近日，國家網信辦相繼對多個互聯網平臺App實施網絡安全審查，并要求存在嚴重違法違規收集使用個人信息問題的App下架，掀起輿論一片嘩然。這幾年，國家網信辦會同工信部、公安部、市場監管總局持續開展App違法違規收集使用個人信息治理工作，并取得積極成效，但是一些App強制授權、過度索權、超范圍收集使用個人信息的問題仍然屢禁不止。

早在2019年，市場監管總局、中央網信辦即決定開展App安全認證工作，對 App收集、存儲、傳輸、處理、使用個人信息等活動進行合格評定，并指定中國網絡安全審查技術與認證中心（CCRC）作為此項認證的認證機構。

App安全認證適用于任何具有收集、存儲、傳輸和使用個人信息行為的App。App安全認證通過后，CCRC將頒發認證證書。那究竟如何開展App認證工作呢？目前主要依據《信息安全技術 個人信息安全規范》(GB/T 35273)、《移動互聯網應用程序（App）安全認證實施規則》以“技術驗證+現場審核+獲證后的監督”的模式開展，認證流程為：

1.申請受理

申請方向認證機構提交申請材料，認證機構對申請材料進行文件審核，向申請方反饋受理決定，對于受理的申請，申請方需確認技術驗證的App名稱和版本信息。

2.技術驗證

認證機構指定的檢測機構依據標準和技術規范實施技術驗證，出具技術驗證報告。技術驗證采用實驗室檢測和現場核查結合的方式。實驗室檢測時，檢測機構按照申請書中描述的樣品獲取方式獲取樣品，在檢測機構場所實施檢測；現場核查時，檢測機構到申請方運營現場進行評估。發現不符合時，檢測機構向申請方出具不符合報告，并要求限期整改；逾期未完成整改的，中止認證過程。

3.現場審核

認證機構按照現場審核規范實施現場審核，出具現場審核報告。發現不符合時，認證機構向認證申請方出具不符合報告，并要求限期整改；逾期未完成整改的，中止認證過程。

4.認證決定

認證機構根據申請資料、技術驗證結論和現場審核結論等進行綜合評價，做出認證決定。認證決定通過后，認證機構向申請方頒發認證證書，并授權獲證App運營者使用規定的認證標志。認證決定不通過的，終止認證。

5.獲證后的監督

認證機構對獲證App進行實時在線監測，重點監測：渠道一致性、版本一致性、持續合規性、認證標志使用合規、安全性等內容，并開通了網民監督投訴舉報渠道。同時，獲證App運營者對獲證App持續符合認證要求的情況進行自評價。當出現如下情形時，獲證App運營者應向認證機構提交自評價報告：

（1）獲證App的分發渠道發生變化；

（2）認證標志使用情況發生變化；

（3）獲證App隱私政策發生變化；

（4）獲證App收集、處理和使用個人信息的目的、類型、方式發生變化；

（5）獲證App運營者對所收集個人信息的共享、轉讓、公開披露的對象、方式和目的發生變化；

（6）獲證App運營者收到獲證App個人信息保護相關的投訴舉報。

App安全認證工作將利用市場選擇機制的淘汰和正面示范效應，引導App運營者進一步規范個人信息收集、使用、轉讓等行為，在一些涉及個人敏感信息的關鍵領域，形成事實上的安全準入門檻，為數據安全綜合治理提供基礎性技術支撐，為努力營造起健康的App安全生態，減少各行業管理部門的重復檢測和評估，切實降低企業負擔起到積極作用。

在CCRC承擔的2020年國家級檢驗檢測機構能力驗證計劃“移動互聯網應用程序（App）個人信息安全測試”項目中，中國金融認證中心（CFCA）已通過CCRC的檢測能力驗證。CFCA能為App研發、測試、部署、上架、運營等全生命周期提供質量與安全合規把控，以一站式服務提升企業機構的App整體運營水平。

責任編輯：王超