当前位置:主页 > 宏观 > 态度 >
    信通院发布:每日互动固守SDK安全之本
      时间:2021-05-12 10:27 作 者:

  5月10日,中国信息通信研究院发布了每日互动(股票代码:300766)关于APP个人信息保护治理工作的实践与思考《每日互动:固守SDK安全之本,推动个人信息保护》,全文如下:

  在社会进入数字化、知识化的今天,信息已经渗透到社会生活的各个方面,与物质、能源构成现代社会的三大支柱,其中个人信息安全更是成为民生安全之本。移动互联网应用程序(以下简称APP)的广泛应用,在促进社会发展和服务民生便利等方面发挥了不可替代的作用,但随之而来的用户个人信息保护问题也日益凸显,APP个人信息保护治理工作刻不容缓。

  每日互动在第三方软件开发工具包(以下简称SDK)领域深耕多年,结合具体实践,对个人信息保护工作的认识体会、具体举措、经验做法以及后续工作思路如下:

  一、APP个人信息保护治理工作的认识和体会

  伴随着各类APP的普及和发展,APP提供者为优化分配研发资源、提高开发效率、降低开发成本,广泛引进SDK应用于其开发和运营过程中,SDK在一定程度上成为了APP个人信息保护治理工作的重要一环。以往,个人信息保护治理工作多是以APP为一个整体进行管理,SDK作为APP的一部分并不被认定为一个单独的责任主体。随着APP个人信息保护治理工作的深入推进,第三方SDK也愈发被重视,在个人信息保护工作中的重要性日益凸显。

  每日互动作为第三方SDK厂家在调动资源深入参与各部委APP个人信息保护治理,以及APP和SDK的相关标准制定等工作过程中,积极尝试摸索了很多有效方式,帮助大量APP尤其是中小企业APP进行合规整改。在个人信息保护治理一线工作过程中发现,SDK比较突出的问题主要集中在以下几个方面:明示告知问题:没有明示告知SDK功能、收集使用信息的规则、目的、方式、范围、用途等(或前述告知的内容不显眼、用户找不到);SDK初始化问题:在获得用户授权同意前就已经收集并发送个人信息;SDK与APP的责任划分问题:SDK作为个人信息保护的一环被关注的时间较短,相关标准和经验较少,APP与SDK的责任划分难以界定。

  SDK个人信息保护问题一言以概之:事前保证用户知情授权,事中及时整改解决问题,事后界定划分责任。

  二、APP个人信息保护治理工作中的具体举措和经验做法

  SDK企业应深知SDK的安全性、可靠性、稳定性、合规性对APP的重要程度。在业务开展过程中,要始终坚持“合法依规”“用户知情且授权”“必要性和最小化”“利于用户、绝不助恶”等原则,最大限度地保护个人信息安全。结合上述发现的问题,从管理和技术两个方面,每日互动在APP个人信息保护治理工作中的一些具体举措和经验做法如下:

  (一)管理措施

  1.坚持最高负责制度,成立一把手牵头的个人信息保护专项小组。目前每日互动由CEO牵头,组织技术、法务、业务、公共事务等多部门主要负责人20余位组成个人信息保护专项工作小组。调动公司最核心资源,配合监管部门个人信息保护治理工作,帮助APP企业尤其是中小企业完成个人信息合规化整改。工作组自成立以来,已完成近千款合作APP的自查,通过社交软件、邮件、电话等线上方式,以及线下当面沟通、现场驻场等方式,与APP方保持高频次的深入沟通,对存在问题的APP进行了逐一提醒、提供合规措施和方案,帮助督促进行合规修改。

  2.保障高效沟通机制,保持与监管部门及合作伙伴沟通渠道畅通。与监管部门及合作伙伴保持通畅的沟通才能第一时间了解政策,及时发现整改自身存在的问题,并帮助合作伙伴了解政策,协助其完善个人信息保护工作。此外每日互动针对不同类型的APP合作伙伴整理了约21份隐私政策全文模板,包含用户信息的收集和使用, Cookie 和同类技术的使用,用户信息的共享、转让、公开披露,信息的保护、存储和删除等模块。对于APP开发者尤其是中小开发者而言,这些结构相对完整且现成的模板便于他们直接使用,并能给予他们明确的规范指引。

  3.重视合规宣传工作,发挥宣传带头跑的积极作用。部分企业尤其是中小企业无法及时获取最新政策,对个人信息保护政策的认知不足。为帮助个推SDK的使用者们更清楚地了解监管要求、高效落实个人信息保护相关事宜,我们制定了《致APP关于“合规收集个人信息”的建议》《APP个人信息保护合规十大常见问题及处置策略》《关于APP隐私政策合规化的建议》《个推合规与安全指南》等一系列指引,通过站内信、社交工具、自媒体、邮件、人工等方式持续向合作伙伴宣传APP个人信息保护治理工作的政策措施及整改要求。

  4.倡导行业自律理念,积极参与国家、行业标准制定。每日互动联合中国移动、网易、吉利等数十家产业代表发起了《西溪数据宣言》,倡议技术向善、强化底线意识、固守安全之本,一同推动行业的健康发展;签订了工信部《APP个人信息保护公开承诺书》;同时积极牵头或参与《APP收集使用个人信息最小必要评估规范》《移动智能终端应用软件SDK安全技术要求》《移动智能终端应用软件SDK个人信息安全接口规范》《信息安全技术 移动互联网应用程序(APP)个人信息安全测评规范》《信息安全技术移动互联网应用程序(APP)SDK安全指南》等个人信息保护相关标准制定工作,全力支持推动行业健康发展。

  (二)技术措施

  1.利用开发者平台,使用实名认证、二次手机绑定等方式,保证开发者能够获悉政策要求,保障流畅沟通完成合规化整改。

  2.通过弹框“强提示”等方式进行多场景、多方式地向开发者发出提醒。通过在官网及开发者中心等页面加入“强提示”,提示必须在显眼位置有单独的隐私政策,并要求APP开发者将个推SDK隐私政策内容加入隐私政策,将SDK功能、收集使用信息的规则、目的、方式、范围、用途等问题清晰地展示,逐一列出,以保证用户知情权。

  3.研发新版本SDK,可依据判断APP的隐私政策同意与否状态,提供对应初始化功能。积极研发并提供相关功能的SDK版本,根据隐私政策同意与否的状态,来决定初始化之后是否采集数据。这样既能保障APP始终能使用SDK 的基础服务和功能,也能确保其他场景服务均在获得同意和授权的前提下开展。

  三、纵深推进APP个人信息保护治理工作的思路和措施

  随着APP个人信息保护治理工作的纵深推进,以及人们对个人信息保护工作的重视,个人信息保护治理工作必然成为常态化的工作。在一线参与推进APP个人信息保护治理工作的过程中,思考如下:

  (一)统一法规标准,权责分明,处置相称

  当前,SDK企业与APP运营者之间的责任划分并不清晰,单一企业尤其是中小企业无法及时梳理。针对以上问题,建议:

  1.统一整改标准。进一步统一各部门整改要求,为APP开发者和SDK运营者提供明确、清晰的指南。

  2.完善检查机制。组织独立专业的第三方检测机构依照统一标准对APP和SDK进行技术检测,通过应用商店落实相关整改要求,并进行监督检查。

  3.实施分级处置。对整改过程中初次检查发现存在问题的APP和SDK,限期责令整改,对整改不彻底仍然存在问题的企业,采取向社会公告、下架等处置措施,反复出现问题的企业纳入电信业务经营不良名单或失信名单、断接入等更进一步措施。

  4.统一披露方式。目前业界关于SDK信息披露并没有统一的方式,APP运营者在集中统一披露SDK相关信息方面存在一定困难,用户也很难直接地查看相关信息。建议探讨制定统一的披露方式及模板,要求明确披露SDK合作伙伴的具体信息及共享信息的信息类型、目的和方式等,便于APP运营者尤其是中小APP运营者操作,同时方便用户查看。

  (二)明确流转“红线”,确定权属,划清边界

  APP运营者、SDK企业在经营过程中会产出数据和数据产品,而数据具有可被无限复制的特性,流转控制非常重要。数据流转中“红线不清晰”“规则不明确”是行业共同的困扰。例如在开展数据合作时,对于数据,特别是其中的与个人信息相关的数据,如何归属,参与的企业是否拥有所有权,个人信息相关数据匿名化到什么程度可以进行交易等在法律上尚无明确规定。为此,建议明确规则、划分红线,在保护个人信息的同时,给大数据行业发展提供明晰的边界。实践中的“中立国”模式,是一种为多方大数据公司提供原始数据只进不出的“数据可用不可拥”的模式,在运算完毕形成结论报告经过审核输出,原始数据销毁,这样实现数据不转移,但数据的价值得以发挥。

  (三)设立考评机制,持证上岗,定期考核

  根据相关法律法规政策,要求运营者设立互联网企业个人信息保护负责人制度,设立例如数据保护官、数据安全负责人等个人信息保护负责人。国家相关部门可建立相应的职业能力评级和职称评定制度,建立个人信息保护负责人持证上岗制度,对个人信息保护负责人进行培训并考核,取得职业能力评级合格证书的人员才能上岗,并对其进行定期培训考核。

  (四)研发监管工具,实时监督,降本提效

  研发自动化监管工具,一旦发现APP违规收集信息,即发出警告,要求APP运营者立刻进行整改。若APP运营者在警告后的一段合理时间内仍未整改完毕,则采取下架等处置措施。通过智能监测手段,不仅可以解决监管的时效性,还可以增加监管范围、提高效率。

  作为移动互联网生态和数据产业的参与者,每日互动愿意积极承担重任,努力推动行业的健康发展。每日互动深知任重而道远,对于主管部门提出的指导与要求,将认真贯彻执行。同时,也将持续做好APP个人信息保护工作,捍卫个人信息安全和数据安全,主动承担社会和行业责任,为互联网行业绿色、健康发展做出更大的贡献。
 

(第一财经)





发表评论

最新评论
 
 
热点文章
浏览排行