数据安全管理趋严 安全合规成为行业风向
2021年中央网信办、工业和信息化部、公安部、国家市场监管总局四部委联合发布《常见类型移动互联网应用程序必要个人信息范围规定》,随后《数据安全法》《个人信息保护法》等相关法律法规相继出台,同时,工信部研究起草《移动互联网应用程序个人信息保护管理规定》并公开征求意见。2022年,工信部将重点突出关键责任链监管,对应用商店、第三方软件开发工具包、终端企业、重点互联网企业等实现监管全覆盖。安全专项整治行动不断推进,数据合规和个人信息保护成为行业风向。
开发者服务安全合规检测策略与规范
与App合规相比,开发者服务需遵循相同的法律法规和标准,如个人信息保护法、数据安全法等;由网信办、各地区网安、工信部、市场监督总局等机构进行统一管理;信息收集都需要用户同意隐私协议,取得授权后才能进行信息收集工作,并且在信息收集上需遵循“最小必要”与“目的明确”原则,且围绕数据生命周期开展数据治理和保护。
差异之处则主要体现于隐私协议展示方式及监管报备方式不同,且第三方开发者工具的数据量级和采集维度远大于App应用,因此在合规检测过程中,企业需要首先关注代码安全检测,包括静态扫描和自动化移动安全渗透测试。其次,安全运营检测同样至关重要,企业需要完善审批、发布、变更流程,从而提高数据指标的稳定性、完整性、可用性,同时,做好舆情监测和应急响应的准备以应对可能出现的安全运营问题与挑战。
值得关注的是, 个人信息保护检测和行为安全检测也是开发者服务合规检测的重要组成部分,隐私协议、数据采集清单以及合规条例检测都是实现其合规的保障。
厘清合规要点 完善组织建设助力开发者服务合规检测
在企业外部,各种法律法规不断完善,各监管部门职责不断清晰,各评估机构、检测公司也在帮助企业做好合规。在企业内部,则需要相关部门和人员相互配合,做好合规工作。
合规要点包括:
• 构建完整的隐私协议:涵盖采集数据的方方面面,明确采集数据的目的、用途等;
• 记录授权证明:在用户同意授权时,保存好用户同意的记录,做好自证的记录;
• 合规检测和采集数据审核:在采集数据之前,合规部门需进行完整的审批;
• 建立“双清单”:按照相关的法律法规的指引,建立内部数据采集和数据共享的“双清单”;
• 等级保护:针对关键的系统申报网络安全等级保护,并做好年审工作;
• ISO体系认证:如ISO27001信息安全管理体系认证、ISO20000信息技术服务管理体系管理认证等以及隐私保护相关认证;
• 监管部门认证、备案:及时到工信部网站进行第三方软件开发工具报备、参加权威部门或研究院的认证或测评;
• 明确个人信息保护负责人和组织架构:参考信息安全技术和个人信息安全规范,当处理超过一百万条个人信息或十万条个人敏感信息时,企业应指定个人信息保护负责人并明确其具体职责;
• 做好相关的应急响应工作;
• 梳理App合规与安全指南等。
因此,在具体的合规检测过程中,建议企业做好检测相应的分类分级。从代码安全检测、行为安全检测、安全运营检测到个人信息保护检测。合规检测是一项复杂且繁琐的工作,需要多部门进行配合、协调。为提高整体工作效率,公司需要积极成立合规委员会,并通过组织建设的完善,充分协调各部门工作,集合产研、数据治理、数据安全、法务等多个部门的共同力量实现开发者服务合规的重要目标。
严守合规防线 构建移动应用清朗环境 护航企业数字生态建设
移动互联网的隐私监管合规是行业完善的必经之路,也是当前数据智能等相关企业需要重点关注的趋势。数智赋能,安全共赢。MobTech袤博科技将继续严守数据安全底线,为营造安全、合规、清朗的移动应用环境贡献力量。
扫一扫
1215
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
