移动互联网应用程序(App)安全认证是依据市场监管总局、中央网信办《关于开展App安全认证工作的公告》,对移动互联网应用程序(App)开展的一项认证工作。App安全认证制度的主要作用包括以下三点:第一,App安全认证由具备资质的认证机构开展,经评价合格的产品能够满足相关国家标准对App收集、存储、传输、处理、使用个人信息等活动的各项要求,可以充分保障消费者的个人信息安全;第二,App运营商在认证实施过程中,通过建立体系、接受检查等环节,可以进一步规范自身的App研发和推广行为,有助于提升其个人信息保护意识和能力;第三,两部门还鼓励搜索引擎和应用商店优先推荐获证App,满足广大网民面对鱼龙混杂的App时亟待由权威第三方机构对App个人信息安全保护水平进行评价证明的迫切需求,引导消费者选用安全的获证App产品。
中国软件评测中心作为本项认证工作的检测机构之一,依据统一的测试技术指标要求对送检样品进行检测。
2024年7月,《移动互联网应用程序(App)安全认证技术要求与评价指标》2.0版本发布。对比1.0版本,新版本有以下4个方面的显著变化:
01
增加了测试依据标准
1.0版本主要依据GB/T 35273-2020《信息安全技术 个人信息安全规范》制定,2.0版本测试依据中增加了GB/T 41391-2022《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》。GB/T 41391-2022于《个人信息保护法》实施一周年之际(2022年11月1日)发布,该标准针对App不同场景下个人信息收集所面临的突出问题,给出了更为详细的执行内容。2.0版本将GB/T 41391-2022纳入测试依据,使得在个人信息处理的“最小必要原则”方面,测试的可执行性更强。
02
整体架构不同
1.0版本主要依据GB/T 35273-2020,因此该版本在总体结构上遵循标准内容,按个人信息的收集、存储、使用、共享、转让、公开披露等信息处理环节等进行结构划分并展开描述;2.0版本则按照《中华人民共和国个人信息保护法》个人信息处理的主要基本原则为架构进行内容建设,包括最小必要公开透明、知情同意、合法正当、用户权益。
从内容组成上来看,1.0版本技术部分内容包含了评价类、评价项、评价指标、评价判定标准、评价方法和步骤,2.0版本则简化归纳为基本要求、评价指标及不符合判例,2.0的内容组成从形式上看更加简洁规范。
03
部分指标内容细化,描述更加准确
在1.0版本中,对于某些指标的测试场景、测试内容、评价标准,描述较为模糊,测试时主观性较强,而2.0版本中对测试场景进行增补的同时,对测试内容进行了细化,评价标准更加明确。
例如,在收集个人信息范围的最小必要指标中,1.0版本要求收集的个人信息类型与App业务功能直接关联,且满足《常见类型移动互联网应用程序必要个人信息范围规定》,在实际检测过程中,与业务功能相关联的判定有一定的主观性,《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称《规定》)根据移动互联网应用程序的分类,规定了其必要的个人信息范围,而在收到的检测样品中,很多应用程序并不好确认其类型,尤其是综合型应用程序;同时,测试人员根据“与业务直接相关联”判定得出的必要范围,可能与《规定》中描述的App应收集的必要范围有所差异。新版本在1.0版本基础上,通过引用GB/T 41391附录C内容明确细化了日历信息、应用程序列表、设备信息、短信信息、通话记录、通信录、位置信息等特定类型个人信息收集的应用场景和相关联功能,使对该指标的判定更加准确。
又例如,对于收集个人信息的频率最小必要指标,1.0版本要求“自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率”,在2.0版本中,则描述为“自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低合理频率范围内”,以“最低合理频率范围内”代替“最低频率”,描述更加准确合理。同时2.0版本中还补充了1.0版本中“个人信息主体不授权同意使用、关闭或退出特定业务功能的,不应频繁征求个人信息主体的授权同意”中“频繁”的量化标准,包括“(1)单个场景在用户拒绝授权后,48h 内弹窗提示用户打开权限的次数超过1次。(2)每当用户重新打开 App 或使用无关的业务功能时,都会再次向用户索要授权或提示用户缺少相关授权”。综合来看,2.0版本通过更加详细和准确的描述提高了技术指标的准确性和适用性。
04
删减部分指标内容
在新增和细化指标的同时,2.0版本也对1.0版本部分指标内容进行了删减。删减的内容主要集中个人信息的委托处理、共享、转让、公开披露和个人信息主体权利部分,同时也删除了1.0版本中的所有指标的评价方法和步骤内容。在1.0版本中,个人信息的委托处理、共享、转让、公开披露和个人信息主体权利部分,很多指标的检测涉及到更多的个人信息控制或处理者,检测方法多为访谈、文档检查,测试人员无法验证文档和访问结果的真实性,并且,对于个人信息控制者而言,大量的文档准备工作也不易完成,因此2.0版本针对该部分,减少了不易执行的技术指标,保留和完善了可测性高的技术指标。例如,对1.0版本中“第三方接入管理”评价类中的技术指标“是否建立第三方产品或服务接入管理机制和工作流程”“是否建立安全评估等机制设置接入条件”“是否与第三方产品或服务提供者通过合同等形式明确双方的安全责任及应实施的个人信息安全措施”,需通过检查第三方产品或服务接入的相关流程记录文档、检查与第三方签订的合同等形式文件等方法进行检测,在2.0版中对该技术指标进行了删减。
总体来看,《移动互联网应用程序(App)安全认证技术要求与评价指标》2.0版本的发布,使得移动互联网应用程序(App)安全认证的检测工作更客观、执行性更强。对于移动互联网应用程序(App)运营商(个人信息控制者)来说,若进行APP安全认证,也更容易“轻装上阵”。
咨询方式:
市场:王老师15801567456
技术:王老师13691322040
智能终端软件测试实验室
是目前国内唯一拥有“国家智能终端软件产品质量检验检测中心”资质的测试机构,多年来一直致力于移动互联网应用安全检测技术研究及标准制定,可以提供智能终端系统测试、移动互联网应用个人信息保护测评、应用安全检测及评估、源代码安全审计、数据安全风险评估等服务。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...