近几年,国家监管部门加大力度发布行业相关法律法规文件,如2019年12月《APP违法违规收集使用个人信息行为认定方法》、2020年3月 GB/T35273-2020《信息安全技术个人信息安全规范》、2021年4月《信息安全技术移动互联网应用程序(APP) 个人信息安全测评规范》、2021年5月《常见类型移动互联网应用程序(APP》 必要个人信息范围规定》、2021年6月《数据安全法》及2021年8月《个人信息保护法》、2022年11月GB/T41391《移动互联网应用程序(APP)收集个人信息基本要求》等法律法规文件,均对收集使用个人信息的法律责任和义务作出规定。
国内隐私保护相关立法越来越完善,APP隐私合规已成为数据处理者必须重点关注的问题。很多数据处理者由于业务需要,APP需收集用户的一些隐私信息,数据处理者往往由于对合规要求理解的欠缺而出现越权行为;而有些数据处理者的APP采用第三方外包开发,APP具备很多越权超采行为,数据处理者对APP的违规情况并不知晓或无法掌控。因此,如何有效保护产品在个人信息合规应用和权益实现,是数据处理者对产品数据安全合规管理的必要关注点:
❖ 保障产品具备权限信息和收集个人信息符合约束性和一致性。
❖ 掌控产品引用的第三方插件、SDK、应用组件收集个人信息隐私合规符合性和可控。
❖ 实现产品生产部署环节,信息安全部门(或法务部)、产品经理、研发团队、测试团队有序同步产品隐私合
规化标准一致性管理,保障产品上架、运营生命周期隐私合规有效管控。
❖ 提升产品收集个人信息情景符合国家法律、行业规范能力,对每一项收集个人信息行为的合评估引用条款,支持新政策标准迭代更新。
隐私合规自动化评估中台是汉华信安旗下隐私计算领域的核心产品,面向行业用户提供的企业级隐私合规自动化评估系统,为企业DevOps业务流程提供隐私合规智能自动化测评能力支持的解决方案。
中台系统基于集群架构部署,支持独立或集成于企业内部DevOps业务流环节,提供研发产品的隐私合规自动化评估和风险识别,打通技术与法律之间存在的合规应用“鸿沟”,解决企业研发、测试、合规、运维等部门协同保障产品隐私合规需求过程,沟通成本和低效率的问题。
● 场景合规风险识别:支持以最小场景粒度区分和识别收集个人信息类型、敏感个人信息类型、权限授权等合规风险的识别。
● 自动化分析引擎:支持场景脚本定制化,以场景脚本自动化运行分析和持续回归测试。
● 隐私安全合规计算:支持对收集个人信息类型、范围、频次、时间、授权状态、以及跨境传输等行为风险分析和计算。
● SDK组件风险分析:支持内嵌的第三方SDK组件隐私合规风险动态分析和识别。
● 全栈式数据验证:支持输出隐私合规风险问题的行为数据、操作路径、堆栈信息、场景溯源等验证记录。
● DevOps业务联动:支持集成至企业DevOps平台部署,通过API接口实现研发、测试、合规评估业务流程贯通和数据可视化展示。
● 隐私合规:提升企业产品隐私合规风险分析和识别能力,使其符合国内监管规范、提升产品竞争力。
● 标准统一:建立企业内部技术和合规部门对产品隐私合规风险的定义和验证标准。
● 协作高效:集成企业DevOps平台,重塑研发、测试、合规、运维的业务协作流程。
● 风险管控:满足对产品和第三方SDK的隐私合规风险快速响应和管控,完成合规风险整改方案。
● 国信办秘字〔2019〕191号《App违法违规收集使用个人信息行为认定方法》
● GB/T 35273-2020 《信息安全技术 个人信息安全规范》
● GB/T 41391-2022 《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》
汉华信安是一家技术驱动型公司,前身是“棱眼安全团队”;自成立至今,一直专注移动互联网/5G物联网领域的信息安全技术研究和创新!
公司立足《中国网络安全法》、《数据安全法》、《个人信息保护法》、GB/T 35273-2020《信息安全技术个人信息安全规范》等法律法规为技术依据,致力为移动互联网/车联网/智能设施领域的应用服务运营商,提供企业数据合规解决方案。
我们宗旨:致力于智慧生活个人信息安全和数据合规保驾护航!
( 本文作者:北京汉华飞天信安科技有限公司 蔡旭、张婷 )