8月9日消息,全国信息安全标准化技术委员会秘书处公布了《信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)》(以下简称规范),并为落实相关工作,现公开向社会征求意见,意见反馈截止时间为2019年8月31日24:00。
据规范要求,移动互联网应用收集个人信息应遵行以下原则:权责一致、目的明确、最少够用、选择同意、公开透明、确保安全。此外,规范还给出了基本业务功能必要信息,针对地图导航、网络约车、即时通讯社交、社区社交、网络支付、新闻资讯、网上购物、短视频、快递配送、餐饮外卖、交通票务、婚恋相亲、求职招聘、金融借贷、房产交易、汽车交易这16类基本业务功能,给出了详细的必要信息范围及使用要求。最后,规范还明确了通用功能——安全风控、网络访问、客户服务的必要信息及所收集信息的使用要求。
个人信息安全问题近些年愈来愈严重,近期就有40多款APP被查出违规收集用户信息而要求整改,生活中垃圾短信、骚扰电话更是屡禁不止。但是,究竟哪些信息是必要的,哪些是过度索取却一直都没有一个明确的分界,也没有一个明确的约束机制。
而此次《信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)》的出台的目的正是推广网络安全标准、应对网络安全事件,改善网络安全状况,提高网络安全意识,不仅给违规收集用户信息的APP一个警醒,更是给了广大网友保护自身信息安全的“护身符”。
实际上即使发生了信息泄露,我们也很难发现自己的信息被泄露了,找不到泄露的源头,更无从取证进行诉讼,捍卫自己的利益。这是一个矛盾点,如果针对个人来说,是很难实现保护自己的信息的,虽然我们现在保护个人信息的意识越来越强。下面是给企业保护用户数据的小建议:
1、 企业应部署SSL证书。为了防止用户误入假冒网站/钓鱼网站的陷阱,企业网站应部署数安时代SSL证书或更高级别的EV SSL证书,将企业网站和钓鱼网站区分开,网址栏展示HTTPS、安全锁以及证书中的网站真实身份信息,让用户拥有足够的信息判断网站真实性,对比之下,假冒网站立显原形。
2、 企业应为软件进行代码签名证书。合法APP应使用代码签名证书签名软件程序,签名后的软件,可展示软件开发者的真实身份,同时证明软件在传输过程中没有被非法篡改或植入病毒木马,用户可通过证书,判断软件来源的真实性及软件程序的完整性。
3、企业应为员工通讯邮箱部署电子邮件证书,为保护客户的利益,维护客户数据安全。邮件用户使用GDCA邮件证书对电子邮件进行数字签名并加密传输,一方面可以保证邮件发送者身份真实性,另一方面保障了邮件传输过程中不被他人阅读及篡改,并由邮件接收者进行验证,确保电子邮件内容的完整性。
领取优惠
提交成功!