超大城市交通出行App个人信息合规评估实践

今天，我们用App进行网络购物、订票、美食、生活资讯、地图、旅行、天气、导航、健康、看电影等，App已经渗透到人们的衣食住行各个方面，彻底改变了现代人的日常工作生活习惯。

与此同时，App乱象丛生。其中，过度收集用户个人信息、隐私条款不完善或缺失情况严重等问题成为消费者最大的困扰之一。于是，国家从立法、监管、治理等方面展开行动。

APP开始踏上一条被监管、治理，满足合规的求生存、谋发展之路。

作为出行必备，交通App在后疫情时代发挥的作用越来越大，这类APP收集使用了大量个人隐私和敏感信息，如个人基础信息、个人轨迹信息、个人生物识别信息等，与此同时，交通App违法、违规收集使用个人信息问题开始凸显。因此，这类App的个人信息合规评估需求也在十分迫切。本文将分享云集至针对超大城市交通App个人信息合规评估实践。

处罚！“滴滴”预警，合规之剑高悬

2022年7月21日，国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规，对滴滴全球股份有限公司(以下简称“滴滴”)做出处罚，决定罚款80.26亿，同时对滴滴CEO程维、总裁柳青各处人民币100万罚款。

本事件社会影响、处罚力度空前，也对众多交通App运营者亮出了合规这一把悬顶之剑，警示交通App运营者依法做好个人信息合规评估。

刚需！个人信息合规评估需求

如今，交通出行方式发生巨大改变，人们只需下载一款交通App即可便捷乘坐公交地铁。交通App除了为人们日常出行提供便捷，还需要维护个人信息主体的合法权益，履行个人信息保护的义务。

近年来，国家针对个人信息保护从立法、执法等层面均开展一系列动作，

法律层面，《个人信息保护法》出台；

标准层面，GB/T 35273-2020《信息安全技术 个人信息安全规范》发布；

执法层面，由中央网信办、工信部、公安部、市场监管总局指导成立了App违法违规收集使用个人信息专项治理工作组（App专项治理工作组），该小组出台了《App违法违规收集使用个人信息行为认定方法》和《App违法违规收集使用个人信息自评估指南》。

挑战！个人信息合规评估难点

基于合规要求，达到规范交通App收集使用个人信息，维护个人信息主体权益的目的，交通App个人信息合规评估工作内容包含：

• 开展App个人信息合规检查，针对IOS、安卓两大手机系统进行评估；

• 形成App个人信息合规评估报告，包含合规问题和整改建议；

• 跟踪App开发团队进行问题整改。

针对本次交通App个人信息合规整体评估工作，客户发出四大灵魂拷问：

1、疫情当下，个人信息超范围收集亟需合规

背景：新冠疫情当下，疫情管控层面牵涉到多方验证用户信息，出行数据收集过量，但用户无法拒绝的困境。

拷问：如何定义采集数据与疫情验证的必要性？

2、登陆强制、过度索取人脸等生物特征

背景：首次App登陆强制人脸识别，并存储人脸识别信息，保护措施未知。

拷问：身份认证强度弱，不得已采用人脸识别，是否有更好的替换方法？

3、隐私规定与App实际隐私政策差距过大

背景：隐私政策内容不清晰、用词含糊、语义不清、冗长难懂、用户难理解，“霸王条款”限制用户权利，默认、强制用户同意隐私政策，侵犯用户选择权等都是目前的常态化问题。

拷问：传统律师存在技术短板，我们可能缺少数据安全法律解读专家+数据安全专家分析？

4、数据共享行为未规范，缺乏约束措施

背景：共享行为未向用户明示；未经用户同意转移用户个人信息。用户拒绝同意的情况下，依然转移；未对第三方数据共享行为进行安全评估，时常发生。

拷问：如何发现全部App后台共享接口，并监督非预期的业务的数据共享？

面对以上灵魂拷问

客户需要一支专业队伍

解决两大诉求：快速应对+成果展现

仅三天时间，需要完成针对六款交通App的个人信息合规评估，包括完成评估计划、评估实施、评估报告等一系列事情。时间紧，任务重，对评估团队来说是挑战。

评估围绕《个人信息保护法》、GB/T 35273-2020《信息安全技术 个人信息安全规范》、《App违法违规收集使用个人信息行为认定方法》、《App违法违规收集使用个人信息自评估指南》四项合规文件进行解读并输出合规检查表，最后的评估工作需要以可视化交付物进行呈现，对评估团队的政策法规解读能力和个人信息合规评估经验均是考验。

专业！体系流程+可视化成果

1、建立合规评估流程

为了在最短时间完成最好的个人信息合规评估效果，云集至构建了“评估—分析—整改”三步走的思路。云集至安服专家结合过往丰富的标准参与制定和政策解读经验，快速将合规文件解读转化成合规检查表，采取“人工+工具”检查方式，即专业的安全团队结合专业化的检测工具，多个安服工程师分工协作进行App评估、分析、整改，快速完成了本次评估工作，攻克了时间紧任务重、合规对标项多的难题。

1、App评估

APP评估涵盖三方面内容：

• App检查：人工服务，依据《合规检查表》对APP功能进行检查；

• App检测：工具检测，完成APP权限、SDK、行为检测；

• 渗透测试：通过渗透测试，发现APP漏洞。

2、App分析

依据APP评估结果，进行合规、SDK、漏洞等的综合分析，形成APP个人信息合规评估报告。

3、App整改

跟踪交通App开发团队，及时验证问题的整改情况，直至满足合规要求。

2、交付合规评估结果

本次交通App个人信息合规评估工作，将合规问题的分布加以统计、合规问题的分类加以描述以及漏洞问题统计，通过工具和图表的形式进行了可视化成果展示，帮助用户直观地看见交通App存在的个人信息安全问题。通过将以下内容进行可视化成果展示，帮助客户实现合规和安全收益。

满足！客户收货评估收益

本次交通App个人信息合规评估工作的完成，帮助App运营者达到以下效益：

1、满足合规要求

基于对个人信息保护法、个人信息安全规范、《App违法违规收集使用个人信息行为认定方法》和《App违法违规收集使用个人信息自评估指南》等一系列政策的合规要求满足，制定合规检查表开展合规检查实践。通过输出合规评估工作的可视化文档成果，帮助App运营主体实现个人信息采集、使用等的自查、自检、自评估，切实维护好个人信息主体的合法权益，从而帮助App运营主体避免违法违规处罚。

2、弥补安全漏洞

利用渗透测试等方法发现App的安全漏洞，通过对安全漏洞的分析全面汇总安全漏洞详情，并输出相关交付文档，高效指导App运营主体对安全漏洞及时做出应对和处理，降低攻击面，大大提升了App的安全系数。

3、App趋规范化

在个人信息保护法的政策背景下，实现App个人信息收集与使用的规范化，主动维护和深度参与营造清朗的App运营环境，整体提升App用户的体验和粘性。

云集至作为专业的数据安全厂商，将继续以此为标杆，深入更多作为App运营主体的客户真实业务场景，与之共建合规、安全、规范的运营环境。我们响应号召，App个人信息合规应当举各方力量来进行协同共治。需要依靠网信、工信部、公安等部门协同配合，推动构建政府监管、企业自律、媒体监督、社会组织和用户共同参与的综合监管格局，进一步营造更安全、更清朗、更可靠的个人信息保护和数据安全工作局面。