当前位置：首页 > news >正文

隐私保护与数据安全合规（七）

news 2025/9/20 8:56:36

前言

笔者准备从渗透测试转向数据安全，本文算是自己学习的笔记产出，如果有任何偏差和遗漏，欢迎各位大佬的指正。

一、在线协议

在线协议是外界对公司合规情况最直观的了解渠道，也是用户、第三方公司、监管机关最关注的内容，一定程度上是公司的合规脸面。
在线协议包含哪些？
1. 用户协议
  1. 明确双方权利义务及责任，帮助企业应对纠纷、履行举证义务。涉及合同法、知识产权法、消费者权益保护法等诸多领域。
2. 隐私政策
  1. 作用：向用户阐释公司如何收集、使用、存储及保护用户个人信息，用户如何行权，企业的响应方式等。
  2. 根据法律法规要求，该协议要独立成文。如果涉及到第三方插件或者处理儿童（低于14周岁）用户个人信息的，需要有“第三方共享个人信息清单”和“儿童个人信息保护声明”。
3. 隐私保护设计
  1. 这一项不属于在线协议，但产品在开发初期就应该将隐私保护融入其中，避免后面因为不合规大整改，而造成不必要的损失。
起草《隐私政策》的注意点
1. 明确隐私政策适用的产品类型。
  1. 《隐私政策》可以分为“总-分”式或者“单对单”式。
  2. “总-分”式适用于集团性企业、统一账号体系的企业以及各产品间有较大共通处的公司。当相同部分发生变化时，调整“总”政策；当单线部分发生变化时，调整“分”政策。
  3. “单对单”式隐私政策适用于产品类型单一或者产品类型彼此独立的情况，在产品更新时可以有针对性的调整。
2. 明确产品适用对象的年龄。
  1. 涉及14周岁以下未成年的，单独定制儿童个人信息保护指引。
  2. 涉及14~18周岁未成年的，以专章的形式对公司如何保护未成年的个人信息进行说明。
3. 充分梳理产品中涉及个人信息处理的功能类型、每类功能对应处理个人信息的字段及目的、与第三方之间信息传输的情况（包括嵌入第三方插件的类型、第三方合作伙伴的身份、处理个人信息的类型及目的等内容）及App调用设备权限的情况等内容。
  1. 明示收集使用个人信息的业务功能。
  2. 列出各业务功能收集个人信息的目的、类型、方式范围。
  3. 《隐私政策》应对申请的所有涉及个人信息的权限进行说明，同时说明申请的目的。
    1. Android可收集个人信息权限:GET_TASKS、日历、通话记录、相机、通讯录、位置、麦克风、电话、传感器、短信、存储、身体活动。
    2. Android特殊敏感权限:BIND_DEVICE_ADMIN(设备管理器)、BIND_ACCESSIBILITY_SERVICE(辅助模式)、BIND_NOTIFICATION_LISTENER_SERVICE(监听通知栏)、SYSTEM_ALERT_WINDOW(悬浮窗)、PACKAGE_USAGE_STATS(读取应用使用情况)。
    3. IOS可收集个人信息权限：日历、提醒事项、相机、麦克风、通讯录、面容ID、健康、家居、定位服务、媒体库、运动与健身、照片、语音识别。
  4. APP，小程序，检查二级菜单是否有个人信息清单以及与第三方共享个人信息清单。
  5. 《隐私政策》中应逐一列出SDK(包括委托的第三方或嵌入的第三方代码、插件、H5页面、小程序、开源框架、开源工具等)收集使用个人信息的目的、方式、范围(收集的个人信息类型)。
    1. SDK逐一列举应包括SDK名称、使用目的、收集的个人信息、SDK厂商。
4. 明确公司的个人信息保护水平，应符合业内的一般性标准。
  1. 若已取得“网络安全等级保护认证”、“ISO体系认证”等国内国际认可的安全认证证书的，应在《隐私政策》中写明。
    1. 参考《信息安全技术个人信息安全规范》（GB/T 35273-2020）附录D的模板内容。

若尚未取得，则尽早落实《网络安全法》要求的网络安全等级保护义务，并视实际需求准备其他安全认证证书（如ISO 27701）。
明确公司对个人信息的存储地域、时限要求以及是否涉及个人信息出境。
1. 若存在个人信息出境情形，应在《隐私政策》逐一列举出境的个人信息类型字段、对应目的、接收方身份、用户向境外接收方行使权利的方式和程序等内容，并显著标识。
2. 若使用国外第三方SDK收集个人信息，如google、facebook等，应在《隐私政策》中说明涉及的个人信息类型，并进行显著标识。
3. 关注存储时限的要求，满足服务所必需的最小期限或法律法规要求的最小期限，以及说明超出存储期限时的处理方式。
在《隐私政策》中，为个人信息主体提供“访问、更正、删除其个人信息，撤回授权，注销账号”等行权以及联系公司的途径。
1. 检查App内，或《隐私政策》中是否提供有效的查询、更正、删除个人信息及注销用户账号的途径，《隐私政策》中注明的，经证实无法完成相关操作的，视为无效途径。查询、更正、删除个人信息和注销账号的过程简单易操作，不设置不必要或不合理的条件。
2. 《隐私政策》中应说明撤回同意收集个人信息的的具体操作方法，且实际操作能完成撤回。
3. 关于个人信息副本的获取，头部企业App已经通过个人信息导出功能来获取，进一步降低用户电话沟通索取的成本和时效性。
明确更新机制。
1. 在《隐私政策》中写明重大更新的场景以及对应的通知方式等内容，与一般性的更新进行区分。

二、内部管控

对于在线协议中写明的内容，公司可能会怠于执行或者根本不执行，导致用户投诉、合作终止、监管处罚等后果。所以公司内部的管理也至关重要，以下是常见的雷区及解决方案。

各部门间职责业务不清晰，可能出现工作重叠或存在空白区的情况。
1. 公司组成数据合规专项工作小组，从公司的管理层，法务部，产品部门、技术部门等相关部门指派专员参加，以便同步各部门情况，并建立相关制度，明确小组及小组成员的职责义务。
个人信息处理行为不规范
1. 制定个人信息合规保护指引作为企业内部合规参加指引，并定期举行合规培训，了解法律法规的要求以及更新情况。个人信息合规保护指引可以参考：https://taptap-privacy-compliance.oss-cn-shanghai.aliyuncs.com/report/APP%E9%9A%90%E7%A7%81%E5%AE%89%E5%85%A8%E9%97%AE%E9%A2%98%E5%90%88%E8%A7%84%E6%8C%87%E5%BC%95_V2.pdf
未设置访问权限控制措施
1. 设置权限分化机制。根据岗位实际义务分配访问权限，并遵循最小权限原则。
未明确与第三方之间的权利义务关系
1. 按照数据处理者和数据控制者的角色分别制定与第三方之间的合作模板。公司作为数据处理者时，一般会作为数据的接收方，应当要求委托方承诺其数据来源的合法性，并在合同中明确所有处理行为均基于委托者的委托；公司作为数据控制者时，一般会作为数据的提供方，在合同中严格限制受托方处理数据的范围，保留对方受托方进行审计的权利，并明确在合同履行完毕后，受托方应当按要求删除受托数据。
数据安全保护能力不足
1. 虽然公司通过了网络安全等级保护三级认证，但是很多员工都不理解等保系列文件中术语的含义，也不知悉每份文件的具体用途。所以企业可以将等保制度结合到已经制定的内部制度中，比如在个人信息保护指引中将技术要求单独成章，尽量以简洁易懂的语言将比较核心且重要的内容在该章中进行约定（如存储、传输个人信息等高敏数据时必须加密、数据分类分级存储等），方便各部门员工理解。
对关键岗位员工及第三方合作伙伴未进行背景调查
1. 针对拟担任关键岗位的员工，HR部门应事先做好背景调研，对于拟录用的员工中有因自身重大过失而导致安全事故发生、受到行政处罚、被采取重大行政监管措施、受到刑事处罚等的员工，应该及时告知法务部门，由法务部按法律法规要求评判该员工是否可以录用。针对第三方合作伙伴，应该制定第三方合作准入机制，以合规情况问卷或清单的方式要求第三方合作伙伴据实回答。第三方对问卷及清单的答复应留存记录，便于日后确有与该第三方相关的安全事件发生时，向监管举证，适度降低自身的合规责任。
安全事件的应急处理流程不规范
1. 公司应当围绕“数据安全事件”建立一系列规范制度，包括事前的安全运维、日常培训、定期演练；事中的应急预案、公关话术、及时通知、减损措施；事后的事件复盘、体系制度完善及内部追责等。