自从2019年开始App正式进入严监管以来,工信部、公安部、计算机病毒处理中心、App专项治理工作组每次通报的侵害用户权益行为App都或多或少有金融类App的影子,金融App隐私保护风险有哪些?怎么样做好合规建设才能不被点名?怎么样才能避免移动金融App备案工作因为合规被卡壳?
今天我们就以把金融APP隐私保护与合规建设作为一道考题来盘一盘金融APP隐私保护与合规建设的那些事儿~
知识点梳理
个人隐私合规的监管合规要求要牢记于心
2019年10月18日,中国人民银行发布237号文件《金融行业加强移动金融客户端应用软件安全管理的通知》。
2019年11月4日,工业和信息化部 337号令《关于开展App侵害用户权益专项整治工作的通知》(下称337检查要求)
2019年11月,公安部启动“净网2019”,集中整治向侵害公民个人信息网络乱象亮剑
2019年12月31日,四部门联合发布《App违法违规收集使用个人信息行为认定方法》
2020年2月21日,中国人民银行正式发布《个人金融信息保护技术规范》(JR/T 0171-2020)
2020年3月,中国人民银行发布2020年银发45号令《中国人民银行关于发布金融行业标准做好个人金融信息保护技术管理工作的通知》,并陆续由各地银保监、证监会印制转发
2020年3月7日,GB/T35273-2020《个人信息安全规范》正式发布
2020年3月11日,APP专项治理工作组制定了《App违法违规收集使用个人信息自评估指南》
进一步将这些主要标准、检测要求进行合并同类型,可以总结如下:
金融行业个人隐私合规监管特点呈现出双轨监管和体系化监管趋势。除了要满足相关部委的要求以及满足App个人信息保护相关的标准规范外,还应遵循中国人民银行和银保监会的监管要求。
这门必修课的要点和难点是什么?如何正确理解这道题?
原有的解决安全问题的逻辑层次和方式通常是提出一个问题(需求),通过聚焦一个技术点找到一个可行的方法去开发(购买)一个产品,这是一个单线程的问题,基于这个逻辑,可以很快找到一个解题方法,去解开这道题。
例如:边界隔离问题是如何解决的?
例如:我们是怎么解决恶意流量可视化的
但是,合规复杂度、复合度、难度的挑战,突破了原有解决安全问题的逻辑层次和方式,这些双轨监管和体系化监管的需求综合在一起是一道综合题,也就意味着单纯的技术思维并不能解决个人信息合规的问题,需要用高维方法来解题。
第一步,需要了解什么是个人信息安全以及个人信息安全包含的维度?
先看2个关于个人信息保护实践中遇到的问题:
案例一:
背景:我方协助某TOP券商进行JR/T 0092的合规性评估
问题:0092中要求针对大额金融交易,要增加二次验证。对于证券银证转账场景,是否需要满足这条要求呢?
困难点:
1、0092的要求,但不符合证券公司业务特点
2、银证转账是否属于大额交易,技术人员很难确认
案例二:
背景:我方协助某金融单位进行”APP安全认证”整改工作
问题:关于隐私政策的告知,该银行多方部门有较大争执
争执点:
1、我方和该行安全部门建议执行“不同意隐私政策即退出 ”方案
2、业务方反对,认为会降低客户获得率,降低KPI,建议用“我知道了”替代明确的“同意”,且认为XX银行也是这样设计的,肯定没问题
3、开发中心认为两种方案均可,工作量均可接受
从上面两个例子可以看出,个人信息是建立在信息安全与数据安全之上的更高层安全,涉及面也远远不止与理解什么是个人信息就够了,需要结合政策从隐私政策、泄露通知、去标识化、用户权利、传输(共享)、DPIA等综合理解。
第2步,哪些问题增加了这个题的难度?
先看一个案例:
背景:某金融科技公司进行网信办隐私保护要求的评估
问题:该APP中内嵌有上百个业务链接,牵涉到多个开发部门,上千个研发测试人员,如何保证一个新业务上线的时候是合规的?
困难点:
1、仅靠意识提升,见效太慢,且无法解决新陈代谢的矛盾
2、开发组件复杂,且内部暂时缺少管理机制,进一步增加隐私保护的难度
3、业务主导强势,不能影响上线效率
这些困难点其实在很多企业里都是非常现实的存在,从中可以发现可视度不足增加个人信息合规困难,现实中需要通过增加管理和数据的可视度去透视软件构成以及可能存在的违规行为。
A.软件构成:使用了哪些第三方组件以及组件的迭代
B.违规行为:频繁读取权限;获取系统应用列表;读写外置存储卡;组件的行为
C.数据可视度:Cookie中含有的内容;流量中载荷(比如位置数据)
D.管理可视度:上线流程;开发过程
解题思路:企业如何做好隐私合规
1、基本要点及考察知识点
按照知识点梳理,从基础性工作、最小化使用权限、信息共享和专访、隐私政策设计原则进行综合全盘考虑。
基础性工作包括数据清册、充分告知、APP防逆向。
数据清册要搞清楚数据从哪里来,到哪里去,谁负责,数据分类分级如何做。数据清册是开展金融个人信息保护的基础,在数据清册过程中可以梳理管理性问题;一般来说个人金融信息清单及分类可参考如下:
充分告知即向用户告知声明的内容及告知过程、路径等;
APP防逆向可以防止业务逻辑暴露带来的攻击面变化,防止内部数据被读取导致的背锅,防止本地的数据泄露,防止动态注入导致的数据泄露等;一般来说,由于金融APP保护的个人数据价值较高,因此建议采用高强度加固。
做有中国特色的“最小化使用权限”
如下图所示,左边是一个非常规范的最小化使用权限的案例,只获取和业务相关的权限,右图获取的权限很明显并没有遵从最小化使用权限的原则,是不符合最小化使用权限的原则的。
怎么样确定适合自己的最小化使用权限原则呢?需要通过管内抓外,提高全员意识,解绑业务场景、安全策略对权限的依赖,管理好第三方组件,内外结合才能更有保障地实现最小化使用原则,收集个人金融信息需要注意以下事项。
在信息的共享和转让过程中应注意管理好第三方,对应用数据进行去标识化、匿名化处理,做好个人金融信息安全影响评估。
针对第三方管理应通过合同或者类似方式进行具体要求,约束好第三方行为:
1)C3以及C2类别信息中的用户鉴别辅助信息,不应委托给第三方机构进行处理;
2)强制去标识化处理;
3)通过合同等方式规定受委托者的责任和义务;
4)审计第三方SDK行为,发现超过约定行为及时切断接入;
5)对受托者进行安全检查和评估;
6)受委托者未能按照要求处理的,委托方应及时告知金融业机构,采取补救措施,必要时应终止其处理。
去标识化处理的合规难点在于数据如何在进行去标识化和匿名化的同时又能保证业务数据的正常流转,通常可通过混淆技术、加密技术、屏蔽技术进行实现。
需要开展个人金融信息安全影响评估(DPIA)的情形需要覆盖系统开发、信息共享和软让前、公开披露、汇聚融合、系统重大变动前等,如下图所示。
Privacy by design需要在组织内部落地SDLC,并且在SDLC的各个阶段引入隐私保护并做好持续跟踪。
2、参考解题步骤
以上分析来自梆梆安全咨询。
来源:freebuf.com 2020-07-14 13:10:11 by: 梆梆安全
请登录后发表评论
注册