近幾年�����,國(guó)家監(jiān)管部門加大力度發(fā)布行業(yè)相關(guān)法律法規(guī)文件����,如2019年12月《APP違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》、2020年3月 GB/T35273-2020《信息安全技術(shù)個(gè)人信息安全規(guī)范》�����、2021年4月《信息安全技術(shù)移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(APP) 個(gè)人信息安全測(cè)評(píng)規(guī)范》�����、2021年5月《常見類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(APP》 必要個(gè)人信息范圍規(guī)定》����、2021年6月《數(shù)據(jù)安全法》及2021年8月《個(gè)人信息保護(hù)法》、2022年11月GB/T41391《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(APP)收集個(gè)人信息基本要求》等法律法規(guī)文件��,均對(duì)收集使用個(gè)人信息的法律責(zé)任和義務(wù)作出規(guī)定��。
國(guó)內(nèi)隱私保護(hù)相關(guān)立法越來越完善�,APP隱私合規(guī)已成為數(shù)據(jù)處理者必須重點(diǎn)關(guān)注的問題。很多數(shù)據(jù)處理者由于業(yè)務(wù)需要���,APP需收集用戶的一些隱私信息���,數(shù)據(jù)處理者往往由于對(duì)合規(guī)要求理解的欠缺而出現(xiàn)越權(quán)行為;而有些數(shù)據(jù)處理者的APP采用第三方外包開發(fā),APP具備很多越權(quán)超采行為����,數(shù)據(jù)處理者對(duì)APP的違規(guī)情況并不知曉或無法掌控。因此�,如何有效保護(hù)產(chǎn)品在個(gè)人信息合規(guī)應(yīng)用和權(quán)益實(shí)現(xiàn),是數(shù)據(jù)處理者對(duì)產(chǎn)品數(shù)據(jù)安全合規(guī)管理的必要關(guān)注點(diǎn):
??保障產(chǎn)品具備權(quán)限信息和收集個(gè)人信息符合約束性和一致性��。
??掌控產(chǎn)品引用的第三方插件�����、SDK、應(yīng)用組件收集個(gè)人信息隱私合規(guī)符合性和可控��。
??實(shí)現(xiàn)產(chǎn)品生產(chǎn)部署環(huán)節(jié)��,信息安全部門(或法務(wù)部)����、產(chǎn)品經(jīng)理、研發(fā)團(tuán)隊(duì)��、測(cè)試團(tuán)隊(duì)有序同步產(chǎn)品隱私合
規(guī)化標(biāo)準(zhǔn)一致性管理��,保障產(chǎn)品上架�、運(yùn)營(yíng)生命周期隱私合規(guī)有效管控。
??提升產(chǎn)品收集個(gè)人信息情景符合國(guó)家法律��、行業(yè)規(guī)范能力���,對(duì)每一項(xiàng)收集個(gè)人信息行為的合評(píng)估引用條款�����,支持新政策標(biāo)準(zhǔn)迭代更新��。
隱私合規(guī)自動(dòng)化評(píng)估中臺(tái)是漢華信安旗下隱私計(jì)算領(lǐng)域的核心產(chǎn)品���,面向行業(yè)用戶提供的企業(yè)級(jí)隱私合規(guī)自動(dòng)化評(píng)估系統(tǒng),為企業(yè)DevOps業(yè)務(wù)流程提供隱私合規(guī)智能自動(dòng)化測(cè)評(píng)能力支持的解決方案����。
中臺(tái)系統(tǒng)基于集群架構(gòu)部署,支持獨(dú)立或集成于企業(yè)內(nèi)部DevOps業(yè)務(wù)流環(huán)節(jié)����,提供研發(fā)產(chǎn)品的隱私合規(guī)自動(dòng)化評(píng)估和風(fēng)險(xiǎn)識(shí)別,打通技術(shù)與法律之間存在的合規(guī)應(yīng)用“鴻溝”��,解決企業(yè)研發(fā)���、測(cè)試����、合規(guī)�����、運(yùn)維等部門協(xié)同保障產(chǎn)品隱私合規(guī)需求過程���,溝通成本和低效率的問題�����。
●??場(chǎng)景合規(guī)風(fēng)險(xiǎn)識(shí)別:支持以最小場(chǎng)景粒度區(qū)分和識(shí)別收集個(gè)人信息類型����、敏感個(gè)人信息類型、權(quán)限授權(quán)等合規(guī)風(fēng)險(xiǎn)的識(shí)別����。
●??自動(dòng)化分析引擎:支持場(chǎng)景腳本定制化,以場(chǎng)景腳本自動(dòng)化運(yùn)行分析和持續(xù)回歸測(cè)試���。
●??隱私安全合規(guī)計(jì)算:支持對(duì)收集個(gè)人信息類型����、范圍���、頻次�����、時(shí)間���、授權(quán)狀態(tài)、以及跨境傳輸?shù)刃袨轱L(fēng)險(xiǎn)分析和計(jì)算����。
●??SDK組件風(fēng)險(xiǎn)分析:支持內(nèi)嵌的第三方SDK組件隱私合規(guī)風(fēng)險(xiǎn)動(dòng)態(tài)分析和識(shí)別。
●??全棧式數(shù)據(jù)驗(yàn)證:支持輸出隱私合規(guī)風(fēng)險(xiǎn)問題的行為數(shù)據(jù)���、操作路徑���、堆棧信息、場(chǎng)景溯源等驗(yàn)證記錄���。
●? DevOps業(yè)務(wù)聯(lián)動(dòng):支持集成至企業(yè)DevOps平臺(tái)部署��,通過API接口實(shí)現(xiàn)研發(fā)����、測(cè)試���、合規(guī)評(píng)估業(yè)務(wù)流程貫通和數(shù)據(jù)可視化展示���。
●??隱私合規(guī):提升企業(yè)產(chǎn)品隱私合規(guī)風(fēng)險(xiǎn)分析和識(shí)別能力��,使其符合國(guó)內(nèi)監(jiān)管規(guī)范����、提升產(chǎn)品競(jìng)爭(zhēng)力�。
●??標(biāo)準(zhǔn)統(tǒng)一:建立企業(yè)內(nèi)部技術(shù)和合規(guī)部門對(duì)產(chǎn)品隱私合規(guī)風(fēng)險(xiǎn)的定義和驗(yàn)證標(biāo)準(zhǔn)。
●??協(xié)作高效:集成企業(yè)DevOps平臺(tái)����,重塑研發(fā)、測(cè)試��、合規(guī)�、運(yùn)維的業(yè)務(wù)協(xié)作流程。
●??風(fēng)險(xiǎn)管控:滿足對(duì)產(chǎn)品和第三方SDK的隱私合規(guī)風(fēng)險(xiǎn)快速響應(yīng)和管控��,完成合規(guī)風(fēng)險(xiǎn)整改方案��。
●? ?國(guó)信辦秘字〔2019〕191號(hào)《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》
●? ?GB/T 35273-2020 《信息安全技術(shù) ?個(gè)人信息安全規(guī)范》
●? ?GB/T?41391-2022 《信息安全技術(shù) ?移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(App)收集個(gè)人信息基本要求》
●? ?……(不低于60份標(biāo)準(zhǔn)規(guī)范)
漢華信安是一家技術(shù)驅(qū)動(dòng)型公司����,前身是“棱眼安全團(tuán)隊(duì)”;自成立至今,一直專注移動(dòng)互聯(lián)網(wǎng)/5G物聯(lián)網(wǎng)領(lǐng)域的信息安全技術(shù)研究和創(chuàng)新!
公司立足《中國(guó)網(wǎng)絡(luò)安全法》����、《數(shù)據(jù)安全法》��、《個(gè)人信息保護(hù)法》�����、GB/T 35273-2020《信息安全技術(shù)個(gè)人信息安全規(guī)范》等法律法規(guī)為技術(shù)依據(jù),致力為移動(dòng)互聯(lián)網(wǎng)/車聯(lián)網(wǎng)/智能設(shè)施領(lǐng)域的應(yīng)用服務(wù)運(yùn)營(yíng)商��,提供企業(yè)數(shù)據(jù)合規(guī)解決方案�。
我們宗旨:致力于智慧生活個(gè)人信息安全和數(shù)據(jù)合規(guī)保駕護(hù)航!
( 本文作者:北京漢華飛天信安科技有限公司? ?蔡旭、張婷 )
