近日,云闪付、苏宁易购、中国移动、百度地图等10家企业的18款app(移动互联网应用程序)获颁安全认证证书,标志着我国app安全认证工作正式开展。
2019年3月,国家市场监管总局、中央网信办联合发布《关于开展app安全认证工作的公告》,其中明确认证机构为中国网络安全审查技术与认证中心。
到今年6月,审查认证中心按照公告部署,从申请企业中选择了28款app进行认证试点工作。其中,有18款app在认证过程中通过技术验证和现场审核,通过认证决定,具体名单为:云闪付(android、ios)、苏宁易购(android、ios)、中国移动(android、ios)、百度地图(android、ios)、同程旅游(android、ios)、艺龙旅行(android、ios)、车轮(android、ios)、老虎游戏(android、ios)、艺气山(android)、ctid(android)。
据悉,认证环节主要包括认证申请和受理、技术验证、现场审核、认证决定、证后监督等。审查认证中心网站上公布了受理电话,对客户统一受理认证申请,技术验证由审查认证中心指定的签约实验室执行。违反相关法律法规的app运营者不得申请认证。获证app运营者在认证过程中存在欺骗、隐瞒、违反承诺等不当行为,认证机构将撤销认证。
中国网络安全审查技术与认证中心主任魏昊介绍称,开展app安全认证工作,主要是建立、完善权威公信的app安全认证体系,利用市场选择机制引导app运营者规范个人信息收集、使用、转让等行为,为数据安全综合治理提供基础性技术支撑,规范市场秩序。同时,将app安全认证作为一种常态化机制在app治理工作中的积极作用发挥出来,减少各行业管理部门的重复检测和评估,降低企业负担。
魏昊表示,针对app版本迭代频率高的特点,审查认证中心建立了持续监督工作机制,相关平台已经上线运行,实现对获证app持续符合性的自动化、智能化监测,充分利用互联网发挥网民监督、投诉举报的作用。
应用程序索权过度
安全认证规范秩序
近年来,app广泛应用于购物、娱乐、事务办理等方方面面,其在促进社会经济发展、服务民生等方面发挥了不可替代的作用。然而,在消费者使用过程中,app有时会索取部分个人信息使用权限。与此同时,app运营企业未经消费者同意将收集来的个人信息滥用于商业推广、广告推送、大数据“杀熟”等,令消费者不堪其扰。更为恶劣的是,这些信息可能被不法分子用于网络诈骗,人民群众的合法权益受到严重威胁。
相关数据显示,工信部2020年累计巡查4.8万余款app,专项检查了200多款app。今年以来,公安部依托网民举报、巡查发现,依法处置了7000多款存在违法违规行为的app。
在中国传媒大学文化产业管理学院法律系主任郑宁看来,app安全认证制度的建立和实施,旨在帮助政府部门充分利用市场选择机制的引领作用,营造良好的app消费使用环境,建立规范化的收集、使用个人信息的app行业生态。
郑宁分析,app安全认证制度的主要作用包括以下三点:第一,app安全认证由具备资质的认证机构开展,经评价合格的产品能够满足相关国家标准对app收集、存储、传输、处理、使用个人信息等活动的各项要求,可以充分保障消费者的个人信息安全;第二,app运营商在认证实施过程中,通过建立体系、接受检查等环节,可以进一步规范自身的app研发和推广行为,有助于提升其个人信息保护意识和能力;第三,两部门还鼓励搜索引擎和应用商店优先推荐获证app,满足广大网民面对鱼龙混杂的app时亟待由权威第三方机构对app个人信息安全保护水平进行评价证明的迫切需求,引导消费者选用安全的获证app产品。
北京市盈科律师事务所高级合伙人韩英伟则认为,10家企业的18款app获颁安全认证证书,对于建立健全具有公信力的app安全认证体系,规范app运营者收集、使用个人信息,保护用户信息安全,维护有序的市场秩序具有重大意义。
安全认证成为趋势
保护意识不可降低
不过,郑宁提醒:“虽然已有18款app获得安全认证,但这并不代表以后app都要经过安全认证才能上线。”
他进一步分析,根据《移动互联网应用程序(app)安全认证实施规则》,认证需按照app运营商自愿申请的原则,因此未经过安全认证并不能妨碍app上线。但是,对app经营者来讲,申请安全认证可以向公众彰显其保护个人信息数据的决心,在认证过程中通过采取适当的技术与组织措施来提高数据合规能力,可以形成竞争优势,赢得更多用户的认可与信赖。而且国家鼓励搜索引擎和应用商店优先推荐获证app,引导消费者选用安全的app产品,相信未来安全认证会成为app运营者主动选择的程序。
韩英伟也认为,获证app可以在应用市场、搜索引擎使用认证标志,向消费者和用户传递安全信任,引导网民在下载同类app时优先选择已获安全认证的app。
那么,经过安全认证后的app,用户是否可以放心下载使用?
韩英伟说,app若获得安全认证,说明其目前的各项标准都已经符合相关市场监管要求,用户在使用上和心理上都是更为放心、可靠的选择。但是,成为安全认证app的一员,并不意味着app就此有了“免死金牌”,有赖于相关部门的持续有效监督。用户还是需要根据app评价、运营方等综合判断。
郑宁也认为,app经过安全认证仅能代表其在认证时符合国家标准,并不代表之后将一直处于合规状态,这也是行政监管部门持续监督的原因所在。也就是说,app获得安全认证不是终点,而是企业持续落实相关法规和标准要求的新起点。即便是获得安全认证的app运营者,也应坚持获证后自评价及自身业务内审,并配合认证机构的监督工作。所以,用户只能将安全认证作为app合规的初步信号,不能因此降低个人信息保护的意识,而是应当在app使用过程中持续监督运营者是否合规。
得到安全认证后的app,如若出现个人信息收集、使用、转让不规范的问题,是否会面临更重的处罚?
郑宁对此分析,根据《移动互联网应用程序(app)安全认证实施规则》,app获证后,如果在监督中发现不合规现象,认证机构应要求获证app运营者在限期内进行整改,并对整改结果进行验证,未在规定期限内完成整改或整改结果未通过验证的,暂停、撤销或注销认证。所以,获证之后的不合规行为仅会导致证书被撤销的后果,并不能因此加重处罚,违规行为还是应当按照相关法律规定进行处罚。
韩英伟则认为,目前虽尚无具体规定,但根据立法本意,得到安全认证后,出现个人信息收集、使用、转让不规范问题可以作为加重情节。得到安全认证的app如果出现运营不规范的问题依然要承担责任,甚至会受到更严厉的监管或处罚。审查认证中心建立了持续监督工作机制,可以实现对获证app进行智能化监测。一旦出现违规问题,即会面临被处罚及名单资格取消,更强化了安全认证名单的权威性和严谨性。
严防违法安全认证
建立合规行业生态
在郑宁看来,安全认证的开展将会使app运营商更加注重用户的个人隐私保护,在行业内起到良好的示范作用与合规风气。但是,app安全认证想要充分发挥效能,也需要与传统认证项目一样,由各相关方共同支持和发力,共同营造一个公平、公正、有序、健康的市场环境。
郑宁建议:对于行政监管部门,市场监管部门要严查伪造、冒用认证证书、认证标志的app产品及其运营者,进一步加强对app安全认证工作的指导和监管,网信部、工信部等国家部委要加强对认证结果的采信和应用;对于app运营商而言,需要主动提升对消费者个人信息的保护意识,积极申请认证,配合认证机构的认证实施和持续监督,按要求在规定范围内适用认证证书和认证标志,自觉接受监管部门的管理;对于普通消费者而言,在选择app时着重选择能够满足使用要求的获证产品,同时,要将在使用app尤其是使用获证app过程中发现的违法违规问题和线索及时反馈给监管部门和认证机构。
“只有通过安全认证名单有进有出,形成优胜劣汰的管理机制,强化安全认证名单的权威性、公正性,才能更好地为个人信息及数据安全护航。”郑宁说。
值得注意的是,韩英伟提醒道,安全认证证书开始发放,标志着app安全认证已经进入全面实施阶段,引起了app使用者的广泛关注,但同时也可能会出现某些不法分子为逐利而采取违法方式获取安全认证的情况。(记者 韩丹东 实习生 苏欣雨)