前言

近些年来各监管机构对于APP的监管越来越严格，企业对APP安全合规工作也来越重视。

从2019年我负责跟进公司参与的App安全认证的试点工作到现在，已经接触App安全合规工作近两年了，非常感谢这两年一起推进工作的法务老师和同事，让我从一开始的连GB/T 35273都不知道，到之后的了解。虽然现在还是对很多状况不知所措的，但是已经有了基本的认知和处理方法。

回想这两年，虽然自己在推进App安全合规工作上一直还处于摸索阶段，但也有很多可以沉淀输出的东西，由于自己太懒一直在拖延，最近睡前（失眠）总在想一些自己对App安全合规治理和整改的想法和实践，所以想形成文章和各位对App安全合规治理感兴趣的师傅们一起交流讨论~

目前想的这个系列的章节大概如下（列出来欢迎大家监督更新进度）：

（1）APP安全认证的工作流程梳理
（2） 当前监管的重点变化梳理
（3）关于SDK合规的一些思考
（4）个人信息收集方面踩过的坑
（5）如何应对突如其来的监管机构的整改通知
（6）内部的App安全合规整改流程
（7）…………持续更新中…………

进入今天的Part1：APP安全认证的工作流程梳理
前阵子也有几位朋友也有问过我关于App安全认证的工作如何进行，所以梳理下关于推动认证的流程和重点整改项。

背景
下文中的《规范》为GB/T 35273《信息安全技术 个人信息安全规范》的简称；

2019年03月15日 ,市场监管总局及中央网信办发布《关于开展App安全认证工作的公告》。

0 认证流程

整个流程涉及 安全、法务、业务[产品、开发、测试的同学共同努力完成。

第一步：提交认证申请及自评估材料，自评估材料主要是针对《规范》5-11的内容；

第二步：现场技术认证（主要针对APP及内置功能的是否符合《规范》5-9的内容），根据不合格问题进行整改；

第三步：现场审核（主要针对管理制度是否符合《规范》9-11的内容），根据不合格问题进行整改；

-----------到此就可以拿到证书了--------

后续需要进行证书维持，包括版本迭代的信息更新、变化性评估等。
下图为《移动互联网应用程序（App）安全认证实施规则》中的流程图

1 自评估

《规范》中每一小节进行自评估，将不合规项总结出来进行整改。

1.1 自评估内容

因为公司产品功能比较单一，有些项可能未提及。大致分为：App端测试、后端及运营、隐私政策、内部管理制度四部分。具体检查内容详见下边的脑图，脑图这里就不放了，有些自己总结的东西和比较大的篇幅，主要对标35273各项的检测，从新做了归纳。适用于新手，需要的话可以来私聊~

1.2 自评估材料准备

申请书附录中的位置并不够展示证明截图，建议使用如下方法准备自评估资料（不得不说认证中心这里给的模板非常好，赞），包括：

1.3 自评估遇到的问题

1. 由于对标准的理解问题，可能会出现多次修改的情况，建议不对外发版，只打测试包就ok。

2. 有些权限/收集信息未触发，可能是无权限进入，或者功能埋点较深，建议多和业务沟通。

3. 不同渠道可能嵌入了不同的SDK，建议逐一测试。

2 技术验证

技术验证主要是针对APP及内置功能的是否符合《规范》5-9的内容进行的，一般测评人员也会进行现场审核。

2.1 重点关注内容

• 7.1 个人信息访问控制措施

• 5.5 个人信息保护政策

• 个人信息收集情况（类型、频率、是否明示）

• 注销功能

• 个性化展示

• 第三方SDK使用情况

• 个人信息存储情况

2.2 技术验证环节问题

2.2.1 第三方SDK问题

• 针对第三方接入管理的界定，嵌入第三方SDK是否属于第三方接入，是否需要进行适当接入评估、数据处理协议签订等等。（开始认为属于-后来不属于-针对目前情况来看还是属于，如果对这块有深入了解的大佬欢迎批评指正）

• 第三方SDK应该是数据处理者？数据控制者？数据共享接收方？？？？

  • 如果跳转到第三方平台授权（如使用微信登录、QQ登录等）有品牌露出，这事独立的数据控制者。

  • 对于无品牌露出，用户无法感知的SDK应该为数据数据处理者，但因目前的形式都是第三方 SDK 提供者与 App 开发者往往通过第三方SDK 提供者的开放平台，在线签署开发者服务协议来约定双方的 权利义务，鲜少有关于委托处理数据方面的专门协议或特别规定，也就难以算作协议双方之间的有效“授权”。无法真正理清责任关系。——出自《2020年软件开发包sdk安全与合规报告》。

2.2.2 个人信息收集/存储的情况

• 在同意隐私政策之前，不应存在敏感个人信息收集的情况

• 敏感信息的收集频率不应过高，对应5.2.b

• 用户输入个人敏感信息的页面，应做提示

2.2.3 其他

• 注销流程要能跑通，符合用户注销相关要求

• 投诉、举报、客服渠道有人响应：如客服电话能接听、QQ申请能同意、人工客服有回复等。

• 个人信息访问控制措施

3 现场审核

3.1 重点关注内容

1. 应急预案中是否制定了针对个人信息安全事件的

2. 是否针对开发、设计等人员进行个人信息安全相关的专业化培训及考核，提供记录

3. 安全审计情况

4. 开展个人信息安全影响评估的情况

3.2 现场审核环节问题

3.2.1针对“明确个人信息保护负责人和个人信息保护工作机构”检查项

1. 方法一: 个人信息保护负责人=业务负责人

2. 方法二: 建立信息安全委员会，有机构负责个人信息保护工作。

3.2.2 开展个人信息安全评估

检查存在以下情况时，必须提供个人信息安全评估报告：

1. 存在基于不同业务目的的所收集个人信息的融合汇聚

2. 存在信息系统自动决策机制

3. 存在委托处理、数据共享、个人信息公开披露情况

4 认证决定阶段需提供App漏洞测试报告

这里单独写出来主要是最近有在做的朋友问过我关于报告的问题，单独说一下。

通知准备材料如下：“此漏洞测试报告作为对标GB∕T 34975-2017检测报告中符合4.1.5.1要求的证明文件。漏洞测试工具建议选择专业主流的检测工具。”

选择市面上常见的漏扫工具即可，很多公司都有自己采购移动漏扫工具，或者使用一些在线服务如360的显危镜、腾讯的金刚等等，付费免费应该是没有太多要求。高危漏洞的处理法方法找了个比较清晰的文档http://appscan.360.cn/vulner/list/。

5 后期维护

5.1 何时需要提交自评价报告

(1)获证App的分发渠道发生变化;

(2)认证标志使用情况发生变化;

(3)获证App隐私政策发生变化;

(4)获证App收集、处理和使用个人信息的目的、类型、方式发生变化;

(5)获证App运营者对所收集个人信息的共享、转让、公开披露的对象、方式和目的发生变化;

(6)获证App运营者收到获证App个人信息保护相关的投诉举报。

5.2 证书变更

出现下列情况之一时，获证App运营者应向认证机构提出变更申请:

(1)获证App名称、版本发生变更;

(2)认证范围扩大或缩小;

(3)获证App运营者名称、注册地址发生变更;

注：大版本变更、小版本新增功能新增涉及个人信息收集等情况会涉及变更费用、技术验证、现场审核费用。

第一次写东西，欢迎大佬们批评指正~