移动互联网应用程序(App)安全认证实施规则解读

来源:大数据法律研究服务团队

文章摘要
一、出台背景 3月15日,在由中国消费者协会主办、人民网协办的主题为“信用让消费更放心”的2019年3·15主题活动上,国家市场监管总局认证监管司副司长薄昱民在发言时介绍说,面对当前移动互联网应用程序
一、出台背景
3月15日,在由中国消费者协会主办、人民网协办的主题为“信用让消费更放心”的2019年3·15主题活动上,国家市场监管总局认证监管司副司长薄昱民在发言时介绍说,面对当前移动互联网应用程序(以下简称“App”)存在的强制授权、过度索权、超范围收集用户信息问题,中央网信办、工信部、公安部、市场监管总局四部门决定自2019年1月起在全国范围内组织开展为期一年的App违法违规收集使用个人信息专项治理。该专项治理活动的开展主要围绕以下四个方面进行:(1)针对App隐私政策和个人信息收集使用情况进行评估;(2)加大对违法违规行为的监管处罚力度;(3)打击整治网络侵犯公民个人信息违法犯罪;(4)建立解决有关问题的长效机制,即实施App安全认证制度。[1]
3月13日,市场监督管理总局与中央网信办联合发布《关于开展App安全认证工作的公告》(以下简称“《公告》”),公布《移动互联网应用程序(App)安全认证实施规则》(以下简称“《实施规则》”),就App安全认证的规则程序、实施机构、责任义务和结果应用等提出明确要求,《公告》的发布对应专项治理工作中建立长效解决机制工作的开展。
《公告》第四条,提出鼓励App运营者自愿通过App安全认证,并鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的App,即《公告》所指的App安全认证,采取App运营者自愿申请原则,由具备资质的认证机构依据相关国家标准对App收集使用个人信息情况进行评价,对符合安全认证要求的App运营者颁发安全认证证书并授予认证标识。本次App安全认证工作的开展不管是对宏观政策引导还是App运营者而言都有重要的现实意义。
于宏观政策导向而言,通过安全认证机制与安全认证标识的发放,借助权威第三方的专业能力,填补或消除消费者与运营者之间的技术鸿沟和信息不对称问题。安全认证标识的发放引导消费者选用安全的App产品,再经过市场机制的信息传导,将安全App产品的市场表现传导至运营方,促进App运营者规范其研发和推广行为,自觉提升对个人信息保护意识和能力,营造良好的App消费使用环境,实现个人信息安全保护的长治久安。
于App运营者而言,率先通过安全认证取得安全认证标识,有利于向消费者传达其个人信息保护的企业责任意识和安全保护能力,赢得隐私偏好的消费者市场并取得消费的信任,同时,还可以获得搜索引擎、应用商店对已获得安全认证的App进行明确表示并优先推荐的优势。
二、适格申请主体要求
《实施规则》“4.1.1申请方”,规定认证申请主体为通过App向用户提供服务的网络运营者,且取得市场监督管理部门或有关机构注册登记的法人资格。即适格申请主体,不仅需要满足通过App向用户提供服务的产品功能定位,还需要满足“法人”的主体身份资格。根据《民法总则》的相关规定, “法人”分为营利法人、非营利法人和特别法人三类,如表1所示:
表1 《民法总则》中关于“法人”的分类与定义

营利法人

以取得利润并分配给股东等出资人为目的成立的法人,为营利法人。营利法人包括有限责任公司、股份有限公司和其他企业法人等。

非营利法人

为公益目的或者其他非营利目的成立,不向出资人、设立人或者会员分配所取得利润的法人,为非营利法人。非营利法人包括事业单位、社会团体、基金会、社会服务机构等。

特别法人

机关法人、农村集体经济组织法人、城镇农村的合作经济组织法人、基层群众性自治组织法人,为特别法人。


因此,不仅是以营利为目的的公司、企业研发和推广的App,可以申请安全认证,行政机关、事业单位、公益组织等主体的App也可以进行安全认定工作申请。需要注意的是,“4.1.1 申请方”还规定了4种不得申请情形,一旦App运营者具有这四种情形之一的,则不得申请认证:(1)违反相关法律法规;(2)在12个月内发生重大信息安全事件;(3)所持同类证书在撤销认证影响期内;(4)认证机构规定的其他情况。
关于上述“(1)违反相关法律法规”中所指的“法律法规”,基于目的解释和体系解释,《实施规则》旨在引导App运营者提升其产品或服务的网络安全管理和个人信息安全保护的意识和能力,再结合以下(2)(3)的规定内容,上述(1)所指的相关法律法规应为与网络安全和个人信息有关的法律法规,如《网络安全法》《电子商务法》《互联网信息服务管理办法》《计算机信息网络国际联网安全保护管理办法》等。
上述(2)提到的“重大信息安全事件”,《实施规则》中并未有明确的定义。但根据《实施规则》明确其App安全认证的认证依据为 GB/T 35273《信息安全技术个人信息安全规范》(以下简称“《安全规范》”)及相关标准、规范。《安全规范》“9 个人信息安全事件处置”中的信息安全事件上报以《国家网络安全事件应急预案》为标准,《国家网络安全事件应急预案》将网络安全事件分为四级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。(如表2)
表2 《国家网络安全事件应急预案》网络安全事件分类标准

特别重大网络安全事件

①重要网络和信息系统遭受特别严重的系统损失,造成系统大面积瘫痪,丧失业务处理能力。

②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁。

③其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。

重大网络安全事件

①重要网络和信息系统遭受严重的系统损失,造成系统长时间中断或局部瘫痪,业务处理能力受到极大影响。

②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成严重威胁。

③其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。

较大网络安全事件

①重要网络和信息系统遭受较大的系统损失,造成系统中断,明显影响系统效率,业务处理能力受到影响。

②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成较严重威胁。

③其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件。

一般网络安全事件

除上述情形外,对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件,为一般网络安全事件。


上表未明确使用“重大信息安全事件”的表达,或确定“重大信息安全事件”的定义与范围,但App运营者可以从发生信息安全涉及的信息类型、数量、内容、性质、影响范围和影响群体等方面参考《国家网络安全事件应急预案》的分级标准进行判断,同时App运营者还应关注中国网络安全审查技术与认证中心的官网公示信息对相关细则定义的发布。因此,申请App安全认证的运营者应当同时满足以上两方面的主体资格,并不具有不得申请的四种情形。
三、认证程序
《实施规则》规定,进行App安全认证工作的机构为中国网络安全审查技术与认证中心,采取“技术验证+现场核查+获证后监督”的认证模式,要求App运营者不仅要在技术上满足网络安全保护要求,而且同时满足《安全规范》中对个人信息保护的现场要求,例如相应个人信息保护内部岗位及员工职能的设置、重要操作的内部审批流程、物理设备存放等方面。
App安全认证程序分为申请方申请、认证受理、技术验证、现场审核、认证决定、对认证决定的申诉、获证后监督等7个环节。(具体流程见附件图表)
申请认证过程中,App运营者需要注意按App版本申请认证,同一名称的App,版本号、操作系统平台等不同时,一般应分为不同申请单元,比如一个App同时开发有Android版、iPhone版、iPad版、Windows版、MAC版等应分开进行申报送样,分别进行安全认定。《安全规则》规定,认证实现自认证机构作出受理决定之日起计算,自作出认证决定为止一般不超过90个工作日(不包含整改时间),预防认证机构低效认证的情况,以鼓励App运营者自愿进行App安全认证工作。
四、获证后监督
App运营者获得安全认证后,在认证证书有效期内,可将证书在网站、工作场所和宣传资料中展示,但应注意不得进行误导性宣传,如采用“百分百安全”等绝对性宣传用语,或对未获得安全认证的运营者进行贬低等误导消费者选择的宣传行为。App运营者获得安全认证后,并不意味着对网络安全管理可一劳永逸,《实施规则》规定了获证后自评价、认证机构日常监督、认证机构专项监督等三种后续监督管理模式,督促运营者将其安全保护水平维持在安全认证水平。获证后自评价机制要求,获证App运营者出现如下变化或接到相关投诉举报时,自觉向认证机构提交自评价报告:(1)获证App的分发渠道发生变化;(2)认证标志使用情况发生变化;(3)获证App发生变更,以及所引起的收集、处理和使用个人信息的目的、类型、方式发生变化;(4)获证App运营者对所收集个人信息的共享、转让、公开披露的对象、方式和目的发生变化;(5)获证App运营者收到获证App个人信息保护相关的投诉举报。
从认证机构日常监督内容上看,认证机构的日常监督工作与自评价内容有一定的相似性,主要包括有对App一致性、更新状况、认证证书和认证标志的使用情况、自评价情况和获证App被网民举报投诉和社会媒体曝光情况进行监督。因此,App运营者在获得安全认证后,应当对其自评价报告的内容与报告程序进行完整、如实、详尽的记录,并对自评价报告记录进行留档,要求内部安全负责人对记录情况、留档情况进行定期检查监督。
同时,《实施规则》还规定了认证机构在App运营者出现特定情况(如表3),须启动专项监督机制,对App运营者进行深入调查,并对获证App持续符合性全面审核,必要时还可进行技术验证。
表3 认证机构对App运营者开展专项监督的特定情况

(1)网民举报投诉、媒体曝光、行业通报等涉及获证App存在个人信息安全方面的问题,并经查实获证App运营者负有责任时;

(2)获证App运营者因组织架构、服务模式等发生重大变更,或发生破产并购等可能影响App认证特性符合性时;

(3)认证机构根据日常监督结果,对获证App与本规则中规定的标准要求的符合性提出具体质疑时。


App运营者需注意《实施规则》规定,认证机构可采取事先不通知的方式对获证App运营者实施专项监督。因此,获得认证的App运营者需参照《安全规范》中个人信息保护的相关要求,时刻注意做好个人信息安全保护工作,尽量避免因个人信息安全方面的问题被网民举报投诉、媒体曝光或行业通报等情况。当发生因合作第三方原因发生个人信息泄露情况时,应及时响应内部网络安全应急措施,并根据泄露程度及时通知受泄露的个人信息主体,尽量降低个人信息主体遭受泄露的影响。
五、小结
App安全认证是市场监督管理总局与中央网信办联合开展的对市场上App运营者进行的规范管理,以促进App市场向标准化、规范化、品质化转变,鼓励App运营者按照《安全规范》的标准及相关规范提高自身收集、保存、处理、使用等方面的个人信息安全保护能力。同时,通过官方颁发安全认证证书并允许认证标识,以引导消费者选用安全的App产品,以营造良好的App运营环境。
附图:《实施规则》认证申请流程图

[1]参见人民网消费频道:《薄昱民:开展App安全认证工作营造App消费使用环境》
技术驱动法律,专业成就未来