客服热线:
手机版
二维码
关于App安全认证现场核查工作的几点思考
移动互联网应用程序(App)由于其便捷性、普惠性、及时性被民众广泛应用,在促进经济社会发展、服务民生等方面发挥了重要的作用。但与此同时,App强制授权、过度索权、超范围收集个人信息的现象普遍存在,个人信息泄露、滥用等情形时有发生,广大网民对此反映强烈。为保障个人信息安全,维护广大网民合法权益,我国从2017年开始对App收集使用个人信息的行为开展了专项评估、检测工作。
为进1步规范App收集、使用用户个人信息的行为,2019年,国家市场监管总局、中央网信办联合发布公告,开展App安全认证工作。此认证严格依据《移动互联网应用程序(App)安全认证实施规则》(以下简称《实施规则》)开展认证活动,把好发证前的每道门槛。这是利用市场选择机制引导App运营者规范个人信息收集、使用、转让等行为,真正提升其个人信息保护能力和水平的重要前提。
同时,作为中央网信办、工信部、公安部、市场监管总局四部委组织的“App违法违规收集使用个人信息治理行动重要组成部分,App安全认证相较于治理的背对背评估工作,可运用更多的技术手段对企业内部个人信息全生命周期的合规性做更全面的检测审核。
App安全认证模式分析
与传统的网络安全产品不同,App安全检测不仅关注App软件本身,还要对它收集传输的数据做分析,且个人信息收集使用的合规性评定不仅依靠客观检测结果,还要结合经验进行主观判断。为全面了解App收集使用个人信息的行为,创新传统的网络安全产品认证模式是必然要求。《实施规则》中指出App安全认证以GB/T 35273《信息安全技术个人信息安全规范》(以下简称《安全规范》)及相关标准、规范为依据,采用“技术验证+现场审核+获证后监督的认证模式,其中技术验证方式包含实验室检测和现场核查。现场核查和现场审核工作既有联络又有区别,现场核查关注个人信息的传输、存储、匿名化处理等App服务器后台技术验证,以及数据的共享、转让等后台技术处理的核查验证等,是实验室检测有效的补充手段,现场审核关注个人信息安全事件处置、个人信息安全工程、个人信息安全影响评估等管理类要求。认证模式中已包含现场审核部分,在技术验证中又加入了现场核查的工作,足以看出进驻现场与企业面对面,对于App安全认证工作的重要性。
充分利用现场工作的手段保障App安全认证的有效性
结合App产品特点开展现场核查工作
App是一种通过分析、设计、编码生成的特殊软件,其存在形式具有产品的特性,相较于传统网络安全产品,App的分发渠道、版本迭代频率、用户感知程度完全不同。传统网络安全产品的工厂检查主要关注产品的信息安全保证能力、质量保证能力和产品一致性。
为最大程度地保障投放市场的产品与送检的型式试验品的质量一致,需审查产品的版本管理,重点检查是否为App的不同版本提供唯一的标识。由于App应用商店的多样化,同时为满足不同操作系统的配置要求,App运营者也会有不同版本,即使现场审查的版本、标识管理满足要求,也不能明确检测版本与投放市场的App在个人信息与合规性方面保持一致。
具体操作上,检测机构会从任一家应用商店下载相应的App安装包并对其进行检测。通常而言,App收集个人信息行为主要发生在顾客端,做好技术检测,严把信息入口,能够对App在收集个人信息时是否明示告知、一揽子强制收集等行为作出明确判断。但由于App保护技术的发展,检测中存在难以脱壳、数据加密、反调试运行等技术瓶颈,App技术检测无法确认所有收集阶段的个人信息收集问题,因此,现场审查是对技术检测的有力补充和方法突破,如《安全规范》9.2对未征得个人信息主体授权同意进行的共享、转让个人信息去标识化的要求。去标识化是一种数据脱敏的方法,但其不能通过远程技术检测到,只能在运营现场,通过抽查运营者共享、转让个人信息流才能确认。
结合技术验证结果开展现场核查工作
依据《安全规范》,App安全认证需对收集、使用、存储、共享全生命周期个人信息相关的处理活动进行合规化审核,现场工作不仅需关注传统的风险管理要求,同时,还要兼顾对App顾客端进行文本核查、功能试用、数据检测后仍无法覆盖的评估项,并且验证技术验证报告中不符合项或高危风险漏洞的整改情况、核查收集个人信息的合理性、补充完善技术验证结果、评判App顾客端和服务端行为的一致性。
以上现场工作内容,在短短的几天时间内完全覆盖不可能也无必要。见微知著,我们可从细节着眼,衡量运营者是否存在形式化、敷衍审核的情况。如《安全规范》“5.5 a)1) 个人信息控制者的基本情况,包含主体身份、联络方式和“10.2 b) 5)个人信息保护负责人和个人信息保护工作机构的联络方式两处都提到了个人信息控制联络方式。《安全规范》5.5中是个人信息保护规则中披露的个人信息控制者的联络方式,此联络方式在对外发布的文件中予以明确,而10.2是在发生安全事件时个人信息控制者的联络方式,此联络方式应在内部应急预案等文档中予以明确。理论而言,这两处标明的联络方式应为同一负责人或部门,如不同则反映企业在个人信息保护上存在内外“两张皮,不能完全满足用户个人信息权益的保障。这样结合技术检测结论的现场审查工作更能发现实质性问题。
结合监管重点开展现场核查工作
App收集个人信息存在的问题,反映了运营者在个人信息保护方面意识欠缺、管理机制缺乏、保护技术落后等问题。中央网信办、工信部、公安部、国家市场监管总局2019年细化已有法律法规的要求,结合App典型违法违规行为,发布《App违法违规收集使用个人信息行为认定方法》(以下简称《认定方法》),对六大类31种典型行为进行定性。2020年11月,工信部针对测评规范和收集原则组织发布18项团体标准,并为其“App侵害用户权益专项整治工作提供依据和支撑。同时,地方网信部门、通信管理局、公安局也积极响应个人信息保护工作,对所属辖区内的网络运营者进行监督管理。监管部门依据《认定方法》对App收集使用个人信息行为进行认定,对存在的问题予以公开曝光通报。
相较于背对背评估工作,App安全认证着眼于App全生命周期收集、使用个人信息的行为,能够深入运营现场检查核验,因此更能发现问题。但由于各部委对行业要求有所区别,测评方法不尽相同,通过认证的被认为优秀个人信息保护实践者有可能在某些点存在不符合的现象,因而被公开通报,大大影响了App安全认证的公信力。因此,扩展评估依据的要求并将之纳入核查重点,从细节处着手现场工作尤为重要,有必要在标准符合性验证的基础上突出重点评估项,实现一次认证经得起多方检测评估,如《认定方法》中“未明示收集使用个人信息的目的、方式和范围:未逐一列出App(包含委托的第三方或嵌入的第三方代码、插件)规定,实质是对App中不为用户所感知的能够收集个人信息的第三方予以告知,是对《网络安全法》中明示告知义务的响应。此点是监管的重点,也是曝光通报的热点问题。
在新修订的2020版《安全规范》增加的9.7章节“第三方接入管理中要求更具体更全面。9.7要求运营者对所有第三方履行管理机制、合同约束、保存记录、监督管理、行为审计等工作,如仅就文档机制进行审核,无疑在第三方接入管理中将App前后端割裂开了,会遗漏对实际引入的第三方管理。因此,在这些重要的评估项上,应进1步确认App中嵌入的第三方是否都纳入了管控范围,是否告知用户其收集使用个人信息的类型、范围和目的。
做好现场核查工作的几点建议
经过1年半的试点工作,2020年9月,云闪付、百度地图等18款App在多次整改完善后颁发证书,这些App先行先试,为大量App的个人信息保护提供了可借鉴的模式。同时随着App收集个人信息更深层次、本质性问题的凸显,对法律法规的细化解读,势必对App安全认证工作提出更高的要求。由于技术验证的瓶颈问题短时间无法解决,能够预见,现场核查工作将承担更多更复杂的任务。
从国际范围来看,个人信息保护立法工作日趋完善,但相关的检测认证工作尚处于起步阶段。由于法律法规等顶层设计文件对于运营者而言不具备指导性,相关的细化支撑文档还未完善,因此现场核查工作既是实施认证的关键环节,也是宣贯解读政策标准的恰好时机。运营者通过有效交流,完成整改,在企业内部逐步建立起有效的个人信息保护运行体系,提升了企业个人信息保护能力,对App持续满足认证要求意义重大。
个人信息保护之路任重道远,在多方联手形成协同共治局面的过程中,认证工作扮演着重要角色,做好现场核查工作,提升证书的权威性和含金量,能够从以下方面着手:
做好准备工作。包含简单试用App功能、通读其个人信息保护规则,跟踪了解监管部门发布的政策法规及相关标准规范、国际个人信息保护的动向和大事件。做好充足的知识储备,充分了解产品的特性,预判存在的问题,以国际视野,指导企业深刻认识本质问题。
做好衔接工作。包含熟悉、分析技术检测结果、自评价结果和相关证明文档、不同发布渠道的版本差异性说明及App版本控制说明。做好与前阶段各工作的衔接,现场核验、补充、完善相关结论,带着问题做现场核查,有重点地检查疑似不合规处,在薄弱点、疏漏点下功夫,往往会事半功倍。
做好反馈工作。包含将找到的新问题、发现的新方法、个人信息使用的不同形式等反馈至检测认证公司、技术小组和方法库。这种知识体系的循环往复,不仅是后续培训、研讨素材来源,还可加深评审人员对个人信息关键问题的理解。通过研讨,达成一致意见,又将为修订体系文件、评价准则提供可靠的输入源。
关于BSCI认证的一些疑问与解答
关于BSCI认证的一些疑问与解答
近段时间欧洲BSCI认证很火,公证行也接到许多BSCI审核的单子,这篇文章我发在认证论坛的,现在转过来,希望对大家都有用。做验厂的,假如还不学习一下BSCI,您就OUT了。
Q:BSCI认证是什么?
A:随着企业承担社会责任的问题在国际上关注度不断增加,制定共同的行动就极为迫切。许多国际性的团体主动将该问题提交内部探讨,例如联合国的“全球行动计划”,经济合作与发展组织(OECD)的“多国企业原则”,以及“世界贸易组织(WTO)”,都正在考虑把社会标准加入多边贸易规定。
欧洲委员会在2002年也针对社会问题发布联合公报。一些公司和协会,如对外贸易协会,也参与了探讨并倡议行动。不过欧洲零售业更强调自愿的原则而不是强制执行,并遵守国际社会里相应的政府性和组织性规定。从2002年起,总部设在比利时布鲁塞尔的对外贸易协会(FTA)就致力于为欧洲许多不同的行为守则和监督体系建立1个共同的平台,并为建立1个欧洲共同监督体系打好基础。在2002年和2003年这两年间,各大零售业公司和协会为建立此类体系的框架举办了多次研讨会。2003年3月FTA正式成立了倡议商界遵守社会责任组织(BSCI),目的是为欧洲商界遵守社会责任计划制定出执行措施和程序。简单的说,BSCI认证就是衡量1个企业是否达到欧洲官方及民间非政府组织所认可的社会责任标准的认证。
Q:BSCI认证采用什么标准?
A:BSCI采用SA8000标准
BSCI作为独立的社会责任(人权)组织,本身没有制定任何标准,它与目前第一部全球社会责任标准的颁布机构SAI合作,采用SA8000标准作为其审核依据。由于SAI组织的支持,还有欧洲外贸局FTA作为其强力后盾,加上其借鉴ETI的模式进行社会责任报告数据库调档分享,免除了重复的第三方验厂审核,近年BSCI组织成员扩充十分迅速,目前已经达到644家,他们都是大型贸易商、著名品牌、大型连锁超市,包含LIDL,麦德龙,AIDI等。
Q:什么机构能够开展BSCI认证?
A:BSCI制定一些著名公证行作为其认证的执行机构,包含如下公证行都能够开展BSCI认证:
ALGI, APCER, Bureau Veritas, CISE, DNV, Eurocert, HKQAA, Intertek - Intertek Testing Services, IQNet Ltd, RINA - Registro Italiano Navale Group, SGS- Société Générale de Surveillance, STR-Registrar, LLC (STR) Formerly CSCC, TUV NORD CERT GmbH, TUV Rheinland Group, TUV SUD Group.
Q:BSCI认证审核的范围包含什么?
A:BSCI的审核范围
由于SA8000标准的要求太高,通常工厂很难达到,因此BSCI在借用这个标准的情况下,将其中易于做到的部分归为B部分,而较难实施的部分归为C部分(推荐部分)。在验厂中,C部分不纳入打分。B部分又包含了13大项,包含:B1-管理实践,B2-文件证据,B3-工时,B4-报酬,B5-童工/未成年工,B6-强迫劳工/囚工/惩戒, B7-结社自由,B8-歧视,B9-工作条件,B10-卫生及福利设施,B11-职业安全与建康,B12-宿舍,B13-环境。而每1个大项里面又包含了3至20个不等的问题点。这些问题点有的严重项目会直接导致验厂得0分。
Q:作为工厂怎样申请BSCI认证?
A:这可能是向西欧供货的厂商最为关注的问题之一,由于2011年的订单许多都必须BSCI认证了。首先假如供货给LIDL,客人会指定STR或者ITS这两家公证行派审核员来审核,2010年之后,BV也接到部分LIDL订单,LIDL提供三次验厂机会,假如这三次都没有拿到2分,则必须工厂自己向STR或ITS申请并缴纳相应的费用。
假如是其它会员,如麦德龙,JOKA这样的顾客,只必须工厂自己向公证行申请即可。公证行会根据工厂的人数来明确验厂的人天MAN-DAY和费用,100人以内的工厂是1.5man-day,人数增加,会按照BSCI的标准相应的增加MAN-DAY.工厂将验厂费用打入公证行帐户之后,公证行才会安排审核员行程。通常验厂都会在付费后1个月左右的时间进行,还要看公证行的任务安排。假如这段时间公证行的任务许多,那可能就会排队较长时间,假如是每一年的7,8月份,这些公证行的传统淡季,安排就会相应的快一些。
Q: BSCI认证是不是很难?
A:在目前国内的工厂中,要完全附合BSCI标准,拿到2分,几乎没有一家能通过。很简单的例子,假如没有每七天休息一天,无论工厂有什么理由,单这1个问题就是0分。因此在申请认证审核以前,作一定的准备工作是必须的。
Q:BSCI认证的承认度怎样,有多少顾客认可这个认证?
A: BSCI认证目前的接受度越来越广泛,BSCI的会员已经达到644家,欧洲还有许多零售商在观望或者申请成为BSCI会员,一些美国的零售商目前也开始接受BSCI认证。由于BSCI是由欧洲外贸局FTA发起的,以后的发展很有可能或者已经超过ICTI,WRAP,ETI这些社会责任组织。
Q:BSCI审核结果多久能够得到,怎样查询?
审核当天审核员会出具一份审核总结由工厂签字,审核员不会告诉工厂得几分。通常两个星期左右,公证行会将报告上传到BSCI的数据库,会产生工厂的DBID号和密码。工厂有DBID号和密码能够登陆BSCI的官方数据库查询自己工厂是否已经成为BSCI的合格供应商。第一次登陆数据库会要求在线签署一份顾客行为准则同意声明书。假如您的工厂得到的不是0分,那您就是BSCI的合格供应商了。当然LIDL要求是2分。
今日通过对《关于BSCI认证的一些疑问与解答》的学习,相信你对认证有更好的认识。假如要办理相关认证,请联络我们吧。
