五婷婷-五十路亲子中出中文字幕-五十路亲子中出在线观看-五级毛片-五房色播-无遮挡又黄又刺激的视频

    移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（App）由于其便捷性、普惠性、及時(shí)性被民眾廣泛應(yīng)用，在促進(jìn)經(jīng)濟(jì)社會(huì)發(fā)展、服務(wù)民生等方面發(fā)揮了重要的作用。但與此同時(shí)，App強(qiáng)制授權(quán)、過(guò)度索權(quán)、超范圍收集個(gè)人信息的現(xiàn)象普遍存在，個(gè)人信息泄露、濫用等情形時(shí)有發(fā)生，廣大網(wǎng)民對(duì)此反映強(qiáng)烈。為保障個(gè)人信息安全，維護(hù)廣大網(wǎng)民合法權(quán)益，我國(guó)從2017年開始對(duì)App收集使用個(gè)人信息的行為開展了專項(xiàng)評(píng)估、檢測(cè)工作。

    為進(jìn)一步規(guī)范App收集、使用用戶個(gè)人信息的行為，2019年，國(guó)家市場(chǎng)監(jiān)管總局、中央網(wǎng)信辦聯(lián)合發(fā)布公告，開展App安全認(rèn)證工作。此認(rèn)證嚴(yán)格依據(jù)《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（App）安全認(rèn)證實(shí)施規(guī)則》（以下簡(jiǎn)稱《實(shí)施規(guī)則》）開展認(rèn)證活動(dòng)，把好發(fā)證前的每道門檻。這是利用市場(chǎng)選擇機(jī)制引導(dǎo)App運(yùn)營(yíng)者規(guī)范個(gè)人信息收集、使用、轉(zhuǎn)讓等行為，真正提升其個(gè)人信息保護(hù)能力和水平的重要前提。

    同時(shí)，作為中央網(wǎng)信辦、工信部、公安部、市場(chǎng)監(jiān)管總局四部委組織的“App違法違規(guī)收集使用個(gè)人信息治理行動(dòng)”重要組成部分，App安全認(rèn)證相較于治理的背對(duì)背評(píng)估工作，可運(yùn)用更多的技術(shù)手段對(duì)企業(yè)內(nèi)部個(gè)人信息全生命周期的合規(guī)性做更全面的檢測(cè)審核。

    App安全認(rèn)證模式分析

    與傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品不同，App安全檢測(cè)不僅關(guān)注App軟件本身，還要對(duì)它收集傳輸?shù)臄?shù)據(jù)做分析，且個(gè)人信息收集使用的合規(guī)性評(píng)定不僅依靠客觀檢測(cè)結(jié)果，還要結(jié)合經(jīng)驗(yàn)進(jìn)行主觀判斷。為全面了解App收集使用個(gè)人信息的行為，創(chuàng)新傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品認(rèn)證模式是必然要求。《實(shí)施規(guī)則》中指出App安全認(rèn)證以GB/T35273《信息安全技術(shù)個(gè)人信息安全規(guī)范》（以下簡(jiǎn)稱《安全規(guī)范》）及相關(guān)標(biāo)準(zhǔn)、規(guī)范為依據(jù)，采用“技術(shù)驗(yàn)證+現(xiàn)場(chǎng)審核+獲證后監(jiān)督”的認(rèn)證模式，其中技術(shù)驗(yàn)證方式包括實(shí)驗(yàn)室檢測(cè)和現(xiàn)場(chǎng)核查�，F(xiàn)場(chǎng)核查和現(xiàn)場(chǎng)審核工作既有聯(lián)系又有區(qū)別，現(xiàn)場(chǎng)核查關(guān)注個(gè)人信息的傳輸、存儲(chǔ)、匿名化處理等App服務(wù)器后臺(tái)技術(shù)驗(yàn)證，以及數(shù)據(jù)的共享、轉(zhuǎn)讓等后臺(tái)技術(shù)處理的核查驗(yàn)證等，是實(shí)驗(yàn)室檢測(cè)有效的補(bǔ)充手段，現(xiàn)場(chǎng)審核關(guān)注個(gè)人信息安全事件處置、個(gè)人信息安全工程、個(gè)人信息安全影響評(píng)估等管理類要求。認(rèn)證模式中已包含現(xiàn)場(chǎng)審核部分，在技術(shù)驗(yàn)證中又加入了現(xiàn)場(chǎng)核查的工作，足以看出進(jìn)駐現(xiàn)場(chǎng)與企業(yè)面對(duì)面，對(duì)于App安全認(rèn)證工作的重要性。

    充分利用現(xiàn)場(chǎng)工作的手段保障App安全認(rèn)證的有效性

    結(jié)合App產(chǎn)品特點(diǎn)開展現(xiàn)場(chǎng)核查工作

    App是一種通過(guò)分析、設(shè)計(jì)、編碼生成的特殊軟件，其存在形式具有產(chǎn)品的特性，相較于傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品，App的分發(fā)渠道、版本迭代頻率、用戶感知程度完全不同。傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品的工廠檢查主要關(guān)注產(chǎn)品的信息安全保證能力、質(zhì)量保證能力和產(chǎn)品一致性。

    為最大程度地保障投放市場(chǎng)的產(chǎn)品與送檢的型式試驗(yàn)品的質(zhì)量一致，需審查產(chǎn)品的版本管理，重點(diǎn)檢查是否為App的不同版本提供唯一的標(biāo)識(shí)。由于App應(yīng)用商店的多樣化，同時(shí)為滿足不同操作系統(tǒng)的配置要求，App運(yùn)營(yíng)者也會(huì)有不同版本，即使現(xiàn)場(chǎng)審查的版本、標(biāo)識(shí)管理滿足要求，也不能確定檢測(cè)版本與投放市場(chǎng)的App在個(gè)人信息與合規(guī)性方面保持一致。

    具體操作上，檢測(cè)機(jī)構(gòu)會(huì)從任一家應(yīng)用商店下載相應(yīng)的App安裝包并對(duì)其進(jìn)行檢測(cè)。一般而言，App收集個(gè)人信息行為主要發(fā)生在客戶端，做好技術(shù)檢測(cè)，嚴(yán)把信息入口，可以對(duì)App在收集個(gè)人信息時(shí)是否明示告知、一攬子強(qiáng)制收集等行為作出明確判斷。但由于App保護(hù)技術(shù)的發(fā)展，檢測(cè)中存在難以脫殼、數(shù)據(jù)加密、反調(diào)試運(yùn)行等技術(shù)瓶頸，App技術(shù)檢測(cè)無(wú)法確認(rèn)所有收集階段的個(gè)人信息收集問(wèn)題，因此，現(xiàn)場(chǎng)審查是對(duì)技術(shù)檢測(cè)的有力補(bǔ)充和方法突破，如《安全規(guī)范》9.2對(duì)未征得個(gè)人信息主體授權(quán)同意進(jìn)行的共享、轉(zhuǎn)讓個(gè)人信息去標(biāo)識(shí)化的要求。去標(biāo)識(shí)化是一種數(shù)據(jù)脫敏的方法，但其不能通過(guò)遠(yuǎn)程技術(shù)檢測(cè)到，只能在運(yùn)營(yíng)現(xiàn)場(chǎng)，通過(guò)抽查運(yùn)營(yíng)者共享、轉(zhuǎn)讓個(gè)人信息流才能確認(rèn)。

    結(jié)合技術(shù)驗(yàn)證結(jié)果開展現(xiàn)場(chǎng)核查工作

    依據(jù)《安全規(guī)范》，App安全認(rèn)證需對(duì)收集、使用、存儲(chǔ)、共享全生命周期個(gè)人信息相關(guān)的處理活動(dòng)進(jìn)行合規(guī)化審核，現(xiàn)場(chǎng)工作不僅需關(guān)注傳統(tǒng)的風(fēng)險(xiǎn)管理要求，同時(shí)，還要兼顧對(duì)App客戶端進(jìn)行文本核查、功能試用、數(shù)據(jù)檢測(cè)后仍無(wú)法覆蓋的評(píng)估項(xiàng)，并且驗(yàn)證技術(shù)驗(yàn)證報(bào)告中不符合項(xiàng)或高危風(fēng)險(xiǎn)漏洞的整改情況、核查收集個(gè)人信息的合理性、補(bǔ)充完善技術(shù)驗(yàn)證結(jié)果、評(píng)判App客戶端和服務(wù)端行為的一致性。

    以上現(xiàn)場(chǎng)工作內(nèi)容，在短短的幾天時(shí)間內(nèi)完全覆蓋不可能也無(wú)必要。見(jiàn)微知著，我們可從細(xì)節(jié)著眼，衡量運(yùn)營(yíng)者是否存在形式化、敷衍審核的情況。如《安全規(guī)范》“5.5a）1）個(gè)人信息控制者的基本情況，包括主體身份、聯(lián)系方式”和“10.2b）?5）個(gè)人信息保護(hù)負(fù)責(zé)人和個(gè)人信息保護(hù)工作機(jī)構(gòu)的聯(lián)系方式”兩處都提到了個(gè)人信息控制聯(lián)系方式�！栋踩�規(guī)范》5.5中是個(gè)人信息保護(hù)規(guī)則中披露的個(gè)人信息控制者的聯(lián)系方式，此聯(lián)系方式在對(duì)外發(fā)布的文件中予以明確，而10.2是在發(fā)生安全事件時(shí)個(gè)人信息控制者的聯(lián)系方式，此聯(lián)系方式應(yīng)在內(nèi)部應(yīng)急預(yù)案等文檔中予以明確。理論而言，這兩處注明的聯(lián)系方式應(yīng)為同一負(fù)責(zé)人或部門，如不同則反映企業(yè)在個(gè)人信息保護(hù)上存在內(nèi)外“兩張皮”，不能完全滿足用戶個(gè)人信息權(quán)益的保障。這樣結(jié)合技術(shù)檢測(cè)結(jié)論的現(xiàn)場(chǎng)審查工作更能發(fā)現(xiàn)實(shí)質(zhì)性問(wèn)題。

    結(jié)合監(jiān)管重點(diǎn)開展現(xiàn)場(chǎng)核查工作

    App收集個(gè)人信息存在的問(wèn)題，反映了運(yùn)營(yíng)者在個(gè)人信息保護(hù)方面意識(shí)欠缺、管理機(jī)制缺乏、保護(hù)技術(shù)落后等問(wèn)題。中央網(wǎng)信辦、工信部、公安部、國(guó)家市場(chǎng)監(jiān)管總局2019年細(xì)化已有法律法規(guī)的要求，結(jié)合App典型違法違規(guī)行為，發(fā)布《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》（以下簡(jiǎn)稱《認(rèn)定方法》），對(duì)六大類31種典型行為進(jìn)行定性。2020年11月，工信部針對(duì)測(cè)評(píng)規(guī)范和收集原則組織發(fā)布18項(xiàng)團(tuán)體標(biāo)準(zhǔn)，并為其“App侵害用戶權(quán)益專項(xiàng)整治”工作提供依據(jù)和支撐。同時(shí)，地方網(wǎng)信部門、通信管理局、公安局也積極響應(yīng)個(gè)人信息保護(hù)工作，對(duì)所屬轄區(qū)內(nèi)的網(wǎng)絡(luò)運(yùn)營(yíng)者進(jìn)行監(jiān)督管理。監(jiān)管部門依據(jù)《認(rèn)定方法》對(duì)App收集使用個(gè)人信息行為進(jìn)行認(rèn)定，對(duì)存在的問(wèn)題予以公開曝光通報(bào)。

    相較于背對(duì)背評(píng)估工作，App安全認(rèn)證著眼于App全生命周期收集、使用個(gè)人信息的行為，可以深入運(yùn)營(yíng)現(xiàn)場(chǎng)檢查核驗(yàn)，因此更能發(fā)現(xiàn)問(wèn)題。但由于各部委對(duì)行業(yè)要求有所區(qū)別，測(cè)評(píng)方法不盡相同，通過(guò)認(rèn)證的被認(rèn)為優(yōu)秀個(gè)人信息保護(hù)實(shí)踐者有可能在某些點(diǎn)存在不符合的現(xiàn)象，因而被公開通報(bào)，大大影響了App安全認(rèn)證的公信力。因此，擴(kuò)展評(píng)估依據(jù)的要求并將之納入核查重點(diǎn)，從細(xì)節(jié)處著手現(xiàn)場(chǎng)工作尤為重要，有必要在標(biāo)準(zhǔn)符合性驗(yàn)證的基礎(chǔ)上突出重點(diǎn)評(píng)估項(xiàng)，實(shí)現(xiàn)一次認(rèn)證經(jīng)得起多方檢測(cè)評(píng)估，如《認(rèn)定方法》中“未明示收集使用個(gè)人信息的目的、方式和范圍：未逐一列出App（包括委托的第三方或嵌入的第三方代碼、插件）”規(guī)定，實(shí)質(zhì)是對(duì)App中不為用戶所感知的可以收集個(gè)人信息的第三方予以告知，是對(duì)《網(wǎng)絡(luò)安全法》中明示告知義務(wù)的響應(yīng)。此點(diǎn)是監(jiān)管的重點(diǎn)，也是曝光通報(bào)的熱點(diǎn)問(wèn)題。

    在新修訂的2020版《安全規(guī)范》增加的9.7章節(jié)“第三方接入管理”中要求更具體更全面。9.7要求運(yùn)營(yíng)者對(duì)所有第三方履行管理機(jī)制、合同約束、保存記錄、監(jiān)督管理、行為審計(jì)等工作，如僅就文檔機(jī)制進(jìn)行審核，無(wú)疑在第三方接入管理中將App前后端割裂開了，會(huì)遺漏對(duì)實(shí)際引入的第三方管理。因此，在這些重要的評(píng)估項(xiàng)上，應(yīng)進(jìn)一步確認(rèn)App中嵌入的第三方是否都納入了管控范圍，是否告知用戶其收集使用個(gè)人信息的類型、范圍和目的。

    做好現(xiàn)場(chǎng)核查工作的幾點(diǎn)建議

    經(jīng)過(guò)一年半的試點(diǎn)工作，2020年9月，云閃付、百度地圖等18款A(yù)pp在多次整改完善后頒發(fā)證書，這些App先行先試，為大量App的個(gè)人信息保護(hù)提供了可借鑒的模式。同時(shí)隨著App收集個(gè)人信息更深層次、本質(zhì)性問(wèn)題的凸顯，對(duì)法律法規(guī)的細(xì)化解讀，勢(shì)必對(duì)App安全認(rèn)證工作提出更高的要求。由于技術(shù)驗(yàn)證的瓶頸問(wèn)題短時(shí)間無(wú)法解決，可以預(yù)見(jiàn)，現(xiàn)場(chǎng)核查工作將承擔(dān)更多更復(fù)雜的任務(wù)。

    從國(guó)際范圍來(lái)看，個(gè)人信息保護(hù)立法工作日趨完善，但相關(guān)的檢測(cè)認(rèn)證工作尚處于起步階段。由于法律法規(guī)等頂層設(shè)計(jì)文件對(duì)于運(yùn)營(yíng)者而言不具備指導(dǎo)性，相關(guān)的細(xì)化支撐文檔還未完善，因此現(xiàn)場(chǎng)核查工作既是實(shí)施認(rèn)證的關(guān)鍵環(huán)節(jié)，也是宣貫解讀政策標(biāo)準(zhǔn)的恰好時(shí)機(jī)。運(yùn)營(yíng)者通過(guò)有效交流，完成整改，在企業(yè)內(nèi)部逐步建立起有效的個(gè)人信息保護(hù)運(yùn)行體系，提升了企業(yè)個(gè)人信息保護(hù)能力，對(duì)App持續(xù)滿足認(rèn)證要求意義重大。

    個(gè)人信息保護(hù)之路任重道遠(yuǎn)，在多方聯(lián)手形成協(xié)同共治局面的過(guò)程中，認(rèn)證工作扮演著重要角色，做好現(xiàn)場(chǎng)核查工作，提升證書的權(quán)威性和含金量，可以從以下方面著手：

    做好準(zhǔn)備工作。包括簡(jiǎn)單試用App功能、通讀其個(gè)人信息保護(hù)規(guī)則，跟蹤了解監(jiān)管部門發(fā)布的政策法規(guī)及相關(guān)標(biāo)準(zhǔn)規(guī)范、國(guó)際個(gè)人信息保護(hù)的動(dòng)向和大事件。做好充足的知識(shí)儲(chǔ)備，充分了解產(chǎn)品的特性，預(yù)判存在的問(wèn)題，以國(guó)際視野，指導(dǎo)企業(yè)深刻認(rèn)識(shí)本質(zhì)問(wèn)題。

    做好銜接工作。包括熟悉、分析技術(shù)檢測(cè)結(jié)果、自評(píng)價(jià)結(jié)果和相關(guān)證明文檔、不同發(fā)布渠道的版本差異性說(shuō)明及App版本控制說(shuō)明。做好與前階段各工作的銜接，現(xiàn)場(chǎng)核驗(yàn)、補(bǔ)充、完善相關(guān)結(jié)論，帶著問(wèn)題做現(xiàn)場(chǎng)核查，有重點(diǎn)地檢查疑似不合規(guī)處，在薄弱點(diǎn)、疏漏點(diǎn)下功夫，往往會(huì)事半功倍。

    做好反饋工作。包括將找到的新問(wèn)題、發(fā)現(xiàn)的新方法、個(gè)人信息使用的不同形式等反饋至檢測(cè)認(rèn)證機(jī)構(gòu)、技術(shù)小組和方法庫(kù)。這種知識(shí)體系的循環(huán)往復(fù)，不僅是后續(xù)培訓(xùn)、研討素材來(lái)源，還可加深評(píng)審人員對(duì)個(gè)人信息關(guān)鍵問(wèn)題的理解。通過(guò)研討，達(dá)成一致意見(jiàn)，又將為修訂體系文件、評(píng)價(jià)準(zhǔn)則提供可靠的輸入源。