首页 > 梆梆资讯 > 金融行业移动应用隐私监管合规怎么做

金融行业移动应用隐私监管合规怎么做

2020-03-20 安全资讯1898

随着《JR/T 0171 个人金融信息保护技术规范》的出台,给本就千丝万缕的金融移动应用隐私监管棋盘上,又增加了一个棋子。大家都在观望,这么多的标准和要求,这么多监管部门,我们到底要怎么做,才能符合要求?今天梆梆安全带您梳理一下。

 

1、目前的主要标准和要求

1.1 标准

主要涉及到一份国标《GB/T 35273-2020 个人信息安全规范》和两份行标《JR/T 0092—2019 移动金融客户端应用软件安全管理规范》、《JR/T 0171 个人金融信息保护技术规范》。

1.2 要求

目前的监管主要分为两个层面,例行检查和安全认证。其中例行检查的节奏掌握在网信办、工信部等手里,是企业很难改变和涉足的;而安全认证,以自愿参与为原则,行业主管部门鼓励申报。

从具体监管要求上,目前主要参照《App违法违规收集使用个人信息行为认定方法》和《关于开展APP侵害用户权益专项整治工作的通知》(工信部337号令)要求展开。另外在237号文件中,央行也提到了会根据JR/T 0092的要求组织抽查。

企业如果未做好个人信息保护工作,在各种专项检查活动中有可能被通报,严重者甚至会被下架。例如,截至今年3月15日,广东省通信管理局,就隐私合规及网络数据安全存在问题方面,已经下架违规App 5998款,驳回违规App上架申请2807次。其中就含有金融类的移动应用。

 

1

 

2、标准和监管要求的联系与区别

标准是金融企业进行个人信息保护工作的理论基石。从内容上看,国标框架性强于行标,行标相较于国标在行业特点上更加细致。从优先级上,国标是优先于行标的。但无论是国标还是行标,都是推荐性标准而非强制性。也正因为此,在监管部门进行相关要求时,需要更为细致的落地操作规范。那么这个规范就是我们常说的监管要求。

从内容上,《认定方法》和《337号文》要求,均为几份标准中的一部分内容,以检查项方式落地。企业可以非常方便的据此来进行自查,监管单位依此进行检查,双方可以形成共识的检测依据。

三份标准和两份监管要求,存在着大量的交集,如下图所示。

 

2

我们以最小化收集个人信息要求举例,这是三份标准和两份要求均存在交集的一点。

JRT0171-7.1.1  安全管理要求中提到:b) 收集个人金融信息应遵循最小化要求,收集个人金融信息的目的应与实现和优化金融产品或服务、防范金融产品或服务的风险有直接关联。直接关联是指无该个人金融信息参与无法实现前述目的。

GBT35273-5.3 收集个人信息的最小必要中提到:a) 收集的个人信息的类型应与实现产品或服务的业务功能有直接关联;直接关联是指没有上述个人信息的参与,产品或服务的业务功能无法实现;

在《认定方法》中,4.1条提到:收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关,应被判定为“违反必要原则,收集与其提供的服务无关的个人信息”的行为。

在《337号文》中,2.1条提到:App收集个人信息,非服务所必需或无合理应用场景,超范围收集个人信息,如过度收集用户通讯录、短信、通话记录等,应被判定为“超范围收集个人信息”的行为。

 

另外,也存在一些金融行业特有要求,但在其他标准和监管要求中未提到的,例如在JRT171-6.1.4.7章节中提到“a)应对开发测试环境与生产环境进行有效隔离。”

 

所以我们建议金融企业在明确这些联系和差别后,应该根据企业实际情况和自己的目标来设定合规成熟级别。

 

3、合规成熟模型

梆梆安全基于对我国合规市场的理解,将金融企业的合规成熟模型设计如下。

 

3

我们认为最基础的、每个企业都应该关注做到的是“基础性保障”级别。达成这个级别目标的关键成果,是针对企业内的所有移动应用,均极大降低企业被监管单位通报和下架的风险。

在此之上,对于内生安全性强的企业,可以关注“建设性完善”级别。达成这个级别目标的关键成果,是企业可以根据《GB/T 35273-2020 个人信息安全规范》和两份行标《JR/T 0092—2019 移动金融客户端应用软件安全管理规范》、《JR/T 0171 个人金融信息保护技术规范》相关要求,进行详细的梳理和分析,进一步完善企业个人信息保护体系。

作为成熟度的顶端,我们将企业获得安全认证作为“提高声誉”的最高级别。我们建议每家金融企业对最核心的移动应用,都可以做认证考虑。

  • 渠道商申请
  • 真诚期待各位合作伙伴加盟,同梆梆安全一起塑造辉煌
  • 立即申请 > >
  • 服务热线
  • 在使用过程中遇到的任何问题,请随时联系梆梆安全客服人员,我们将第一时间为您解答
  • 4008-881-881
  • 在线反馈
  • 用心聆听用户声音,您的建议、评价、吐槽,是我们产品前进的动力
  • 我要反馈 > >
  • 帮助中心
  • 为您提供产品描述、功能介绍、使用方法、常见问题解答等内容,便于快速了解梆梆各项产品服务
  • 点击前往 > >