近日,从市场监管总局认证监管司获悉,目前,互联网应用程序(App)安全认证机构已经根据认证实施规则和认证依据标准制定完成技术验证规范、现场审核规范、认证工作程序等配套文件,并正式受理有关认证申请,已经有多家主流App运营企业提出申请意愿。
与此同时,开始于今年1月的全国App违法违规收集使用个人信息专项治理行动也在有序进行,该行动为期一年。
违法违规问题不容小觑
据市场监管总局认证监管司消费品认证处处长徐秋媛介绍,近年来,随着信息技术和互联网产业的飞速发展,App得到广泛应用,在促进经济社会发展、服务民生等方面发挥了不可替代的作用,目前,我国单日活跃用户数量达到1000万以上的App已达300余款。为实现精准服务,App通常会对用户的部分信息进行收集和加工利用。但App运营企业索取与提供服务毫不相干的信息、甚至超出用户授权范围使用个人信息等现象日益增多。泄露的信息往往被用于商业推广、大数据“杀熟”,更为恶劣的是被犯罪分子用于网络诈骗,广大人民群众合法权益受到严重威胁。
究其原因,主要在于App运营企业对用户信息数据重应用、轻保护,为谋求利益最大化而忽视消费者个人权益保护。大部分企业没有建立完善的数据安全管理制度,或者制度不健全、落实不到位。大量App没有公开个人信息收集、使用规则,明示收集使用个人信息的目的、方式和范围等。App强制授权、过度索权、超范围收集用户信息已经成为消费者投诉的热点问题,迫切需要政府部门加强监管和正确引导。
专项治理和安全认证意义重大
针对App市场目前存在的问题,今年1月,市场监管总局联合中央网信办、工信部、公安部等相关部门按照《网络安全法》《消费者权益保护法》等有关要求,决定在全国范围内组织开展为期一年的App违法违规收集使用个人信息专项治理行动,重点从4个方面开展相关工作:一是针对App隐私政策和个人信息收集使用情况进行评估;二是加大对违法违规行为的监管处罚力度;三是打击整治网络侵犯公民个人信息违法犯罪;四是明确提出实施App安全认证制度。
3月,市场监管总局联合中央网信办发布有关公告,公布App安全认证的规则程序、实施机构、责任义务和结果应用等要求,App安全认证正式开始实施。
此次我国开展的App安全认证工作,按照App运营商自愿申请的原则,由具备资质的认证机构依据《个人信息安全规范》国家标准,对App收集、存储、传输、处理、使用个人信息等活动进行评价,符合要求后颁发安全认证证书并允许认证标识。通过鼓励搜索引擎和应用商店优先推荐获证App等方式,引导消费者选用安全的App产品,提升个人信息保护意识和能力,利用市场选择机制的引领作用,进一步规范App运营商的研发和推广行为,营造良好的App消费使用环境,建立规范化的收集、使用个人信息的App行业生态。
认证机构当自强
App安全认证是传统认证工作在互联网、大数据等新技术环境下的创新发展,对于实施认证的机构也提出了更高的要求。首先,认证机构要具有收悉信息安全领域、尤其是App产品的专业技术能力和人员队伍,以便于科学、公正地开展技术验证、现场审核和持续监督等活动,保证认证证书有效性;其次,针对App更新快、发布渠道复杂等不同于传统产品的特点,认证机构需要具有有效的技术手段对获证App持续跟踪,对于不再符合认证要求的App,要及时对认证证书进行处理;再次,认证机构需要建立起完善的内部管理体系,主动接受相关主管部门监督,及时快速地回应社会的关切。
徐秋媛表示,除了具备上述能力外,在认证实施过程中,认证机构还需要注意3点:一是要以问题为导向,针对与广大网民个人信息密切相关的领域和痛点问题,切实加强认证质量,为群众提供安全的App,促进App行业自律;二是要以需求为导向,利用搜索引擎和应用商店加强对认证结果的采信,发挥市场需求和群众认可的导向性作用;三是要以发展为导向,充分适应App产品创新特点,在遵循认证工作要求和规律的同时,探索评价模式、监督监管方式,提高认证效率;四是要以国际化为导向,遵循国际通行的做法,推动评价要求和结果国内外互信互认。
发挥效能需各方支持
徐秋媛说,App安全认证作为新生事物,为最大限度发挥其作用,除了认证机构外,还需要社会各方共同支持。
在行业主管部门的层面,市场监管总局会进一步加强App安全认证工作的宏观指导,网信、工业和信息化等部门要加强认证结果的采信和应用,必要时有关部门共同开展专项的监督检查工作。
在地方市场监管部门的层面,需要加大市场监督执法力度,一方面要严查伪造、冒用认证证书、认证标志的App产品及其运营者;另一方面要重点打击无认证资质机构扰乱App安全认证市场、误导消费者等行为,营造公平、公正的市场环境。
在App运营者的层面,需要提升对于消费者个人信息的保护意识,积极申请认证,配合认证机构的认证实施和持续监督,按要求在规定范围内适用认证证书和认证标志,自觉接受监管部门的管理。
在消费者的层面,要将在使用App尤其是获证App过程中发现的违法违规问题和线索反馈给监管部门和认证机构,在选择App时着重选择能够满足使用要求的获证产品。
据了解,目前市场监管总局正在研究开展针对除App运营商外的其他数据运营企业的数据安全管理认证工作,重点规范其对于数据信息的保存、传递和加工使用等活动,通过公开发布名单等形式,引导消费者选择数据安全管理水平较高的企业提供的服务,发挥示范带动效应,推动企业提升数据安全管理水平的提升。