在建立應用程式時,將資料隱私和合規性放在首位有多重要?

zktq2021 發表於 2021-10-15

根據IBM2021年資料洩露成本報告顯示,大型資料洩露事件平均成本已增長至4.01億美元,系統中存在漏洞的敏感資料模組為網路犯罪分子提供盜取資料的“契機”。

現如今的移動應用程式領域,為使用者提供個性化的體驗是打敗競爭對手的關鍵。但在建立這樣定製化體驗的過程中需要採集個人資料,考慮到當前《資料安全法》、即將施行的《個人資訊保護法》等的實施,和部分大型科技公司濫用個人資料現象,移動應用程式開發人員有必要優先考慮確保資料隱私和合規性。

資料洩露的風險

資料洩露對企業和個人都帶來嚴重風險。發生資料洩露事件不但造成財務損失、系統執行中斷、聲譽受損,而且還可能引發更嚴重的後續影響,如被上訴、罰款等。雖然無法衡量企業聲譽受損造成的具體影響,但資料安全欠佳導致的客戶流失很可能導致公司破產。

企業採集到的使用者資料可以是任何形式的內容,從使用者名稱和電子郵件地址到電話姓名和實體地址。不太明顯的敏感資料包括IP地址、日誌資料和通過cookie收集的任何資訊,以及使用者的生物特徵資料。

移動應用程式從使用者那裡收集個人資訊的企業都應有隱私政策。無論應用的地理位置還是業務領域,都有強制性法規,如GDPR、CCPA和PDPA,以及蘋果、谷歌和Android指南,確保問責制和使用者資料隱私。有些應用程式並不直接收集個人資料,而是使用第三方工具,如谷歌Analytics——它們也需要隱私政策。

構建安全應用程式

資料隱私和合規性應和應用程式的建立過程融合在一起,不論應用程式的外觀、設計和和效能如何,資料安全等問題都應該是應用程式的核心,尤其軟體中儲存資料的關鍵模組安全問題更當引起重視。當前,資料隱私和安全問題是所有企業運營的基本要求,在整個移動應用程式構建和開發週期中,企業應高度重視個人身份資訊 ( PII )。

此外,整體開發戰略的一部分應包括向使用者正確傳達移動應用程式合規性。員工手冊(適用於B2E應用程式)、服務條款和條件以及隱私政策(適用於 B2C 應用程式)都是向客戶解釋使用者權利的既定手段。這些材料應該讓使用者很容易理解收集了什麼個人資料、為什麼收集、在哪裡轉移以及如何收集。同樣,如果有第三方參與,應用程式必須通知使用者。

在建立安全合規的應用程式另一個關鍵,是要了解到隨著軟體新功能的新增,很可能會需要收集更多的使用者資訊。應用程式的設計應該能應對法規變化、使用者同意無效、資料刪除或許可撤銷等情況,同時保持使用者體驗的一致性。

其他應該注意的事項

首先,合規的應用程式不僅要清楚地向使用者解釋他們的資料是如何被處理的,而且應用還應讓這些解釋易於訪問。使用者需要能夠訪問市場上應用程式的後設資料,以及有關應用程式為何可以進入其裝置的廣告識別符號(iOS IFDA、Android AAID)的任何解釋。同樣,當應用試圖追蹤使用者的位置或收集分析資料時,它也需要向使用者提供許可請求。

其次,確保資料安全和合規不僅是應用程式開發人員的職責,而且也是所有相關方的共同責任。每個處理使用者敏感資料的實體都需要通過正式的安全測試並獲得必要的授權。

再次,要依法保障使用者許可權,應用程式使用個人資料在廣告和其他利益上,應確保使用者意識到自己的權利,如有權選擇退出或取消訂閱,檢視或刪除收集的資料的權力。

在即將施行的《個人資訊保護法》中,個人資訊處理者應當根據個人資訊的處理目的、處理方式、個人資訊的種類以及對個人權益的影響、可能存在的安全風險等,採取一定措施,確保個人資訊處理活動符合法律、行政法規的規定,並防止未經授權的訪問以及個人資訊洩露、篡改、丟失。可見企業在保障資料安全上承擔很大一部分責任。

嚴格遵守相關法律法規和應用商店要求,擁有隱私政策和安全保證,有助於提高應用軟體在安全性上和客戶之間的透明度,同時增加軟體產品的良好聲譽。

安全可靠的應用程式有助於提高網路安全,而網路安全的核心問題是保護資料。在應用程式開發過程中藉助 安全測試工具提高軟體安全性,不但可以讓開發人員免於回溯安全漏洞及缺陷的麻煩,而且可以增強軟體保護資料能力,利於加強網路安全。


參讀連結:

https://www.helpnetsecurity.com/2021/09/13/mobile-app-creation/


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2833310/,如需轉載,請註明出處,否則將追究法律責任。

相關文章