近日,中国信息通信研究院”铸基计划“正式发布《2023高质量数字化转型技术解决方案集》,凭借卓越的产品能力和广泛的行业实践,梆梆安全「个人信息保护最小必要解决方案」实力入选“IT运营与维护技术解决方案”细分领域。
方案背景
金融行业中的手机银行用户群体数量庞大,是个人信息保护工作的重中之重。基于此,梆梆安全对手机银行类应用容易遇到的合规安全问题及难点痛点展开分析,主要存在个人信息最小必要、同步告知、隐私政策文本以及个人信息传输等不合规难题。为帮助行业客户在合规情况下开展并发展业务,梆梆安全针对常见问题提供相应的解决方案。
方案解决问题
个人信息的最小必要合规
1)知情同意:即在用户知情的情况下,才收集用户个人信息。包括但不限于:同意隐私政策前、遍历及前台/后台状态。
2)合理频率:即运行过程中收集的个人信息或调用权限,满足当前业务场景的合理频率。
同步告知合规
1)敏感权限:若App向用户申请敏感权限无同步告知,可添加同步告知机制,弹出App自定义弹窗说明当前索权目的;若App同步告知与当前索权目的不符或不明确,可梳理并确认App全局的权限申请行为,先明确App所需每一个敏感权限的应用场景及应用目的,再针对敏感权限进行全量准确的同步告知说明,从而确保App所有的申请敏感权限场景均已说明其用途;关于敏感权限申请的最小必要方面,在《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》(GB/T 41391—2022)的6.5.1章节中分别对系统权限申请的范围、时机、申请时的行为及拒绝申请后的行为做出具体要求,其中提到App声明或申请敏感权限的范围不应与当前所提供业务无关、申请敏感权限的时机不应提前等,在实际实施中则具体为App声明或申请权限时,应明确App业务功能真正需要的权限,仅对App业务功能相关的、需要的敏感权限进行声明或申请。同时,申请权限的行为也应由用户主动触发,不在用户未使用到某业务功能就提前索取该业务功能需要的权限。
2)敏感个人信息:首先明确敏感个人信息的范围,并对App当前收集用户个人敏感信息的业务功能进行梳理,再针对所有的敏感个人信息收集页面添加相应的同步告知目的说明。
隐私政策文本编写合规
参考个人信息控制者隐私政策,个人信息控制者应当遵循以下要求:
a.收集的个人信息应具有明确、合理、具体的个人信息处理目的;
b.收集的个人信息应限于实现处理目的所必要的最小范围。
信息传输合规
1)查看App的安全协议;
2)使用抓包工具进行检测;
3)开发者应采取加密协议、数据加密、服务器安全技术等保护客户数据和通信。
方案落地
1)监管检查场景
支持 191、164 号文自动化合规检测,帮助客户快速检测应用不合规行为,有效支撑监管批量应用自动合规检测工作,推动移动互联网产业全面提升个人信息保护水平。
2) 检测机构场景
辅助检测人员进行自动化/人工合规检测,在应用动态检测过程中实时显示敏感行为,检测人员可在线进行 APP 合规检测任务并编辑检测报告,提升检测效率。
3) 企业自查场景
APP 合规评估赋能服务可提供隐私合规技能培训,使企业相关人员具备 APP 隐私合规相关的基础知识及评估能力,全面自测并前置应用安全问题。
网站声明:如果转载,请联系本站管理员。否则一切后果自行承担。
加入交流群
请使用微信扫一扫!