返回列表
截止时间:2019-12-05

【主题演讲】黄伟杰:企业APP个人隐私合规评估与监测实践

2019年11月18日,“全球视角下的数据合规与隐私保护”研讨会在北京大学举行。本次研讨会由中国友谊促进会、北京大学法学院/知识产权学院和北京大学粤港澳大湾区知识产权发展研究院主办,广东北源律师事务所协办,来自学界的专家学者、监管部门的网络安全执法人员、以及各互联网企业的合规/法务部门代表等共计160余位嘉宾列席会议。本次研讨会立足全球视野,旨在通过对国内外数据合规及隐私保护的相关法律法规及实践案例作出深度解读,以此为实务工作者提供有效的合规指引与建议,国际信息系统审计师、注册信息安全专业人员、信息安全保障人员认证师黄伟杰在会上发表主题演讲,以下为演讲实录。

★ 主讲人简介 ★

黄伟杰

国际信息系统审计师

注册信息安全专业人员

信息安全保障人员认证师

从事信息系统审计、风险咨询、信息安全风险评估、等级保护测评、安全运维服务和安全管理体系建设等工作的实施、管理和业务设计等网络安全工作12年。为招商局集团、平安集团、华润集团、顺丰速运、招商银行、腾讯公司、华为公司、迅雷公司、深圳地铁、深圳机场、陆金所、大疆无人机、安信证券、中兴通讯、珍爱网、深圳电信、国家超级计算中心等多家央企、金融、互联网企业和政府机构提供网络安全风险审计、管理咨询与安全保障服务。

大家下午好,关于APP这一块个人隐私的实践主要分享三方面的工作,标准研究和发展,测评技术和平台,以及合规经验。

我们现在处在社会网络化和网络社会化的时代,很多看似没有紧要的个人信息都会给我们带来一些隐私方面的问题,大家会比较关注,比如在Facebook上面计算机算法,你点10个赞对你的了解就超过你单位的同事,你点70个赞以上计算机对你的了解超过你的朋友,点150个赞计算机算法对你的了解超过你最紧密的人了。所以个人隐私这一块大家都很重视,在全球来讲120个国家都制定的相应的个人隐私方面的保护或者法规,最有名的是欧盟GDPR、美国的CCPA,以及日本(现在成为亚洲第一个GDPR充分性认定国家),在跨境传输的时候日本是白名单,中国是第三国,一般不会随便传。中国在个人隐私方面的保护和个人数据方面的保护做了很多工作,比如2014年新的《消费者权益保护法》、《网络安全法》、《电子商务法》,以及后面各部委制订了关于APP隐私相关的标准,这些都在不断地推动。

今年以来,中央网信办、公安部、工信部、市场监督总局联合发布《关于开展APP违法违规收集使用个人信息专项治理的公告》,这几个部委对于APP个人信息方面的监管和要求有三个方面:隐私政策的合规、过度索权问题、超范围收集信息问题。这就对于企业提出了制定独立的隐私政策的要求。此外,APP里的第三方SDK也会收集个人信息,有些APP自己都不知道在收集个人信息,因为收到第三方去了,这个也要在隐私政策里面说明。所以我提炼了十个方面的合规要求。

首先在标准研究上,我们在北大标准发布的基础上做了融合,包括融合《网络安全法》、《电子商务法》,以及在APP方面融合了各个监管单位的法律法规。为什么要做融合?因为现在国内的一个APP个人隐私方面的治理算是“九龙治水”的局面,公安也有关于APP方面、个人隐私方面的治理要求、标准,工信部也出了。一个单位、一个客户同时要面临不同监管单位对我的认可,怎么办?把大家的各种要求融合在一起,你做了一次评估,面向于其他监管单位都能够满足要求。好处是通过这套标准做名册能够满足监管的要求。《APP个人信息保护测评标准》是8个模块,56个测评项。第一是通过自动化提高效率,所以我们做了平台,这个平台包括我们会用到的技术以及可以获取到的个人信息。现在APP在获取个人信息时有两个层面,在你安装的时候会主动收集你的APP手机号码、手机设备号包括手机上的其他信息。第二个方面,我们现在接触过很多金融的APP特别是互联网金融APP,很难订立隐私政策。企业说是为了提醒你还款,实际上为了获得你的朋友圈,到时候你不还款的时候可以通知你的家人、朋友催收。所以在APP收集方面各种信息都有。

其次,我介绍一下测评技术和平台。我们做了多技术全维度检测,包括云化池技术,自动化完成APP安装包的安装、运行以及自动寻找APP隐私政策,通过自然语言处理,智能分析匹配隐私政策合规要求。还有一个是反编译技术,APP里面有声明的权限,6.0以后声明的权限需要用户授权,通过反编译技术可以把里面声明解读出来,使用反编译技术获取APP基本信息及权限列表及比较分析不同行业标签下的超范围规则,筛选出涉嫌超范围的相关权限。包括SDK的检测,我们检测一个单位的APP里面拥有上百个SDK,信息安全部门没想过为什么我的信息要放在上百个SDK里面,有些SDK采集位置信息,有些采集他的广告信息,有些采集他的用户ID。这种情况下合规部门、法务部门很担心,因为SDK会利用你的APP权限搜集用户上面其他信息传到第三方去,因为涉及的SDK过多,就无法都明确地被写在隐私政策中。最后一个是通过人工的研判,可以检测到不同的权限和声明的权限、第三方的SDK,还可以去通过抓包检测到SDK有没有收集你用户联系人的信息,在抓包里面可以看得到。这是隐私评估和监测平台。需要讲监测是因为个人隐私这件事情在APP生态里面需要不断的更新,一旦你的业务上架或者版本迭代,隐私政策就不一样了,所以个人隐私要监测,不仅是要检测还要监测。

最后,我来介绍一下我们做过的案例和合规经验,为企业应该考虑三方面的事情:

企业应该考虑三方面的事情:

1.建立企业APP合规的红线。你的业务是否需要收集个人信息?也需要,但如何在满足合规的要求下又能够业务发展的平衡,就需要制定一个APP个人信息合规的贡献,通过这个红线把我们整个APP的情况进行一些自纠自查,自己用这套可以自查,包括APP上线迭代的检查。这是我们制定的红线。

2.建立长期合规监测机制。功能变化、版本迭代、政策变化都需要我们关注。我们做企业,在APP个人隐私方面要建立一个长期的合规监测机制,以及通过这个监测机制可以推动一些员工在个人隐私方面的保护意识。

3.建立与监管的沟通机制。建立监管沟通机制有助于企业能够及时的了解监管政策。现在很多征求意见稿都没有正式的发布,但实际上我们可以关注到这块的政策,提前做好预防和落地的工作。企业要能够充分地理解监管的目的与要求,能够确保真正地满足规范。

此外,要推动企业对存在的合规问题的解读。最后,监管合规要求也要去符合行业当前发展和企业实际情况。

返回列表
「主题演讲」黄伟杰:企业APP个人隐私合规评估与监测实践
截止时间:2021年10月21日 19:30-21:00

【主题演讲】黄伟杰:企业APP个人隐私合规评估与监测实践

2019年11月18日,“全球视角下的数据合规与隐私保护”研讨会在北京大学举行。本次研讨会由中国友谊促进会、北京大学法学院/知识产权学院和北京大学粤港澳大湾区知识产权发展研究院主办,广东北源律师事务所协办,来自学界的专家学者、监管部门的网络安全执法人员、以及各互联网企业的合规/法务部门代表等共计160余位嘉宾列席会议。本次研讨会立足全球视野,旨在通过对国内外数据合规及隐私保护的相关法律法规及实践案例作出深度解读,以此为实务工作者提供有效的合规指引与建议,国际信息系统审计师、注册信息安全专业人员、信息安全保障人员认证师黄伟杰在会上发表主题演讲,以下为演讲实录。

★ 主讲人简介 ★

黄伟杰

国际信息系统审计师

注册信息安全专业人员

信息安全保障人员认证师

从事信息系统审计、风险咨询、信息安全风险评估、等级保护测评、安全运维服务和安全管理体系建设等工作的实施、管理和业务设计等网络安全工作12年。为招商局集团、平安集团、华润集团、顺丰速运、招商银行、腾讯公司、华为公司、迅雷公司、深圳地铁、深圳机场、陆金所、大疆无人机、安信证券、中兴通讯、珍爱网、深圳电信、国家超级计算中心等多家央企、金融、互联网企业和政府机构提供网络安全风险审计、管理咨询与安全保障服务。

大家下午好,关于APP这一块个人隐私的实践主要分享三方面的工作,标准研究和发展,测评技术和平台,以及合规经验。

我们现在处在社会网络化和网络社会化的时代,很多看似没有紧要的个人信息都会给我们带来一些隐私方面的问题,大家会比较关注,比如在Facebook上面计算机算法,你点10个赞对你的了解就超过你单位的同事,你点70个赞以上计算机对你的了解超过你的朋友,点150个赞计算机算法对你的了解超过你最紧密的人了。所以个人隐私这一块大家都很重视,在全球来讲120个国家都制定的相应的个人隐私方面的保护或者法规,最有名的是欧盟GDPR、美国的CCPA,以及日本(现在成为亚洲第一个GDPR充分性认定国家),在跨境传输的时候日本是白名单,中国是第三国,一般不会随便传。中国在个人隐私方面的保护和个人数据方面的保护做了很多工作,比如2014年新的《消费者权益保护法》、《网络安全法》、《电子商务法》,以及后面各部委制订了关于APP隐私相关的标准,这些都在不断地推动。

今年以来,中央网信办、公安部、工信部、市场监督总局联合发布《关于开展APP违法违规收集使用个人信息专项治理的公告》,这几个部委对于APP个人信息方面的监管和要求有三个方面:隐私政策的合规、过度索权问题、超范围收集信息问题。这就对于企业提出了制定独立的隐私政策的要求。此外,APP里的第三方SDK也会收集个人信息,有些APP自己都不知道在收集个人信息,因为收到第三方去了,这个也要在隐私政策里面说明。所以我提炼了十个方面的合规要求。

首先在标准研究上,我们在北大标准发布的基础上做了融合,包括融合《网络安全法》、《电子商务法》,以及在APP方面融合了各个监管单位的法律法规。为什么要做融合?因为现在国内的一个APP个人隐私方面的治理算是“九龙治水”的局面,公安也有关于APP方面、个人隐私方面的治理要求、标准,工信部也出了。一个单位、一个客户同时要面临不同监管单位对我的认可,怎么办?把大家的各种要求融合在一起,你做了一次评估,面向于其他监管单位都能够满足要求。好处是通过这套标准做名册能够满足监管的要求。《APP个人信息保护测评标准》是8个模块,56个测评项。第一是通过自动化提高效率,所以我们做了平台,这个平台包括我们会用到的技术以及可以获取到的个人信息。现在APP在获取个人信息时有两个层面,在你安装的时候会主动收集你的APP手机号码、手机设备号包括手机上的其他信息。第二个方面,我们现在接触过很多金融的APP特别是互联网金融APP,很难订立隐私政策。企业说是为了提醒你还款,实际上为了获得你的朋友圈,到时候你不还款的时候可以通知你的家人、朋友催收。所以在APP收集方面各种信息都有。

其次,我介绍一下测评技术和平台。我们做了多技术全维度检测,包括云化池技术,自动化完成APP安装包的安装、运行以及自动寻找APP隐私政策,通过自然语言处理,智能分析匹配隐私政策合规要求。还有一个是反编译技术,APP里面有声明的权限,6.0以后声明的权限需要用户授权,通过反编译技术可以把里面声明解读出来,使用反编译技术获取APP基本信息及权限列表及比较分析不同行业标签下的超范围规则,筛选出涉嫌超范围的相关权限。包括SDK的检测,我们检测一个单位的APP里面拥有上百个SDK,信息安全部门没想过为什么我的信息要放在上百个SDK里面,有些SDK采集位置信息,有些采集他的广告信息,有些采集他的用户ID。这种情况下合规部门、法务部门很担心,因为SDK会利用你的APP权限搜集用户上面其他信息传到第三方去,因为涉及的SDK过多,就无法都明确地被写在隐私政策中。最后一个是通过人工的研判,可以检测到不同的权限和声明的权限、第三方的SDK,还可以去通过抓包检测到SDK有没有收集你用户联系人的信息,在抓包里面可以看得到。这是隐私评估和监测平台。需要讲监测是因为个人隐私这件事情在APP生态里面需要不断的更新,一旦你的业务上架或者版本迭代,隐私政策就不一样了,所以个人隐私要监测,不仅是要检测还要监测。

最后,我来介绍一下我们做过的案例和合规经验,为企业应该考虑三方面的事情:

企业应该考虑三方面的事情:

1.建立企业APP合规的红线。你的业务是否需要收集个人信息?也需要,但如何在满足合规的要求下又能够业务发展的平衡,就需要制定一个APP个人信息合规的贡献,通过这个红线把我们整个APP的情况进行一些自纠自查,自己用这套可以自查,包括APP上线迭代的检查。这是我们制定的红线。

2.建立长期合规监测机制。功能变化、版本迭代、政策变化都需要我们关注。我们做企业,在APP个人隐私方面要建立一个长期的合规监测机制,以及通过这个监测机制可以推动一些员工在个人隐私方面的保护意识。

3.建立与监管的沟通机制。建立监管沟通机制有助于企业能够及时的了解监管政策。现在很多征求意见稿都没有正式的发布,但实际上我们可以关注到这块的政策,提前做好预防和落地的工作。企业要能够充分地理解监管的目的与要求,能够确保真正地满足规范。

此外,要推动企业对存在的合规问题的解读。最后,监管合规要求也要去符合行业当前发展和企业实际情况。

立即报名