“基础电信行业个人信息保护交流研讨会”圆满召开

2020-03-30 市场活动2644

“基础电信行业个人信息保护交流研讨会”圆满召开

个人信息保护合规是近年来国家相关部委、监管机构治理的重点，2020年3月26日-27日，梆梆安全围绕“基础电信行业个人信息保护”主题，结合中国移动和中国电信的具体情况，以线上交流的方式分别开展了两场专题交流研讨会，150余名专家在云端参加了本次运营商行业个人信息保护合规研讨会。

梆梆安全咨询顾问刘灵灵对各监管机构提出的个人信息保护法律法规从时间维度进行了全面梳理回顾，同与会嘉宾一起重新对个人信息保护法律法规进行了理解与认知。

       目前个人信息保护法规体系主要分为国家标准和行业标准两大类。另外，各部委机构还发布了可以落地的个人信息保护相关指南、方法、规范及监管要求。

l 国标、行标

1. GB/T 35273-2020《信息安全技术个人信息安全规范》

2. GB/T 34975-2017《信息安全技术 移动智能终端应用软件 安全技术要求和测试评价方法》

3. GB/T 22239-2019 《信息安全技术网络安全等级保护基本要求》

4. YD/T 2307-2011 数字移动通信终端通用功能技术要求和测试方法》

5. 《信息安全技术 移动智能终端个人信息保护技术要求》

6. 《信息安全技术 移动互联网应用（App）收集个人信息基本规范》(最新征求意见稿)

l 指南、方法和规范

1. 互联网个人信息安全保护指南-公安部

2. 《App违法违规收集使用个人信息自评估指南》

3. 信息安全技术 个人信息安全影响评估指南

4. 信安标委-网络安全实践指南-移动互联应用基本业务功能必要信息规范

5. App违法违规收集使用个人信息行为认定方法

6. 《移动互联网应用程序（App）收集使用个人信息自评估指南》(征求意见稿)

l 监管要求

1. 个人信息和重要数据出境安全评估办法-征求意见稿

2. 关于开展APP侵害用户权益专项整治工作的通知

个人信息保护国家标准《信息安全技术 个人信息安全规范》从五个部分对个人信息保护进行了规定。工信部所发布的337号文，则从违规收集用户个人信息、违规使用用户个人信息、不合理索取用户权限、为用户账号注销设置障碍4个方面开展个人信息规范整治工作。

      作为《网络安全法》、《电信和互联网用户个人信息保护规定》、《关于开展App违法违规收集使用个人信息专项治理的公告》等的配套落地规范，《App违法违规收集使用个人信息行为认定方法》提供了违规判定标准，使专项治理工作更加规范，明确了App开发运营工作不可逾越的“红线”。刘灵灵表示，“《认定方法》出炉后，下一步，司法部门和监管部门可能会对App违法违规收集个人信息进行专项重锤整治，由此，App数据收集也将进入强监管时代。”

      在此大监管环境下，中国移动和中国电信也推出了系列规定。“合规工作需由App合规管理部门负责开展，App开发运营部门、App业务管理部门分工负责。”结合各运营商单位的相关治理规定，刘灵灵从专业网络安全企业角度给出了个人信息保护合规治理工作建议。

对于其中的第三方SDK信息安全问题，刘灵灵表示，需要分析App中都使用了哪些SDK及SDK的哪些用途，确定SDK申请、使用了哪些权限，检查SDK是否存在异常通信行为或私自收集个人信息的问题。

而对于重点App的安全认证，在提交相关认证文档资料时需包含认证申请书、法人资格证明材料、App版本控制说明、对认证要求符合性的自评价结果及相关证明文档、对App符合相关安全技术标准的证明文件、不同发布渠道的版本差异性声明、其他需要的文件等。

会议后期，与会各位专家在线对个人信息保护合规展开了积极讨论，并纷纷表示将在后续工作中不断加强合规要求，共同推进行业健康发展！