近期，工信部通報(bào)2023年第1批《侵害用戶權(quán)益行為的APP通報(bào)》（總第27批），共通報(bào)46款A(yù)PP（SDK），這些被責(zé)令限期整改的APP（SDK），涉及的問(wèn)題主要包括3個(gè)方面：收集個(gè)人信息明示告知不到位、超范圍和強(qiáng)迫收集個(gè)人信息。

因此，為了避免因違法違規(guī)而造成APP被下架、被責(zé)令限期整改，建議企業(yè)應(yīng)當(dāng)及時(shí)開(kāi)展APP內(nèi)部合規(guī)審查與評(píng)估工作，通過(guò)APP違法違規(guī)收集使用個(gè)人信息合規(guī)評(píng)估及時(shí)發(fā)現(xiàn)潛在的數(shù)據(jù)安全與個(gè)人信息保護(hù)風(fēng)險(xiǎn)點(diǎn)，并制定相應(yīng)的解決方案，以實(shí)現(xiàn)企業(yè)的合規(guī)經(jīng)營(yíng)。具體服務(wù)范圍、流程如下：

APP違法違規(guī)收集使用個(gè)人信息合規(guī)評(píng)估服務(wù)范圍

App違法違規(guī)收集使用個(gè)人信息-合規(guī)評(píng)估服務(wù)，從安全管理和安全技術(shù)兩大方面進(jìn)行合規(guī)建設(shè)和整改服務(wù)，采用人員訪談、本地核查、滲透測(cè)試、自動(dòng)化檢測(cè)等方式對(duì)評(píng)估工作范圍內(nèi)的APP應(yīng)用軟件、隱私政策文本、各項(xiàng)業(yè)務(wù)功能及所收集的個(gè)人信息類型、個(gè)人信息處理規(guī)則及用戶權(quán)益保障、不合理?xiàng)l款、收集使用個(gè)人信息的目的、方式、范圍、必要性、授權(quán)行為、對(duì)用戶權(quán)利保障的途徑進(jìn)行合規(guī)性評(píng)估，同時(shí)為后續(xù)合規(guī)性分析及綜合合規(guī)分析提供參考數(shù)據(jù)。

APP違法違規(guī)收集使用個(gè)人信息合規(guī)評(píng)估服務(wù)流程

合規(guī)評(píng)估服務(wù)主要分為四個(gè)階段，包括評(píng)估準(zhǔn)備階段、評(píng)估實(shí)施階段、評(píng)估分析階段、評(píng)估驗(yàn)收階段。這些階段中前兩個(gè)階段沒(méi)有嚴(yán)格的順序關(guān)系，階段工作可根據(jù)實(shí)際情況靈活處理。

評(píng)估準(zhǔn)備階段

本階段主要是前期的準(zhǔn)備和計(jì)劃工作，包括明確評(píng)估目標(biāo)，確定評(píng)估范圍，組建評(píng)估管理與實(shí)施團(tuán)隊(duì)，對(duì)APP應(yīng)用業(yè)務(wù)功能結(jié)構(gòu)、規(guī)章制度和技術(shù)措施等進(jìn)行初步調(diào)研，溝通和確認(rèn)評(píng)估分析方法，協(xié)商并確定評(píng)估項(xiàng)目的實(shí)施方案，并得到被評(píng)估單位的許可。盡管評(píng)估準(zhǔn)備階段的工作比較瑣碎，但準(zhǔn)備階段中充分、細(xì)致和溝通、合理、精確的計(jì)劃，是保證評(píng)估工作得以順利實(shí)施的關(guān)鍵。

評(píng)估實(shí)施階段

在準(zhǔn)備階段完成之后，將依靠已建立起來(lái)的評(píng)估管理與實(shí)施團(tuán)隊(duì)，遵照準(zhǔn)備階段中確定的實(shí)施方案進(jìn)行評(píng)估。首先要進(jìn)行的就是調(diào)研APP應(yīng)用體系的構(gòu)成功能要素——業(yè)務(wù)功能與其對(duì)應(yīng)的個(gè)人信息，以及識(shí)別和驗(yàn)證已有安全合規(guī)措施的有效性——為下一階段的評(píng)估分析收集必要的基礎(chǔ)數(shù)據(jù)。本階段除了要進(jìn)行有關(guān)要素的識(shí)別工作以外，還需要進(jìn)行要素的分類、驗(yàn)證、檢查、訪談以及要素間的關(guān)聯(lián)等活動(dòng)，這由所選用的具體評(píng)估方法而定。

評(píng)估分析階段

經(jīng)過(guò)實(shí)施階段之后，已經(jīng)得到了影響被評(píng)估APP應(yīng)用合規(guī)檢測(cè)的基本數(shù)據(jù)，包括APP應(yīng)用業(yè)務(wù)結(jié)構(gòu)、安全功能措施、管理制度等。接下來(lái)需要根據(jù)被評(píng)估單位的實(shí)際情況對(duì)其合規(guī)場(chǎng)景進(jìn)行分析，描述和評(píng)價(jià)各檢測(cè)項(xiàng)的合規(guī)情況，從而確定APP應(yīng)用合規(guī)項(xiàng)符合情況。經(jīng)過(guò)與被評(píng)估單位的溝通與協(xié)商，應(yīng)以被評(píng)估單位所接受的形式，提交合規(guī)評(píng)估分析報(bào)告與合規(guī)整改建議。

評(píng)估驗(yàn)收階段

經(jīng)過(guò)分析階段之后，已經(jīng)得到了本次評(píng)估工作的合規(guī)評(píng)估報(bào)告。接下來(lái)需要召開(kāi)項(xiàng)目總結(jié)會(huì)，向被評(píng)估單位領(lǐng)導(dǎo)小組匯報(bào)合規(guī)評(píng)估情況，在描述不符合項(xiàng)之后表述出采取何種對(duì)策防范、符合合規(guī)要求，并將問(wèn)題的輕重緩急描述清楚。經(jīng)過(guò)全面的協(xié)助整改過(guò)程，最后完成全部的整改合規(guī)工作，然后總結(jié)匯報(bào)經(jīng)過(guò)領(lǐng)導(dǎo)小組認(rèn)可后，雙方進(jìn)行項(xiàng)目驗(yàn)收工作，交接文檔，簽字驗(yàn)收。

企業(yè)做APP違法違規(guī)收集使用個(gè)人信息合規(guī)評(píng)估的好處

從App違法違規(guī)收集使用個(gè)人信息合規(guī)評(píng)估服務(wù)中，被評(píng)估方能夠得到的收益至少有：

技術(shù)性驗(yàn)證/檢查安全隱患

合規(guī)評(píng)估有效的主動(dòng)性防御手段，技術(shù)性驗(yàn)證目標(biāo)APP應(yīng)用的合規(guī)性，查找APP應(yīng)用不符合規(guī)的隱患。

合規(guī)、評(píng)估的基本要求

滿足安全規(guī)范和法律的基本要求，如《網(wǎng)絡(luò)安全法》、《個(gè)人信息安全規(guī)范》《消費(fèi)者權(quán)益保護(hù)法》、《關(guān)于開(kāi)展App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理的公告》等均要求進(jìn)行合規(guī)性評(píng)估。

單位形象/經(jīng)濟(jì)規(guī)避

可幫助單位因合規(guī)問(wèn)題帶來(lái)單位形象的損失和經(jīng)濟(jì)損失的風(fēng)險(xiǎn)，提高客戶的操作安全性或滿足業(yè)務(wù)合作伙伴的要求。最終的目標(biāo)應(yīng)該是最大限度地減小業(yè)務(wù)風(fēng)險(xiǎn)。

安全教育與技能提升

合規(guī)評(píng)估的結(jié)果可作為內(nèi)部安全意識(shí)的案例，在對(duì)相關(guān)的接口人員進(jìn)行安全教育時(shí)使用。
一份專業(yè)的合規(guī)評(píng)估報(bào)告不但可為客戶提供作為整改依據(jù)，更可作為常見(jiàn)合規(guī)標(biāo)準(zhǔn)的學(xué)習(xí)參考。