2019年3月13日,市场监管总局、中央网信办发布《关于开展APP安全认证工作的公告》(以下简称“11号文”),推出APP安全认证制度。经过一年多的准备,首批获得APP安全认证(以下或称“获证APP”)的18款APP终于2020年9月20日公布。
正值首批获证APP发布之际,竞天公诚网络与数据法团队结合协助多家企业完成APP合规整改的经验,通过十问十答,将有关APP安全认证的常见问题及操作要点一一说明,供APP运营企业参考。
问题一
为何会推出APP安全认证?
在移动互联网时代,APP是移动互联网服务的主要载体,亦沦为不少企业非法获取个人信息的工具。因此,无论是在《中华人民共和国网络安全法》(以下简称“《网安法》”)基础上陆续出台的《信息安全技术-个人信息安全规范》(GB/T 35273,以下简称“《个人信息安全规范》”)《APP违法违规收集使用个人信息行为认定方法》《移动互联网应用程序(APP)个人信息收集基本规范》等文件,亦或是中央网信办、工信部、公安部等监管部门历次针对隐私政策、SDK等第三方插件开展的专项整治活动,均将APP收集、使用个人信息作为重点。
在此背景下,11号文借助国家推行的首个APP安全认证制度,形成APP领域的“正面清单”,以此在鼓励APP运营者申请安全认证的同时,推动有关个人信息安全保护的规则落到实处。
问题二
为什么要开展APP安全认证?
APP安全认证属于自愿申请的认证,不在强制性认证范围之列,但取得安全认证,对于APP运营者而言,可以获得如下优势:
(1)获得权威合规证明
对于在中国运营的企业而言,《个人信息安全规范》对于细化、衔接《网安法》及相应个人信息保护规则上的指导意义无需赘言。获得认证即表明APP及其运营者在一定程度上满足《个人信息安全规范》及相应规范、标准的要求。因此,无论是融资、并购还是上市,APP安全认证将会成为评定APP运营者在个人信息保护合规方面的权威证明。
(2)赢得竞争优势
获证APP运营者可将证书在网站、工作场所和宣传资料中展示,搜索引擎、应用商店等亦将明确标识并优先推荐通过认证的APP。因此,在个人信息保护意识愈发强烈的当下,相较于竞品APP而言,获证APP在用户群体中将享有更加明显的竞争优势,这亦是APP安全认证制度所欲达到的效果。
问题三
APP安全认证的实施依据有哪些?
1
落地文件
2
认证依据
尽管11号文明确开展APP安全认证工作的根据在于《网安法》与《中华人民共和国认证认可条例》,但正如11号文所述,APP安全认证的目的在于规范APP收集、使用用户信息特别是个人信息的行为,加强个人信息安全保护,因此APP安全认证所依托的核心认证依据为《个人信息安全规范》。这亦在随后发布的APP安全认证的落地文件中得到了充分的体现:
(1)《APP安全认证实施规则》及《APP安全认证实施细则》第2条明确其认证依据为《个人信息安全规范》及相关标准、规范;
(2)《APP安全认证实施细则》第4.3条、第4.4条进一步规定对APP进行技术检测和现场审核所依据的标准为在《个人信息安全规范》基础上制定的《移动互联网应用程序(APP)安全评价指标》(以下简称“《APP安全评价指标》”;
(3)根据CCRC的说明,CCRC试点认证评价指标包括《个人信息安全规范》项下有关个人信息的“收集”、“保存”、“存储”、“委托处理、共享、转让、公开披露”、“个人信息安全事件处置”、“组织的管理”六大评价类共130项评价指标;
(4)《APP安全认证申请书》附件3即为《<《个人信息安全规范》>自评估表》(以下简称“《自评估表》”),其为CCRC在《个人信息安全规范》的基础上将规范项下的各个条款逐条、逐项拆解为APP安全认证自评估的评价要点,供APP运营者理解《个人信息安全规范》的要求,以事先自行开展《个人信息安全规范》符合性评估。
除《个人信息安全规范》之外,《APP安全认证实施规则》及《APP安全认证实施细则》明确APP安全认证依据还包括相应规范、标准,如《移动互联网应用程序(APP)个人信息收集基本规范》《APP违法违规收集使用个人信息自评估指南》 以及《APP安全评价指标》。
《APP安全认证实施规则》及《APP安全认证实施细则》均明确APP安全认证的依据原则上应执行国家标准化行政主管部门发布的最新版本。新近修订完成的《个人信息安全规范》(GB/T 35273-2020)将于2020年10月1日生效,但CCRC在试点认证过程及在《自评估表》中已将修订版的要求纳入评价要点。
综上,APP安全认证本质上是对APP及其运营者遵守《个人信息安全规范》的符合性评价。
问题四
APP安全认证的适用范围如何?
首先,需要明确的是APP安全认证适用于各个服务类型和领域的APP。《APP安全认证申请书》枚举了地图导航、网络约车、即时通讯等37种典型服务类型的APP,如申请认证的APP不属于37类中的任一类型,APP运营者亦可在“其他”选项中自行填写其APP所属服务类型。
其次,APP安全认证适用于移动互联网应用程序开展的数据安全认证。根据《移动互联网应用程序信息服务管理规定》第2条、《工业和信息化部关于加强移动智能终端进网管理的通知》第1条,“移动互联网应用程序”是指通过预装、下载等方式获取并运行在移动智能终端上、向用户提供信息服务的应用软件,而“移动智能终端”是指接入公众移动通信网络、具有操作系统、可由用户自行安装应用软件的移动通信终端产品。根据我们从CCRC了解的信息,手机、平板电脑、车载智能终端、智能电视、智能可穿戴设备等移动通信终端中可通过预装、下载等方式获取及运行的APP皆可申请APP安全认证。
问题五
如何确定安全认证的对象?
根据《APP安全认证实施细则》,APP安全认证原则上应按照APP版本申请认证。经与CCRC核实,对于同一名称的APP可参照如下原则确定申请单元与范围:
(1)发布于不同操作系统平台(即Android或iOS平台)的APP应作为不同的申请单元申请APP安全认证;
(2)一般情况下,APP认证申请单元版本由主版本、子版本号组成,如同一名称的APP仅因子版本号、发布渠道等原因存在差异的,APP运营者向CCRC提交APP样本差异性说明即可,无需作为不同申请单元申请认证,但如APP主版本号发生变更,CCRC则认为该APP的业务功能发生了重大变化,因此主版本号发生的APP应作为新的申请单元申请认证;
(3)对于发布于不同移动智能终端的APP,且APP安装包在业务逻辑、隐私控制等方面存在重大差异的,理论上应将该等APP作为不同的申请单元申请认证,如车机端和手机端的APP安装包往往存在较大差异。但目前APP安全认证尚在初始阶段,认证重心尚未扩展到车机端、电视端,因此CCRC建议在手机、平板电脑等典型移动智能终端设备上运行的APP优先申请认证。
问题六
APP安全认证的前提是什么?
申请APP安全认证,需提交APP符合安全技术标准的检测报告,检测依据为《信息安全技术-移动智能终端应用软件安全技术和测试评价方法》(GB/T 34975-2017,以下简称“34975标准”)。为此,APP运营者需提交其自行或委托第三方检测机构出具的符合34975标准的检测报告,这是申请APP安全认证的前提条件。
如APP运营者自行作为安全评估主体,CCRC在收到检测报告后,将对检测报告中的测试方法、测试过程与测试结果等内容进行审核;如APP运营者委托CCRC认可的第三方检测机构进行安全检测的,则CCRC直接采信第三方检测机构出具的检测报告,不再对检测报告进行审核。
上述检测报告评价的是APP的安全性,在此基础上,CCRC确定的APP安全认证检测机构对APP是否符合《个人信息安全规范》(即合规性)进行检测,二者相互衔接但不可混淆。负责APP安全认证的检测机构由CCRC根据认证业务需要和技术能力确定。目前APP安全认证检测机构名录尚未发布,但根据过往实践来看,“国家队”的检测机构,如北京信息安全测评中心、国家工业信息安全发展研究中心、上海信息安全测评认证中心、中国电子技术标准化研究院、中国泰尔实验室等机构基本会在名录上。
问题七
APP安全认证的流程如何?
APP安全认证的认证模式为“技术验证+现场审核+获证后监督”,即APP运营者在分别通过“技术验证”和“现场审核”后,需对获证APP持续符合认证要求进行自评价,并将持续受到CCRC的日常监督和专项监督。
具体而言,APP安全认证流程如下:
1
认证申请与受理
2
技术验证与现场审核
3
认证决定与申诉
4
获证后监督
问题八
获得APP安全认证的周期是多久?
结合第七问中的认证流程可知,CCRC的认证时限,即自CCRC受理认证申请之日至其做出认证决定之日一般为90个工作日。上述认证时限包括资料审核时间、技术验证时间、现场审核时间、认证决定和证书批准时间以及制作时间。
需要注意的是,上述90个工作日的认证时限不含APP运营者根据检测机构和CCRC出具的不符合项报告进行整改的期限。根据CCRC的口径,目前CCRC未对整改周期作出硬性规定。但为缩短获证周期,减少在认证过程中发现的不符合项,同时亦为避免出现中止认证的情形,APP运营者宜事先按照APP安全认证落地文件的要求,整改妥当后,再提交认证申请。
问题九
APP安全认证的有效期多长?
APP安全认证证书的有效期为3年。当认证要求(如标准)发生变化时,APP运营者应按规定期限换证,超过规定期限未换发的认证证书自行失效。
当获证APP、APP运营者或CCRC规定的其他事项发生变更时,获证APP运营者需向CCRC提出变更申请,CCRC将根据变更申请的内容,决定批准变更或要求重新进行技术新技术验证和/或现场审核方能批准变更。
此外,当获证APP、APP运营者发生应当暂停、撤销或注销认证的事项时,CCRC亦将按照规定暂停、撤销或注销获证APP的安全认证。
问题十
APP安全认证所需费用几何?
对于APP运营者而言,获证所需成本亦是重要考量因素。根据竞天公诚网络与数据法团队获得的信息,APP安全认证所需费用如下:
(1)单一操作系统平台APP认证费用约15.6万元,此费用含技术验证阶段检测机构的检测费用和现场审核阶段CCRC的评审费用;
(2)同时对Android及iOS平台运行的同一APP认证费用约25万元,此费用亦含技术验证的检测费用和现场审核的评审费用。
