近年来,个人信息泄漏事件频发,部分APP存在违规获取终端设备个人敏感信息的情况,为此国家相继出台了相关政策法规及专项检查行动。与此同时,在互联网医疗行业中,个人信息尤其是个人健康信息、生物识别信息等个人敏感信息的泄露,将对用户权益造成严重侵害,因此,个人信息保护工作被互联网医疗行业高度重视,成为行业亟需解决的重要课题。然而,由于在实际落地工作中缺乏对标准正确理解和最佳实践的指导,相关互联网医疗企业亟需给予相关科学指导,以不断完善实践工作,满足政策法规对互联网医疗个人信息保护工作要求。
9月15日,银川互联网+医疗健康协会联合网络安全行业门户FreeBuf共同开展一场互联网医疗APP个人信息保护直播沙龙。本次沙龙有幸邀请到中国网络安全审查技术与认证中心专家樊华老师,高级合伙人律师王艺律师、好大夫在线安全负责人潘星宇先生、爱加密移动安全研究院副魏超院长。四位专家分别从监管检查、法律法规、企业实践、解决方案等不同视角,对APP个人信息保护方面的工作重点、APP违法违规案例解读、APP数据合规之重点法律法规讲解、互联网医疗企业个人信息保护工作实践、APP隐私检测要点与技术分析几个方面进行精彩解读。
沙龙的开场嘉宾是来自中国网络安全审查技术与认证中心专家樊华老师,她的分享议题是《APP个人信息保护监管趋势及违法违规典型问题分析》。樊老师从个人信息保护背景及监管趋势、App违法违规收集个人信息典型问题分析以及对企业个人信息合规化建议三个部分给各位个人信息保护从业者带来了监管层面的专业指导。
对重点内容进行了整理
四部门召开的2020年App违法违规收集使用个人信息治理工作启动会会议重点是什么?
会议指出将持续委托App治理工作组重点开展几方面工作:
- 制定发布SDK、手机操作系统个人信息安全评估要点
- 针对生物特征信息收集,后台自启动、关联启动、私自调用权限等滥用的重点问题,开展专题研究和深度检测
- 对违法违规收集使用个人信息行为加大发现力度、曝光力度、处罚力度
- 制定出台APP收集使用个人信息行为应用商店审核管理指南
- 发布免费技术工具,指导中小企业开展个人信息收集使用行为自评估
- 推进APP个人信息安全认证工作加强个人信息安全评估培训,加大力度开展个人信息保护宣传教育
APP个人信息保护违法违规检测依据是什么?
检测依据主要是参照《网络安全法》第二十二条、第四十一条、第四十二条、第四十三条、第四十四条和《个人信息安全规范》《App违法违规收集使用个人信息认定方法》。
APP违法违规收集使用个人信息行为概括为哪几类?
参考四部委联合印发的《App违法违规收集使用个人信息认定方法》的六类行为
- 未公开收集使用规则
- 未明示收集使用个人信息的目的、方式和范围
- 未经用户同意收集使用个人信息
- 违反必要原则,收集与其提供的服务无关的个人信息
- 未经同意向他人提供个人信息
- 未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息
常见的APP违法违规收集使用个人信息行为举例?
第一类隐私政策问题
无隐私政策
- 隐私政策隐藏过深、不易于阅读
- 以不明显方式提示用户阅读、不明示方式征求用户同意
- 没有提供个人信息安全投诉、举报渠道
第二类权限使用问题
- 用户明确表示不同意后,仍然频繁争取用户同意,干扰用户正常使用
- 私自更改用户设置的权限状态
- 没有提供有效的更正、删除个人信息或注销账号功能、为该功能设置不合理条件
第三类收集个人信息行为问题
- 征得用户同意前、未经用户同意就开始收集个人信息
- 以欺诈、诱骗不正当方式误导用户同意收集个人信息
- 收集个人信息的频度超过业务功能实际需要
- 未经用户同意向第三方提供个人信息
- 用户明确表示不同意后,仍收集个人信息
对企业个人信息合规化建议?
- 加强个人信息保护责任意识
- 排查整改典型违规问题
- 建立个人信息保护机制
- 确保收集个人信息的必要性
- 确保使用个人信息目的的合法性
- 及时处理用户反馈个人信息相关问题
在学习监管趋势及违法违规案例之后,个人信息保护相关法律法规也是互联网医疗企业需要关注的重点。随后,高级合伙人律师王艺给大家带来了《APP数据合规重点法律法规讲解》的分享。
首先,王律师介绍了个人信息数据合规主要监管法律体系,通过个人信息侵权案例及医疗数据案例阐述了企业主体哪些行为会构成对用户个人信息权限及隐私权的侵害,以及企业在数据合规领域会面临哪些法律风险。对民法典中自然人的个人信息权益进行详细解读,包含个人信息的查询、更正、删除、获取个人信息副本等。
随后,王律师讲述了监管部门APP的执法动态,包括执法单位、执法流程、执法行动。并分别对《App违法违规收集使用个人信息行为认定方法》、《App违法违规收集使用个人信息自评估指南》2.0版本进行重点内容解读。
最后,王律师对《个人信息安全规范》(2020版)新国标中个人生物识别信息合规要点进行详细解读。包含:个人生物识别信息获取的经典场景、合规案例及反面案例、人脸数据收集相关问题及个人生物识别信息合规建议。
好大夫在线安全负责人潘星宇作为互联网医疗企业的代表,从工作实践角度为大家带来一些分享和参考,包含:分析跟进执法活动、调整完善隐私政策文本、申请设备权限管理、第三方SDK的管理、个人信息应急事件处置。最后介绍了两种开展个人信息保护工作的最佳实践方法,个人信息安全影响评估和个人信息安全工程,并对个人信息安全工程中的需求分析和产品设计部分进行详细阐述。
随着移动互联网医疗行业发展迅猛,加之互联网医疗APP业务所涉及的个人敏感数据非常重要,导致医疗相关信息泄露事件频发。爱加密移动安全研究院副院长魏超院长对《信息安全技术 个人信息安全规范》进行了详细解读,并结合《工业和信息化部 337号令》的实践检测支撑过程对执法行动中的监管检测要点和技术进行分析。
众所周知,医疗数据安全和人们的生命息息相关,在物联网和移动化快速发展的时代,个人的医疗信息价值与日俱增。通过这场线上沙龙活动,进一步让大家关注APP医疗数据安全,并做好防护措施,完善个人隐私保护。