2019年3月13日,市场监管总局、中央网信办联合发文《关于开展App安全认证工作的公告》(以下简称认证公告),标志我国APP认证工作开启。时隔一年多,在选择了28款软件进行试点认证后,2020年9月20日,云闪付、苏宁易购、中国移动、百度地图等10家企业的18款App(移动互联网应用程序)在京获颁安全认证证书,标志着我国App安全认证工作正式开展。作者结合团队过往的协助企业数据合规的经验,对照App安全认证的要求,对认证工作的要点进行梳理,协助企业认证工作的展开。
首先,我们要明确,APP安全认证是自愿申请的,这与某些行业或情境下强制要求等保定级备案不同。既然并非强制性质,为何还要进行APP安全认证,其优势有三:
第一,帮助企业以合理方式进行优势竞争。《认证公告》中列明,若运营者自愿通过APP安全认证,则鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的APP,这对于APP的用户获取助益良多。
第二,可佐证企业数据工作合规。在国家对于网络安全和数据安全的监管日趋严格的情况下,众多场景中都对互联网企业的数据安全工作有所关注。近期,众多公司(如蚂蚁科技,丽人丽妆等)的ipo过程中,交易所都对数据问题进行了问询和关注。而APP安全认证就可以作为企业数据工作合规的佐证,帮助企业开展各项工作。
第三,助力企业获得宣传优势。在APP认证的指导文件《移动互联网应用程序(APP)安全认证实施细则》(以下简称“《安全认证细则》”)第7项,列明了认证证书和认证标志的使用和管理。这意味着在企业的宣传中,我们可借此进行宣传,使产品APP与竞品有所区别。
《认证公告》列明,APP安全认证的认证机构为中国网络安全审查技术与认证中心(以下简称“认证中心”)。
APP安全认证的检测机构,《认证公告》中规定了“由认证机构根据认证业务需要和技术能力确定”,从APP安全认证的实践中来看,检测机构的选择是由中国网络安全审查技术与认证中心认定,并没有企业自主选择的先例。目前,APP安全认证检测机构的目录并未披露,但依照之前的经验,传统的“国字号”检测机构一般都在选择目录中。
《中华人民共和国网络安全法》、《中华人民共和国认证认可条例》,这是《认证公告》中提及认证的依据,但二者规定多为原则性,仅可作为参考,落地性较差。
1. 《信息安全技术个人信息安全规范(2020)》(以下简称《个人信息安全规范》)
这是我国目前个人信息安全合规参考的主要依据。《实施细则》中第2项规定,认证依据为最新版本的《信息安全技术个人信息安全规范》,也就是2020年10月生效的版本。
值得注意的是,认证中心给出的《移动互联网应用程序(APP)认证申请书》(以下简称《认证申请书》中),将《个人信息安全规范》的要求逐项细化,足以见得《个人信息安全规范》对于认证的重要性。下图为《个人信息安全规范》(图一)与《认证申请书》(图二)部分对比。
(图一)(图二)
2.《移动互联网应用程序(APP)安全评价指标》(以下简称《安全评价指标》)
这是认证机构(即认证中心)根据《个人信息安全规范》指定的内部操作手册性质的文件,不对公众发布。不过实践中我们只要满足《个人信息安全规范》与《认证申请书》的要求,即可达标。
1.拥有申请主体资格
【正面规定】App向用户提供服务的网络运营者(以下简称“App运营者”),且取得市场监督管理部门或有关机构注册登记的法人资格。【负面规定】App运营者有下列情形之一的,不得申请认证:
(1)违反相关法律法规;
(2)在12个月内发生重大信息安全事件;
(3)所持同类证书在撤销认证影响期内;
(4)认证机构规定的其他情况。
2.确定申请单元
原则上按App版本申请认证。同一名称的App,版本号、操作系统平台等不同时,一般应分为不同申请单元。
3.提交申请材料
申请材料包括①认证申请书;②法人资格证明材料;③认证授权书;④认证申请方承诺;⑤《个人信息安全规范》自评价表⑥第三方产品和服务信息列表⑦APP发布渠道情况说明⑧App版本控制说明;⑨对认证要求符合性的自评价结果及相关证明文档;⑩对App符合相关安全技术标准的证明文件(需满足《信息安全技术-移动智能终端应用软件安全技术和测试评价方法》(GB/T 34975-2017);⑫不同发布渠道的版本差异性说明;⑬其他需要的文件。
(不计整改和确认时间)
1.实施单位:认证中心指定的检测机构
2.提供样本:根据《安全认证申请书》填写的送样方式向检测机构提交样本,并留存副本;
3.技术验证方式:实验室检测和现场核查等方式;
4.具体工作:出具技术验证报告,发现不符合项时,检测机构向认证申请方出具不符合报告,并要求限期整改;逾期未完成整改的,中止认证过程。
1.实施单位:认证中心
2.具体工作:认证机构对技术验证报告进行评审,做出评审结论。评审通过的,在30个工作日内完成现场审核;评审不通过的,视情况决定限期整改或中止认证,也可要求检测机构重新出具技术验证报告。
1.实施单位:认证中心
2.具体工作:认证机构根据申请资料、技术验证结论和现场审核结论等进行综合评价,做出认证决定。认证决定通过后,由认证机构向认证申请方颁发认证证书,并授权获证App运营者使用规定的认证标志。认证决定不通过的,终止认证。
认证机构根据申请资料、技术验证结论和现场审核结论等进行综合评价,做出认证决定。认证决定通过后,由认证机构向认证申请方颁发认证证书,并授权获证App运营者使用规定的认证标志。认证决定不通过的,终止认证。
与普通的认证不同,由于互联网变化迅速的特征,认证中心对获证后的APP提出了更高的要求,即获证后受监督以及证书的及时变更,这是在APP认证中较易忽略的问题。以下对二者作简要说明。
1、实施单位:认证中心
2、监督方式
(1)获证后自评价
获证App运营者应对获证App持续符合认证要求的情况进行自评价。当出现分发渠道变化、隐私政策变化、认证标志适用变化等情形时,获证App运营者应向认证机构提交自评价报告;
(2)日常监督
日常监督包括一致性检查、更新情况、企业自评价情况等;
(3)专项监督
专项监督较为严格,可在事先不通知获证APP运营者的情况下,对获证APP进行全面审核,必要时还可进行技术验证。目前列明的专项监督的情形有三,分别是①网民举报投诉、媒体曝光、行业通报等涉及获证App存在个5人信息安全方面的问题,并经查实获证App运营者负有责任时;②获证App运营者因组织架构、服务模式等发生重大变更,或发生破产并购等可能影响App认证特性符合性时;③认证机构根据日常监督结果,对获证App与本规则中规定的标准要求的符合性提出具体质疑时。
当出现APP名称变更、版本变更、认证范围变化等情形时,向认证中心请求变更。
由获证后的保持工作可以看出,APP安全认证是个长期且系统的工作。这也是国家对于数据安全工作的态度,希望可以保持一个健康绿色安全的数字社会。而随着我国《个人数据保护法》等规定的即将出台,数据保护的效力将在法律的层面上得到强化与确认。而作为国家明确鼓励数据安全认证工作,其地位也将逐步提高,APP运营者可以将其列入企业的合规框架中,帮助企业在新一轮的数字竞争中获得先机。
往期 · 推荐
网络与数据 | RCEP中关于个人信息、网络安全及跨境数据传输等内容规定