梆梆安全个人信息保护“最小必要”典型案例
全方位构筑个人信息保护网
案例背景
金融行业中的手机银行用户群体数量庞大,是个人信息保护工作的重中之重。基于此,梆梆安全对手机银行类应用容易遇到的合规安全问题及难点痛点展开分析,主要存在个人信息最小必要、同步告知、隐私政策文本以及个人信息传输等不合规难题。为帮助行业客户在合规情况下开展并发展业务,梆梆安全针对常见问题提供相应的解决方案。
案例概述
个人信息的最小必要合规
1)知情同意:即在用户知情的情况下,才收集用户个人信息。包括但不限于:同意隐私政策前、遍历及前台/后台状态。
2)合理频率:即运行过程中收集的个人信息或调用权限,满足当前业务场景的合理频率。
同步告知合规
1)敏感权限:若App向用户申请敏感权限无同步告知,可添加同步告知机制,弹出App自定义弹窗说明当前索权目的;若App同步告知与当前索权目的不符或不明确,可梳理并确认App全局的权限申请行为,先明确App所需每一个敏感权限的应用场景及应用目的,再针对敏感权限进行全量准确的同步告知说明,从而确保App所有的申请敏感权限场景均已说明其用途;关于敏感权限申请的最小必要方面,在《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》(GB/T 41391—2022)的6.5.1章节中分别对系统权限申请的范围、时机、申请时的行为及拒绝申请后的行为做出具体要求,其中提到App声明或申请敏感权限的范围不应与当前所提供业务无关、申请敏感权限的时机不应提前等,在实际实施中则具体为App声明或申请权限时,应明确App业务功能真正需要的权限,仅对App业务功能相关的、需要的敏感权限进行声明或申请。同时,申请权限的行为也应由用户主动触发,不在用户未使用到某业务功能就提前索取该业务功能需要的权限。
2)敏感个人信息:首先明确敏感个人信息的范围,并对App当前收集用户个人敏感信息的业务功能进行梳理,再针对所有的敏感个人信息收集页面添加相应的同步告知目的说明。
隐私政策文本编写合规
参考个人信息控制者隐私政策,个人信息控制者应当遵循以下要求:
a.收集的个人信息应具有明确、合理、具体的个人信息处理目的;
b.收集的个人信息应限于实现处理目的所必要的最小范围。
信息传输合规
1)查看App的安全协议;
2)使用抓包工具进行检测;
3)开发者应采取加密协议、数据加密、服务器安全技术等保护客户数据和通信。
案例价值
梆梆安全个人隐私合规解决方案已在金融、互联网、物联网、政府、运营商、企业、医疗、能源、教育等行业中广泛落地应用,在App 个人隐私安全及企业数据安全治理方面取得显著成效,并有效降低APP因个人隐私合规问题带来的监管通报、应用下架等风险,保障客户的品牌形象和业务的稳健运营。与此同时,个人信息保护有力地维护了消费者合法权益,促使消费者对应用的信任感和满意度提升,使得用户留存率增加,进一步扩大应用市场份额。
在信息化时代,个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。总书记强调,“网信事业发展必须贯彻以人民为中心的发展思想,把增进人民福祉作为信息化发展的出发点和落脚点,让人民群众在信息化发展中有更多获得感、幸福感、安全感”,“国家网络安全工作要坚持网络安全为人民、网络安全靠人民,保障个人信息安全,维护公民在网络空间的合法权益”。
2018年5月1日,《GB/T 35273-2020 信息安全技术 个人信息安全规范》正式实施。作为网络安全代表企业,梆梆安全自2018年开展个人信息保护合规检测和咨询相关服务,凭借对国家相关法律法规有较为全面和清晰的认知,在个人信息保护合规检测及评估咨询方面积累了专业的技术能力和丰富的实践经验。面向未来,梆梆安全将以实际行动,坚持在数据安全及个人信息保护领域持续深耕,通过专业的安全服务协同打造个人信息保护领域“共建、共治、共享”的社会治理格局。
推荐阅读
Recommended
>
>
>
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...