移动APP认证：App安全认证工作流程及监管重点

近些年来各监管机构对于APP的监管越来越严格，企业对APP安全合规工作也来越重视。

从2019年我负责跟进公司参与的App安全认证的试点工作到现在，已经接触App安全合规工作近两年了，非常感谢这两年一起推进工作的法务老师和同事，让我从一开始的连GB/T 35273都不知道，到之后的了解。虽然现在还是对很多状况不知所措的，但是已经有了基本的认知和处理方法。

前阵子也有几位朋友也有问过我关于App安全认证的工作如何进行，所以梳理下关于推动认证的流程和重点整改项。

下文中的《规范》为GB/T 35273《信息安全技术 个人信息安全规范》的简称；

2019年03月15日 ,市场监管总局及中央网信办发布《关于开展App安全认证工作的公告》。

整个流程涉及 安全、法务、业务[产品、开发、测试的同学共同努力完成。

第一步：提交认证申请及自评估材料，自评估材料主要是针对《规范》5-11的内容；

第二步：现场技术认证（主要针对APP及内置功能的是否符合《规范》5-9的内容），根据不合格问题进行整改；

第三步：现场审核（主要针对管理制度是否符合《规范》9-11的内容），根据不合格问题进行整改；

—————-到此就可以拿到证书了————

后续需要进行证书维持，包括版本迭代的信息更新、变化性评估等。
下图为《移动互联网应用程序（App）安全认证实施规则》中的流程图

因为公司产品功能比较单一，有些项可能未提及。大致分为：App端测试、后端及运营、隐私政策、内部管理制度四部分。具体检查内容详见下边的脑图，脑图这里就不放了，有些自己总结的东西和比较大的篇幅，主要对标35273各项的检测，从新做了归纳。

申请书附录中的位置并不够展示证明截图，建议使用如下方法准备自评估资料，包括：

由于对标准的理解问题，可能会出现多次修改的情况，建议不对外发版，只打测试包就ok。

有些权限/收集信息未触发，可能是无权限进入，或者功能埋点较深，建议多和业务沟通。

不同渠道可能嵌入了不同的SDK，建议逐一测试。

技术验证主要是针对APP及内置功能的是否符合《规范》5-9的内容进行的，一般测评人员也会进行现场审核。

7.1 个人信息访问控制措施

5.5 个人信息保护政策

个人信息收集情况（类型、频率、是否明示）

注销功能

个性化展示

第三方SDK使用情况

个人信息存储情况

2.2.1 第三方SDK问题

针对第三方接入管理的界定，嵌入第三方SDK是否属于第三方接入，是否需要进行适当接入评估、数据处理协议签订等等。（开始认为属于-后来不属于-针对目前情况来看还是属于，如果对这块有深入了解的大佬欢迎批评指正）

第三方SDK应该是数据处理者？数据控制者？数据共享接收方？？？？

（1）如果跳转到第三方平台授权（如使用微信登录、QQ登录等）有品牌露出，这事独立的数据控制者。

（2）对于无品牌露出，用户无法感知的SDK应该为数据数据处理者，但因目前的形式都是第三方 SDK 提供者与 App 开发者往往通过第三方SDK 提供者的开放平台，在线签署开发者服务协议来约定双方的 权利义务，鲜少有关于委托处理数据方面的专门协议或特别规定，也就难以算作协议双方之间的有效“授权”。无法真正理清责任关系。——出自《2020年软件开发包sdk安全与合规报告》。

2.2.2 个人信息收集/存储的情况

在同意隐私政策之前，不应存在敏感个人信息收集的情况

敏感信息的收集频率不应过高，对应5.2.b

用户输入个人敏感信息的页面，应做提示

2.2.3 其他

注销流程要能跑通，符合用户注销相关要求

投诉、举报、客服渠道有人响应：如客服电话能接听、QQ申请能同意、人工客服有回复等。

个人信息访问控制措施

1.应急预案中是否制定了针对个人信息安全事件的

2.是否针对开发、设计等人员进行个人信息安全相关的专业化培训及考核，提供记录

3.安全审计情况

4.开展个人信息安全影响评估的情况

3.2.1针对“明确个人信息保护负责人和个人信息保护工作机构”检查项

方法一: 个人信息保护负责人=业务负责人

方法二: 建立信息安全委员会，有机构负责个人信息保护工作。

3.2.2 开展个人信息安全评估

检查存在以下情况时，必须提供个人信息安全评估报告：

存在基于不同业务目的的所收集个人信息的融合汇聚

存在信息系统自动决策机制

存在委托处理、数据共享、个人信息公开披露情况

这里单独写出来主要是最近有在做的朋友问过我关于报告的问题，单独说一下。

通知准备材料如下：“此漏洞测试报告作为对标GB∕T 34975-2017检测报告中符合4.1.5.1要求的证明文件。漏洞测试工具建议选择专业主流的检测工具。”

选择市面上常见的漏扫工具即可，很多公司都有自己采购移动漏扫工具，或者使用一些在线服务如360的显危镜、腾讯的金刚等等。

(1)获证App的分发渠道发生变化;

(2)认证标志使用情况发生变化;

(3)获证App隐私政策发生变化;

(4)获证App收集、处理和使用个人信息的目的、类型、方式发生变化;

(5)获证App运营者对所收集个人信息的共享、转让、公开披露的对象、方式和目的发生变化;

(6)获证App运营者收到获证App个人信息保护相关的投诉举报。

出现下列情况之一时，获证App运营者应向认证机构提出变更申请:

(1)获证App名称、版本发生变更;

(2)认证范围扩大或缩小;

(3)获证App运营者名称、注册地址发生变更;

注：大版本变更、小版本新增功能新增涉及个人信息收集等情况会涉及变更费用、技术验证、现场审核费用。

关于App安全合规的监管要求很多地方都可以找到，这里就不一一赘述了。本文的重点内容是通过对监管机构发出来的通报进行统计。

想要看监管走向，首先就要了解现在都有哪些监管机构：

App违法违规收集使用个人信息治理工作组（App治理小组）

工业和信息化部信息通信管理局（工信部）

国家移动互联网应用安全管理中心（病毒中心）

地方通管局（如广东省通管局、天津通管局等）

地方网安（主要关注公司所属地的，当然也不排除有跨地域通报的情况）等

• 上一篇：中国互金协会发布移动金融App安全检测规范等三项团体标准
• 下一篇：关于腾讯手机管家等84款App违法违规收集使用个人信息情况的