400-062-7618
申请交流
超大城市交通出行App个人信息合规评估实践
2022.08.12 417

今天,我们用App进行网络购物、订票、美食、生活资讯、地图、旅行、天气、导航、健康、看电影等,App已经渗透到人们的衣食住行各个方面,彻底改变了现代人的日常工作生活习惯。

与此同时,App乱象丛生。其中,过度收集用户个人信息、隐私条款不完善或缺失情况严重等问题成为消费者最大的困扰之一。于是,国家从立法、监管、治理等方面展开行动。

2019年1月25日,中央网信办、工信部、公安部、市场监管总局等国家四部门召开新闻发布会,联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》。

2019年11月28日,上述四部门联合制定了《App违法违规收集使用个人信息行为认定方法》,明确6大类违规行为。一系列规范标准的出台意味着对于App监管共治局面的到来。

2019年,四部门联合开展App违法违规收集使用个人信息专项治理工作取得的积极进展,成立的专项治理工作组受理网民有效举报信息12000余条,针对2300余款App开展深度评估、问题核查,对用户规模大、问题突出的260款App,有关部门采取了公开曝光、约谈、下架等处罚措施。

2021年,工信部App个人信息保护专项整治工作成果——全年组织对208万款App进行了技术检测,通报违规1549款,下架514款,有力整治违法违规行为。

APP开始踏上一条被监管、治理,满足合规的求生存、谋发展之路。

作为出行必备,交通App在后疫情时代发挥的作用越来越大,这类APP收集使用了大量个人隐私和敏感信息,如个人基础信息、个人轨迹信息、个人生物识别信息等,与此同时,交通App违法、违规收集使用个人信息问题开始凸显。因此,这类App的个人信息合规评估需求也在十分迫切。本文将分享云集至针对超大城市交通App个人信息合规评估实践。

处罚!“滴滴”预警,合规之剑高悬

2022年7月21日,国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规,对滴滴全球股份有限公司(以下简称“滴滴”)做出处罚,决定罚款80.26亿,同时对滴滴CEO程维、总裁柳青各处人民币100万罚款。

本事件社会影响、处罚力度空前,也对众多交通App运营者亮出了合规这一把悬顶之剑,警示交通App运营者依法做好个人信息合规评估。

刚需!个人信息合规评估需求

如今,交通出行方式发生巨大改变,人们只需下载一款交通App即可便捷乘坐公交地铁。交通App除了为人们日常出行提供便捷,还需要维护个人信息主体的合法权益,履行个人信息保护的义务。

近年来,国家针对个人信息保护从立法、执法等层面均开展一系列动作,

法律层面,《个人信息保护法》出台;标准层面,GB/T 35273-2020《信息安全技术 个人信息安全规范》发布;执法层面,由中央网信办、工信部、公安部、市场监管总局指导成立了App违法违规收集使用个人信息专项治理工作组(App专项治理工作组),该小组出台了《App违法违规收集使用个人信息行为认定方法》和《App违法违规收集使用个人信息自评估指南》。

挑战!个人信息合规评估难点

基于合规要求,达到规范交通App收集使用个人信息,维护个人信息主体权益的目的,交通App个人信息合规评估工作内容包含:

  • 开展App个人信息合规检查,针对IOS、安卓两大手机系统进行评估;

  • 形成App个人信息合规评估报告,包含合规问题和整改建议;

  • 跟踪App开发团队进行问题整改。


针对本次交通App个人信息合规整体评估工作,客户发出四大灵魂拷问:

1、疫情当下,个人信息超范围收集亟需合规

背景:新冠疫情当下,疫情管控层面牵涉到多方验证用户信息,出行数据收集过量,但用户无法拒绝的困境。

拷问:如何定义采集数据与疫情验证的必要性?


2、登陆强制、过度索取人脸等生物特征

背景:首次App登陆强制人脸识别,并存储人脸识别信息,保护措施未知。 

拷问:身份认证强度弱,不得已采用人脸识别,是否有更好的替换方法?


3、隐私规定与App实际隐私政策差距过大

背景:隐私政策内容不清晰、用词含糊、语义不清、冗长难懂、用户难理解,“霸王条款”限制用户权利,默认、强制用户同意隐私政策,侵犯用户选择权等都是目前的常态化问题。

拷问:传统律师存在技术短板,我们可能缺少数据安全法律解读专家+数据安全专家分析?


4、数据共享行为未规范,缺乏约束措施

背景:共享行为未向用户明示;未经用户同意转移用户个人信息。用户拒绝同意的情况下,依然转移;未对第三方数据共享行为进行安全评估,时常发生。

拷问:如何发现全部App后台共享接口,并监督非预期的业务的数据共享?

面对以上灵魂拷问

客户需要一支专业队伍

解决两大诉求:快速应对+成果展现

  • 仅三天时间,需要完成针对六款交通App的个人信息合规评估,包括完成评估计划、评估实施、评估报告等一系列事情。时间紧,任务重,对评估团队来说是挑战。

  • 评估围绕《个人信息保护法》、GB/T 35273-2020《信息安全技术 个人信息安全规范》、《App违法违规收集使用个人信息行为认定方法》、《App违法违规收集使用个人信息自评估指南》四项合规文件进行解读并输出合规检查表,最后的评估工作需要以可视化交付物进行呈现,对评估团队的政策法规解读能力和个人信息合规评估经验均是考验。

专业!体系流程+可视化成果

01、建立合规评估流程

为了在最短时间完成最好的个人信息合规评估效果,云集至构建了“评估—分析—整改”三步走的思路。云集至安服专家结合过往丰富的标准参与制定和政策解读经验,快速将合规文件解读转化成合规检查表,采取“人工+工具”检查方式,即专业的安全团队结合专业化的检测工具,多个安服工程师分工协作进行App评估、分析、整改,快速完成了本次评估工作,攻克了时间紧任务重、合规对标项多的难题。

640 (4).jpg

1、App评估

APP评估涵盖三方面内容:

  • App检查:人工服务,依据《合规检查表》对APP功能进行检查;

  • App检测:工具检测,完成APP权限、SDK、行为检测;

  • 渗透测试:通过渗透测试,发现APP漏洞。

2、App分析

依据APP评估结果,进行合规、SDK、漏洞等的综合分析,形成APP个人信息合规评估报告。

3、App整改

跟踪交通App开发团队,及时验证问题的整改情况,直至满足合规要求。

02、交付合规评估结果

本次交通App个人信息合规评估工作,将合规问题的分布加以统计、合规问题的分类加以描述以及漏洞问题统计,通过工具和图表的形式进行了可视化成果展示,帮助用户直观地看见交通App存在的个人信息安全问题。通过将以下内容进行可视化成果展示,帮助客户实现合规和安全收益。

获取交付方案或交流具体的服务内容欢迎后台留言

或拨打客服:400-062-7618

第一时间与您链接需求

满足!客户收获评估收益

本次交通App个人信息合规评估工作的完成,帮助App运营者达到以下效益:

1、满足合规要求

基于对个人信息保护法、个人信息安全规范、《App违法违规收集使用个人信息行为认定方法》和《App违法违规收集使用个人信息自评估指南》等一系列政策的合规要求满足,制定合规检查表开展合规检查实践。通过输出合规评估工作的可视化文档成果,帮助App运营主体实现个人信息采集、使用等的自查、自检、自评估,切实维护好个人信息主体的合法权益,从而帮助App运营主体避免违法违规处罚。

2、弥补安全漏洞

利用渗透测试等方法发现App的安全漏洞,通过对安全漏洞的分析全面汇总安全漏洞详情,并输出相关交付文档,高效指导App运营主体对安全漏洞及时做出应对和处理,降低攻击面,大大提升了App的安全系数。

3、App趋规范化

在个人信息保护法的政策背景下,实现App个人信息收集与使用的规范化,主动维护和深度参与营造清朗的App运营环境,整体提升App用户的体验和粘性。

云集至作为专业的数据安全厂商,将继续以此为标杆,深入更多作为App运营主体的客户真实业务场景,与之共建合规、安全、规范的运营环境。我们响应号召,App个人信息合规应当举各方力量来进行协同共治。需要依靠网信、工信部、公安等部门协同配合,推动构建政府监管、企业自律、媒体监督、社会组织和用户共同参与的综合监管格局,进一步营造更安全、更清朗、更可靠的个人信息保护和数据安全工作局面。


请认真填写以下信息,我们将通过电子邮件把资料发送给您

立即提交

客服
热线

400-062-7618
7*24小时客服服务热线

产品
试用

关注
微信

关注官方微信