yīng)用的違法違規(guī)行為主要有三大方面：一是未向用戶明示申請的全部隱私權(quán)限。二是未說明收集使用個人信息規(guī)則。三是未提供有效的更正、刪除個人信息及注銷用戶賬號功能。

六、移動金融App逐步規(guī)范，App備案進(jìn)行時

2020年5月，開始正式公布首批擬備案移動金融客戶端應(yīng)用軟件名單，目前已經(jīng)公布了三批，127款應(yīng)用入圍備案名單。為保障個人金融信息安全、提升金融APP安全防護(hù)能力，央行于2019年9月發(fā)布了《移動金融客戶端應(yīng)用軟件安全管理規(guī)范》，要求金融機(jī)構(gòu)按照《規(guī)范》對APP進(jìn)行整改，并向中國互聯(lián)網(wǎng)金融協(xié)會進(jìn)行備案。移動金融客戶端應(yīng)用軟件備案管理工作試點(diǎn)于2019年底展開，中國互聯(lián)網(wǎng)金融協(xié)會在全國范圍內(nèi)分批組織開展App備案推廣，并逐步落實(shí)風(fēng)險信息共享、投訴處置機(jī)制、黑白名單、違規(guī)約束等自律管理工作。

七、《App違法違規(guī)收集使用個人信息專項(xiàng)治理報告(2019)》發(fā)布

2020年5月，App專項(xiàng)治理工作組發(fā)布《App違法違規(guī)收集使用個人信息專項(xiàng)治理報告(2019)》(以下簡稱《報告》)，2019年3月起，評估發(fā)現(xiàn)違法違規(guī)收集使用個人信息問題共計(jì)6976個，向256款A(yù)pp的運(yùn)營者通報問題，督促其完成1267個重點(diǎn)問題的整改工作，建議有關(guān)監(jiān)管部門下架未落實(shí)整改要求App共11款。《報告》稱，四類具體問題中，“無隱私政策”“一次性打開多個權(quán)限”“申請權(quán)限未明示目的”三類問題降幅明顯。就“收集與業(yè)務(wù)功能無關(guān)的個人信息”問題來看，由于存在界定“無關(guān)”范圍的復(fù)雜性等問題，該問題目前發(fā)現(xiàn)比例較少，且處于波動階段，應(yīng)當(dāng)作為后續(xù)治理工作的關(guān)注重點(diǎn)。

八、2020年7月1日教育APP備案已截止，進(jìn)入限期整改

截止2020年5月底，教育移動互聯(lián)網(wǎng)應(yīng)用程序備案管理系統(tǒng)公布了1543家企業(yè)的3388個教育App備案。教育部印發(fā)《教育移動互聯(lián)網(wǎng)應(yīng)用程序備案管理辦法》?！掇k法》規(guī)定，省級教育行政部門開發(fā)的教育移動應(yīng)用向教育部進(jìn)行備案。小程序、企業(yè)號等平臺第三方應(yīng)用統(tǒng)一到平臺方提交備案信息，并由平臺方向教育部共享備案信息。7月1日起，將對未完成備案的教育App提供者予以通報，限時1個月進(jìn)行整改。7月31日前未完成整改的，將撤銷教育App備案。

九、工信部針對頻繁自啟動問題約談多家App企業(yè)

2020年6月，據(jù)央視新聞報道，有網(wǎng)友反映自己手機(jī)上安裝的App很多存在頻繁自啟動、訪問、讀取手機(jī)信息的現(xiàn)象。其中一款名為“優(yōu)學(xué)院”的移動教學(xué)軟件十多分鐘讀取近25000次手機(jī)照片和文件;而騰訊“TIM”一小時內(nèi)嘗試自啟動近七千次，并不斷嘗試讀取通訊錄。針對媒體曝光手機(jī)App侵害用戶權(quán)益的問題，工信部組織第三方檢測機(jī)構(gòu)對手機(jī)應(yīng)用軟件進(jìn)行檢查，并對發(fā)現(xiàn)存在問題的企業(yè)進(jìn)行了集中約談。要求相關(guān)企業(yè)于6月17日前完成整改。

十、工信部通報兩批侵害用戶權(quán)益行為App

2020年7月初，依據(jù)《網(wǎng)絡(luò)安全法》《電信條例》《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》等法律法規(guī)，工信部組織第三方檢測機(jī)構(gòu)對手機(jī)應(yīng)用軟件進(jìn)行檢查，對發(fā)現(xiàn)存在問題的企業(yè)進(jìn)行督促整改。截至目前，工信部共發(fā)布兩批侵害用戶權(quán)益行為App共計(jì)31款，好醫(yī)生、智慧樹、游民星空等在列，所涉問題集中在過度索取權(quán)限、私自收集個人信息、超范圍收集個人信息、不給權(quán)限不讓用、私自共享給第三方、強(qiáng)制用戶使用定向推送功能、不給權(quán)限不讓用等。

合規(guī)是業(yè)務(wù)發(fā)展的生命線。在個人信息保護(hù)監(jiān)管趨嚴(yán)的大環(huán)境下，依賴App提供業(yè)務(wù)的企業(yè)越來越多，被點(diǎn)名、被約談、整改下架都會直接影響業(yè)務(wù)的正常運(yùn)行。安全關(guān)口前移，防患于未然，才能保障業(yè)務(wù)健康有序發(fā)展。

安全是一項(xiàng)長期對抗性的工作，需要持續(xù)做好安全檢查與改進(jìn)。針對當(dāng)前App個人信息保護(hù)存在的困難，梆梆安全為用戶提供個人信息保護(hù)合規(guī)整體解決方案，提出個人信息合規(guī)整改4步法(個人信息保護(hù)現(xiàn)狀評估→個人信息安全影響評估→個人信息保護(hù)合規(guī)整改→個人信息保護(hù)管理制定)。在產(chǎn)品層面，為用戶提供應(yīng)用安全測評、應(yīng)用保護(hù)、應(yīng)用威脅感知、應(yīng)用安全監(jiān)測，持續(xù)引導(dǎo)并幫助客戶走好個人信息保護(hù)合規(guī)之路。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文