==
- 近几年(特别是近半年)我们可以非常明显地感受到 国家相关主管部门对于 APP 个人信息保护的重视。事实上,目前国内整体的 APP 个人信息保护合规性还很不理想,特别是与史上 “最严” 的欧盟《通用数据保护条例》还有很大的差距。为了与国际发展趋势接轨,也难怪国家会如此大力推动;
- 那么,作为 APP 开发者的我们,如果只是一味等待国家主管部门的整改通知,难免会打乱既定的业务节奏(想象一下,发版本的晚上收到整改通知)。我们应该 化 “被动整改” 为 “主动发现”。
目录
1. 个人信息保护相关概念
为了让帮助你理解个人信息保护,我先帮你总结一些相关的基础概念。
1.1 相关单位
目前,我国与个人信息保护相关的部门主要有:
1.2 五类规范主体
APP 个人信息保护治理工作重点规范的五类主体:
- 1、APP 开发运营者: 如抖音、微信等;
- 2、APP 分发平台: 如应用宝,应用商城;
- 3、APP 第三方服务提供者: 如各种 SDK 提供方;
- 4、网络接入服务提供者: 如移动、联通等运营商;
- 5、移动智能终端生产企业: 如小米、OPPO 等厂商。
1.3 个人信息的定义(重点)
根据《个人信息保护法》第四条规定:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。 法律条文对我们来说太抽象,这里引用 @首都网警 在抖音上公布的解释:
| 个人信息类别 | 描述 |
|---|---|
| 基本信息 | 姓名、性别、年龄、身份证号码、电话号码、家庭住址、婚姻、职业、收入等 |
| 设备信息 | 移动或固定终端设备的位置信息、MAC 地址、SD 卡等 |
| 账户信息 | 网银、第三方支付、社交软件、邮箱账号、密码等 |
| 隐私信息 | 通讯录信息、通话短信记录、个人聊天记录、视频、照片等 |
| 社会关系信息 | 好友关系、家庭成员关系、工作单位信息等 |
场景举例:家庭空调的使用记录算不算用户个人信息? 如果家庭空调仅有一个人使用,司法解释很大概率认为属于用户个人信息;如果家庭空调由多人使用,司法解释一般不认为属于用户个人信息(这是公司法务举出的案例)。
1.4 两项重要原则(重要)
- 1、知情同意原则: 应当以清晰易懂的语言告知用户个人信息处理规则,由用户在充分知情的前提下,作出自愿、明确的意思表示;
- 2、最小必要原则: 应当具有明确、合理的目的,不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动。
2. 治理三板斧
2.1 依法治理 —— 顶层设计
近年来,国家陆续出来了多部关于个人信息保护的法律法规,为治理工作提供了法律层面的依据。从 2012 年 12 月 28 日全国人大常委首次从立法层面提及个人信息保护开始,我统计了近 10 年出台的相关法律 / 法规:
| 法律 / 法规 | 发布单位 | 发布时间 | 实施时间 |
|---|---|---|---|
| 《全国人民代表大会常务委员会关于加强网络信息保护的决定》 | 全国人大常委 | 2012/12/28 | 2012/12/28 |
| 《电信和互联网用户个人信息保护规定》 | 工信部 | 2013/7/19 | 2013/9/1 |
| 《中华人民共和国网络安全法》 | 全国人大常委 | 2016/11/8 | 2017/6/1 |
| 《移动智能终端应用软件预置和分发管理暂行规定》 | 工信部 | 2016/12/16 | 2017/7/1 |
| 《儿童个人信息网络保护规定》 | 国家网信办 | 2019/8/22 | 2019/10/1 |
| 《常见类型移动互联网应用程序必要个人信息范围规定》 | 网信办、工信部、公安部、监管总局 | 2021/3/22 | 2021/5/1 |
| 《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》 | 工信部 | 2021/4/26 | 2021/4/26 |
| 《中华人民共和国数据安全法》 | 全国人大常委 | 2021/6/10 | 2021/9/1 |
| 《深圳经济特区数据条例》 | 深圳人大常委 | 2021/6/29 | 2022/1/1 |
| 《中华人民共和国个人信息保护法》 | 全国人大常委 | 2021/8/20 | 2021/11/1 |
2.2 标准指引 —— 量化
光有 “法律” 还不够,国家还需要制定相关的 “标准” 来保证法律顺利落地。这是因为法律只是从顶层设计对个人信息保护做出规范,在实际落地过程中,需要依赖更细化、更量化的标准才能顺利推行。
举个例子,《个人信息保护法》要求 APP 收集个人信息时应当遵循 “最小必要” 原则。那么,“最小必要” 通过什么标准来衡量呢?外卖预定 APP 和配送员 APP 对于位置权限的最小必要标准是一样的吗?获取位置信息和获取个人信息的最小必要标准又是一样的吗? 显然,这些问题只依靠法律无法回答,还需要通过标准来量化。我统计了近年出台的相关国家标准 / 团体标准:
| 标准 | 发布单位 | 最新版本 / 发布时间 | 实施时间 |
|---|---|---|---|
| 国家标准《信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)》 | 全国信息安全标准化技术委员会 | 2019/8/8 | 2019/8/8 |
| 国家标准《信息安全技术 个人信息安全规范》 | 国家标准化管理委员会 | GB/T 35273-2020 | 2020/10/1 |
| 团体标准《APP用户权益保护测评规范》共10项 | 电信终端产业协会 | T/TAF 078-2020 | 2020/11/26 |
| 团体标准《APP收集使用个人信息最小必要评估规范》共17项 | 电信终端产业协会 | T/TAF 077-2020 | 2020/11/26 |
| 团体标准《移动智能终端个人信息保护指南(征求意见稿)》 | 中国网络空间安全协会 | 2021/11/3 | 2021/11/3 |
| 团体标准《应用商店App个人信息收集使用上架审核和管理规范(征求意见稿)》 | 中国网络空间安全协会 | 2021/11/3 | 2021/11/3 |
2.3 专项整改 —— 抓重点
法律和标准构成了 APP 个人信息保护治理的基本依据,但是涉及的合规问题实在太多了。为了尽快整治用户感知最明显的重点问题,国家主管部门会公布专项整改通知。
一般来说,专项整治行动会先从头部互联网企业开始,再逐步应用到整体应用市场。例如最近的专项整改《关于开展信息通信服务感知提升行动的通知》的整改对象就仅限制在首批 40 家企业。我统计了近年发布的专项整改行动:
| 专项整治 | 发布单位 | 发布时间 |
|---|---|---|
| 《关于开展App违法违规收集使用个人信息专项治理的公告》 | 网信办、工信部、公安部、监管总局 | 2019/1/23 |
| 《关于开展App违法违规收集使用个人信息专项治理的公告》解读 | 网信办、工信部、公安部、监管总局 | 2019/11/6 |
| 《App违法违规收集使用个人信息行为认定方法》 | 网信办、工信部、公安部、监管总局 | 2019/12/30 |
| 《App 违法违规收集使用个人信息自评估指南》 | App 专项治理工作组 | 2019/3/1 |
| 《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》 | 工信部 | 2019/10/31 |
| 《关于开展纵深推进APP侵害用户权益专项整治行动的通知》 | 工信部 | 2020/7/22 |
| 《工业和信息化部严厉查处“3·15”晚会曝光“诱导老年人下载APP”“APP违规收集老年人个人信息”等违规行为》 | 工信部 | 2021/3/16 |
| 《工信部大力推进APP开屏弹窗信息骚扰用户问题整治》 | 工信部 | 2021/7/8 |
| 《关于开展信息通信服务感知提升行动的通知》 | 工信部 | 2021/11/1 |
| 《关于开展信息通信服务感知提升行动的通知》解读 | 工信部 | 2021/11/5 |
法律、法规和标准的简单区别:
- 法律: 享有立法权的立法机关的产物,由国家强制力保证实施,具有最高效力;
- 法规: 权力机构的产物,由国家强制力保证实施;
- 标准: 公认机构的产物,比法律法规更细致量化。
2.4 应用市场整改指南
除了国家治理工作的 “三板斧”,有些应用市场也会公布隐私整改指南。但应用市场不会凭空定义规范,因此整改指南的信息口径依然是基于上述 “三板斧” 。我整理了一些应用市场的整改指南如下:
3. 总结
到这里,我们就讲完了国家 APP 个人信息保护的治理机制:法律法规从立法层面对个人信息保护做出规范,而标准则对个人信息保护制定了更细致可量化的规范。重点问题国家主管部门会进行专项整改。 对 APP 开发者来说,《个人信息保护法》是我们合规道路上的圭臬,但我们更要重点系统化解读和排查国家的专项整治行动和国家标准。另外,记得关注 微信公众号 @APP个人信息保护治理,关注国家部门的最新动态。
接下来我将给各位同学划分一张学习计划表!
学习计划
那么问题又来了,作为萌新小白,我应该先学什么,再学什么?
既然你都问的这么直白了,我就告诉你,零基础应该从什么开始学起:
阶段一:初级网络安全工程师
接下来我将给大家安排一个为期1个月的网络安全初级计划,当你学完后,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等岗位;其中,如果你等保模块学的好,还可以从事等保工程师。
综合薪资区间6k~15k
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(1周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(1周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(1周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
那么,到此为止,已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗?
阶段二:中级or高级网络安全工程师(看自己能力)
综合薪资区间15k~30k
7、脚本编程学习(4周)
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力。
零基础入门的同学,我建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习
搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP,IDE强烈推荐Sublime;
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,没必要看完
用Python编写漏洞的exp,然后写一个简单的网络爬虫
PHP基本语法学习并书写一个简单的博客系统
熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选)
了解Bootstrap的布局或者CSS。
阶段三:顶级网络安全工程师
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
学习资料分享
当然,只给予计划不给予学习资料的行为无异于耍流氓,这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包,可点击下方二维码链接领取哦。
png#pic_center)
学习资料分享
当然,只给予计划不给予学习资料的行为无异于耍流氓,这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包,可点击下方二维码链接领取哦。
134
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
