近日,市场监管总局、中央网信办正式对外发布公告,将依据《移动互联网应用程序(App)安全认证实施规则》开展App安全认证工作。
随着智能手机等移动终端设备的普及,人们已经习惯了使用各种移动互联网应用程序。为保证用户的信息安全,3月15日市场监管总局、中央网信办正式对外发布公告,将依据《移动互联网应用程序(App)安全认证实施规则》(以下简称《规则》)开展App安全认证工作。
行动刻不容缓
在今年央视“3·15”晚会上,一款名为“社保掌上通”的App被点名批评。经主持人测试,用户填写各种资料注册这款App后,电脑就能够远程接收到用户的所有信息。这款App未得到官方授权就可以窃取用户社保信息,令人惊出一身冷汗。
截至2018年12月,中国网民规模达8.29亿,App安全问题不容忽视,保护用户信息安全刻不容缓。为此,监管部门接连推出相关举措。
今年1月25日,中央网信办、工业和信息化部、公安部、市场监管总局正式对外发布《关于开展App违法违规收集使用个人信息专项治理的公告》。《公告》指出App运营者要采取有效措施加强个人信息保护;收集个人信息时要经个人信息主体自主选择同意;不以默认、捆绑、停止安装使用等手段变相强迫用户授权;不得违反法律法规和与用户的约定收集使用个人信息。
3月1日,《App违法违规收集使用个人信息自评估指南》发布。App运营者可参照指南对其收集使用个人信息的情况进行自查自纠,主动提升个人信息保护水平。
3月15日,App安全认证工作开展。国家市场监管总局认证监管司副司长薄昱民表示,安全认证将针对App隐私政策和个人信息收集使用情况进行评估。通过鼓励搜索引擎和应用商店优先推荐获证App等方式,引导消费者选用安全的App产品,提升个人信息保护意识和能力。
认证权威可信
本次App安全认证工作的开展为保护用户信息提供了保障。据了解,参与App安全认证的认证机构是中国网络安全审查技术与认证中心。该机构是依据《国家网络安全法》和国家有关强制性产品认证、网络安全管理法规,负责实施网络安全审查和认证的专门机构。
《规则》明确指出,认证需按照App运营商自愿申请的原则,由具备资质的认证机构依据相关国家标准对App收集、存储、传输、处理、使用个人信息等活动进行评价,符合要求后颁发安全认证证书并允许认证标识。
在App安全认证中,不仅认证机构和检测机构会客观、公正地开展工作,对结果负责,认证模式也更加专业、可信。其认证模式为技术验证、现场核查、获证后监督。《规则》中提到,技术验证通过后,认证机构对App运营者进行现场审核。发现不符合时,认证机构向认证申请方出具不符合报告,并要求限期整改;逾期未完成整改的,中止认证过程。
实现长效管控
除了保护用户的个人信息,App安全认证还有更大的作用。“认证可以被形象地看作质量管理的‘体检证’、市场经济的‘信用证’、国际贸易的‘通行证’。”薄昱民说。
实施App安全认证制度,能够长效管控App消费使用环境。安全认证过程中对App运营者提出了严格要求,违反相关法律法规的App运营者不得申请认证;获证App运营者应持续进行获证后自评价,并配合认证机构的监督活动;获证App运营者在认证过程中存在欺骗、隐瞒、违反承诺等不当行为,认证机构将撤销认证。
App安全认证具有约束力,将积极促进行业诚信规范建设,推动行业良性发展。对App经营者来讲,申请安全认证可以向公众彰显其保护个人信息数据的决心,在认证过程中通过采取适当的技术与组织措施来提高数据合规能力,可以形成竞争优势,赢得更多用户的认可与信赖。“我们要在移动互联网领域驱逐劣币,净化网络环境,推动行业发展进步。”盘石股份董事长兼首席执行官、中国移动通信联合会副会长田宁说,“App安全认证服务将起到‘良币驱逐劣币’的作用”。
相关法律专家表示,推行App认证工作将赋予该国家标准对认证参与者的强制效力,作为未来《个人信息保护法》的前奏,让标准实质上起到规范、调整App经营者商事行为“法律”的效能。