自工业和信息化部、公安部、市场监管总局于2019年1月25日发布《关于开展App违法违规收集使用个人信息专项治理的公告》,以及监管部门在全国范围组织开展App违法违规收集使用个人信息专项治理以来,截至2024年3月,工信部已累计通报了涉及各类App(SDK)的36批侵害用户权益行为,各地通信管理局、公安、人民银行各地分行等监管部门也各自有相关通报发布,对侵害用户权益的App进行通报和下架处理。这些行动彰显了监管部门对个人信息保护工作的高度重视。
为帮助App开发者更好理解个人信息保护合规要求,我们将陆续推出个人信息保护合规系列文章。本文为该系列第二篇,对其中某App被通报问题及其解决方案进行了说明,旨在帮助开发者在开发阶段避免同类问题的出现。
问题描述:未逐一列出 App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等。
检测标准:
1.App个人信息保护政策中未完整列举逐项说明App实际业务功能收集使用个人信息类型、目的、方式。
2.App嵌入第三方 SDK 存在收集个人信息的情况,但未在个人信息保护政策里说明其收集使用个人信息的目的、方式、范围。
违规案例:
说明各业务功能所收集的个人信息时,使用“等、例如”字段进行不完整描述。
收集信息不完整列举
解决方法:
• 建议在个人信息保护政策中完整说明各业务功能所收集的个人信息,避免使用“等、例如、包括但不限于”不完整方式列举。
• 企业在填写个人信息收集情况相关表单时,应注意字段声明颗粒度要细,不可笼统表述。
• 个人信息保护政策表述建议:如采集个人信息字段,需要说明采集的具体字段、使用目的、采集/使用的业务场景、所属模块。以下为示例:
CFCA个人信息保护合规检测服务
中国金融认证中心(CFCA)是由中国人民银行于1998年牵头组建,经国家信息安全管理机构批准成立的权威电子认证机构,历经20余年积淀,发展成为以网络安全综合服务为核心的科技企业。
针对企业个人信息保护合规痛点,CFCA推出个人信息保护合规检测,帮助企业进行合规改造、减少通报情况、维护企业形象。CFCA依托自身对个人信息保护合规标准的理解和把控,和对数百家客户App检测情况的了解,综合提炼标准要求,分析标准要求的具体落地场景,为企业客户提供全方位的合规检测服务。
检测内容覆盖个人信息收集、传输、存储、使用、销毁全生命周期,配合CFCA自主研发的个人信息检测辅助系统,以专家检测+自动化工具检测的形式多维度开展检测工作,助力企业客户合规展业。
部分依据标准:
• 《App违法违规收集使用个人信息行为认定方法》【国信办秘字〔2019〕191号】
• 《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》【工信部信管函〔2020〕164号】
• 《信息安全技术个人信息安全规范》【GB/T 35273-2020】
• 《个人金融信息保护技术规范》【JR/T 0171-2020】
• 《常见类型移动互联网应用程序必要个人信息范围规定》【国信办秘字〔2021〕14号】
项目收益
CFCA检测服务优势
目前,CFCA具有超过1000款金融App的检测经验,检测服务受众涵盖包括国有大行、全国性股份行等在内的各类银行客户。CFCA检测团队曾获得多项国家、省部级安全竞赛奖项,2022年在国家认监委组织的移动应用程序个人信息安全检测竞赛中夺得第一名。
CFCA在网络安全、数据安全、个人信息保护等领域有着丰富的经验和深厚的积累,今后也将持续提供相关检测服务。
