公安部第三研究所研究員張豔博士分享如何做好個人資訊保安保護要求

上週，杭州市網路安全協會舉辦的“App個人資訊保安保護要求”培訓會，在網易總部順利舉行。

張豔博士分享如何做好個人資訊保安保護要求

在本次分享會上，公安部第三研究所檢測中心·智慧互聯安全測評實驗室主任、研究員張豔博士，做了關於《App個人資訊保安保護要求》的主題分享，來自於杭州市近90多家網際網路企業代表150餘人參加了本次培訓會議。

張豔博士主要從事資訊保安專用產品、資訊科技產品、資訊系統的安全性測試評估方法、標準和工具的研究以及相關測評業務的開展等。作為知名的網路安全專家，張豔博士針對社會各界廣泛關注的App違法違規現象，就App個人資訊保護的背景及必要性、個人資訊保安規範解讀、應用必要資訊介紹和App違法違規認定方法等四個板塊，為在場的網際網路企業代表做了詳細的介紹和精彩的闡述。

App個人資訊保安保護的背景

張豔博士表示，當下有許多App違規收集、使用個人資訊的案例，比如說Facebook使用者資料洩露、3.15曝光的“社保掌上通”和“714高炮”、WiFi探針盒子非法獲取使用者隱私+大資料分析營銷。

與此同時，全球107個國家均制定資料安全和隱私保護的立法，尤其是GDPR正式實施， 2018年也被認為是資料安全保護元年。

張豔博士指出，國內的App普遍存在過度收集個人資訊的情況，包括針對移動App強制授權、過度索權、超範圍收集個人資訊、違法違規使用個人資訊等問題。最近幾年，在個人資訊保安保護方面，我國監管部門和相關法律法規也逐漸完善起來。

公安部第三研究所研究員張豔博士分享如何做好個人資訊保安保護要求

她說，《網路安全法》等法律法規明確規定了責任主體以及相關原則，規範App個人資訊收集；今年年初，四部委也開展了App違法違規收集使用個人資訊的專項治理。

“專項治理獲得了階段性成效，一個是出臺了一系列App個人資訊保護相關技術規範和政策檔案，比如《App違法違規收集使用個人資訊行為認定方法》、《資料安全管理辦法》、《個人資訊出境安全評估辦法》、《移動網際網路應用(App)收集個人資訊基本規範》；另外個是建立了App違法違規收集使用個人資訊舉報渠道，目前已收到9000多條舉報資訊，涉及2000多款App，其中600多款納入評估，督促整改。

個人資訊保安規範解讀

接著，張豔博士對個人資訊保安規範做了解讀。通常認為資料安全=保密性+完整性+可用性。由此延伸，她解讀《網路安全法》關於個人層面的資訊保護要求，應該做到資料安全+個人的資訊控制權利+網路運營者等相關方尊重個人控制權利的義務，而國家層面的資料安全則要做到資料安全+重要資料的支配權+防止重要資料遭惡意使用對國家安全的威脅。

個人資訊保安規範是將網安法中對於資料安全保護的基本原則和要求轉變成落地可操作的技術標準，明確資料全生命週期的保護要求。

公安部第三研究所研究員張豔博士分享如何做好個人資訊保安保護要求

那麼，個人資訊都包括哪些？張豔博士現場給出了相關示例，包括：個人基本資料、個人身份資訊、個人生物識別資訊、網路身份標識資訊、個人健康生理資訊、個人財產資訊、個人通訊資訊、聯絡人資訊、個人上網記錄、個人常用裝置資訊、個人位置資訊等；並給出了個人敏感資訊的判定方法。

在個人資訊控制者開展個人資訊處理活動層面，張豔博士稱，應該遵循權責一致、目的明確、選擇同意、最少夠用、公開透明、確保安全、主體參與原則：

權責一致原則：對其個人資訊處理活動對個人資訊主體合法權益造成的損害承擔責任;
目的明確原則：具有合法、正當、必要、明確的個人資訊處理目的;
選擇同意原卿：向個人資訊主體明示個人資訊處理目的、方式、範圍、規則等，徵求其授權同意;
最少夠用原則：除與個人資訊主體另有約定外，只處理滿足個人資訊主體授權同意的目的所需的最少個人資訊型別和數量。目的達成後，應及時根據約定刪除個人資訊;
公開透明原則：以明確、易懂和合理的方式公開處理個人資訊的範圍、目的、規則等，並接受外部監督;
確保安全原贓：具備與所面臨的安全風險相匹配的安全能力，並採取足夠的管理措施和技術手段，保護個人資訊的保密性、完整性、可用性;
主體參與原則：向個人資訊主體提供能夠訪問、更正、刪除其個人資訊，以及撤回同意、登出賬戶等方法。

公安部第三研究所研究員張豔博士分享如何做好個人資訊保安保護要求

張豔博士指出，需要在個人資訊的收集、儲存、使用，以及個人資訊的委託處理、共享、轉讓、公開披露、安全事件處置、組織的管理要求等方面遵循以上要求。

應用必要資訊有哪些？

移動網際網路應用（App）收集個人資訊基本規範（徵求意見稿）中，羅列了包括地圖導航、網路約車、及時通訊、部落格論壇、網路支付、新聞資訊、網上購物等在內的常用服務型別，並明確了業務功能收集的兩類最少資訊：實現服務所需個人資訊和法律法規要求的個人資訊。

張豔博士介紹App收集個人資訊基本要求，主要包括兩大類，一類是管理要求，另外一類是技術要求，具體見如下：

管理要求：

a）App運營者應履行個人資訊保護義務，採取必要安全措施，保障使用者個人資訊保安。
b）當使用者同意App收集某服務型別的最少資訊時，App不得因使用者拒絕提供最少資訊之外的個人資訊而拒絕提供該型別服務。
c）App不得收集與所提供的服務無關的個人資訊。
d）對外共享、轉讓個人資訊前，App應事先徵得使用者明示同意。當使用者不同意，則不得對外共享、轉讓使用者個人資訊。
e）App不得收集不可變更的裝置唯一標識（如IMEI號、MAC地址等），用於保障網路安全或運營安全的除外。
f）使用者明確拒絕使用某服務型別後，App不得頻繁（如每48小時超過一次）徵求使用者同意使用該型別服務，並保證其他服務型別正常使用。
g）App應對其使用的第三方程式碼、外掛的個人資訊收集行為負責。第三方程式碼、外掛收集個人資訊視同App收集，App應防止第三方程式碼、外掛收集無關的個人資訊。
技術要求：

a）當收集的個人資訊超出服務型別的最少資訊時，超出部分的個人資訊，App應逐項徵得使用者明示同意。
b）當同一App有2種或2種以上服務型別時，App應允許使用者逐項開啟和退出服務型別，開啟或退出的方式應易於操作。
c）當使用者退出某服務型別後，App應終止該服務型別收集個人資訊的活動，並對僅用於該服務的個人資訊進行刪除或匿名化處理。
d）當申請個人資訊相關許可權或要求使用者輸入個人資訊時，App應向使用者同步明示申請許可權或收集資訊的目的。
e）App應向使用者提供實時查詢已收集個人資訊型別的功能；查詢結果應以獨立介面展示，且查詢方式應易於操作。
f）存在對外共享、轉讓個人資訊的，App應向使用者提供查詢資料接收方身份的功能；查詢結果應以獨立介面展示，且查詢方式應易於操作。
g）在技術可行且不影響終端和服務正常的情況下，App應優先在使用者終端中儲存、使用所收集的個人資訊。
h）App應以實現服務所必需的最低合理頻率向後臺伺服器傳送個人資訊。

App違法違規認定方法

在介紹完常見App業務功能相關必要資訊後，張豔博士解讀了App違法違規收集使用個人資訊行為認定方法（徵求意見稿）。

張豔博士稱，不同於以往的App自身安全漏洞被利用而引發的風險問題，App個人資訊保安保護方面的違法違規行為是一種主動的惡意行為，包括個人資訊資料的採集違規和個人資訊資料的使用違規。

在APP違法違規收集使用個人資訊行為違規認定上，主要關注七個方面。一是，是否未公開收集使用個人資訊的規則；二是，是否明示使用個人資訊的目的、方式和範圍；三是，是否未經同意收集使用個人資訊；四是，是否違反必要性原則，收集與其提供的服務無關的個人資訊；五是，是否未經同意向他人提供個人資訊；六是，是否未按法律規定提供刪除或更正個人資訊功能；七是，是否侵犯未成年人在網路空間合法權益。