App安全認證工作正式開展證書不等於“免死金牌”

近日，雲閃付、蘇寧易購、中國移動、百度地圖等10家企業的18款App（移動網際網路應用程式）獲頒安全認證證書，標誌著我國App安全認證工作正式開展。

2019年3月，國家市場監管總局、中央網信辦聯合發佈《關於開展App安全認證工作的公告》，其中明確認證機構為中國網路安全審查技術與認證中心。

到今年6月，審查認證中心按照公告部署，從申請企業中選擇了28款App進行認證試點工作。其中，有18款App在認證過程中通過技術驗證和現場審核，通過認證決定，具體名單為：雲閃付（Android、iOS）、蘇寧易購（Android、iOS）、中國移動（Android、iOS）、百度地圖（Android、iOS）、同程旅遊（Android、iOS）、藝龍旅行（Android、iOS）、車輪（Android、iOS）、老虎遊戲（Android、iOS）、藝氣山（Android）、CTID（Android）。

據悉，認證環節主要包括認證申請和受理、技術驗證、現場審核、認證決定、證後監督等。審查認證中心網站上公佈了受理電話，對客戶統一受理認證申請，技術驗證由審查認證中心指定的簽約實驗室執行。違反相關法律法規的App運營者不得申請認證。獲證App運營者在認證過程中存在欺騙、隱瞞、違反承諾等不當行為，認證機構將撤銷認證。

中國網路安全審查技術與認證中心主任魏昊介紹稱，開展App安全認證工作，主要是建立、完善權威公信的App安全認證體系，利用市場選擇機制引導App運營者規範個人資訊收集、使用、轉讓等行為，為數據安全綜合治理提供基礎性技術支撐，規範市場秩序。同時，將App安全認證作為一種常態化機制在App治理工作中的積極作用發揮出來，減少各行業管理部門的重復檢測和評估，降低企業負擔。

魏昊表示，針對App版本迭代頻率高的特點，審查認證中心建立了持續監督工作機制，相關平臺已經上線運作，實現對獲證App持續符合性的自動化、智慧化監測，充分利用網際網路發揮網民監督、投訴舉報的作用。

應用程式索權過度

安全認證規範秩序

近年來，App廣泛應用於購物、娛樂、事務辦理等方方面面，其在促進社會經濟發展、服務民生等方面發揮了不可替代的作用。然而，在消費者使用過程中，App有時會索取部分個人資訊使用許可權。與此同時，App運營企業未經消費者同意將收集來的個人資訊濫用於商業推廣、廣告推送、大數據“殺熟”等，令消費者不堪其擾。更為惡劣的是，這些資訊可能被不法分子用於網路詐騙，人民群眾的合法權益受到嚴重威脅。

相關數據顯示，工信部2020年累計巡查4.8萬餘款App，專項檢查了200多款App。今年以來，公安部依託網民舉報、巡查發現，依法處置了7000多款存在違法違規行為的App。

在中國傳媒大學文化産業管理學院法律系主任鄭寧看來，App安全認證制度的建立和實施，旨在幫助政府部門充分利用市場選擇機制的引領作用，營造良好的App消費使用環境，建立規範化的收集、使用個人資訊的App行業生態。

鄭寧分析，App安全認證制度的主要作用包括以下三點：第一，App安全認證由具備資質的認證機構開展，經評價合格的産品能夠滿足相關國家標準對App收集、存儲、傳輸、處理、使用個人資訊等活動的各項要求，可以充分保障消費者的個人資訊安全；第二，App運營商在認證實施過程中，通過建立體系、接受檢查等環節，可以進一步規範自身的App研發和推廣行為，有助於提升其個人資訊保護意識和能力；第三，兩部門還鼓勵搜索引擎和應用商店優先推薦獲證App，滿足廣大網民面對魚龍混雜的App時亟待由權威第三方機構對App個人資訊安全保護水準進行評價證明的迫切需求，引導消費者選用安全的獲證App産品。

北京市盈科律師事務所高級合夥人韓英偉則認為，10家企業的18款App獲頒安全認證證書，對於建立健全具有公信力的App安全認證體系，規範App運營者收集、使用個人資訊，保護用戶資訊安全，維護有序的市場秩序具有重大意義。

安全認證成為趨勢

保護意識不可降低

不過，鄭寧提醒：“雖然已有18款App獲得安全認證，但這並不代表以後App都要經過安全認證才能上線。”

他進一步分析，根據《移動網際網路應用程式(App)安全認證實施規則》，認證需按照App運營商自願申請的原則，因此未經過安全認證並不能妨礙App上線。但是，對App經營者來講，申請安全認證可以向公眾彰顯其保護個人資訊數據的決心，在認證過程中通過採取適當的技術與組織措施來提高數據合規能力，可以形成競爭優勢，贏得更多用戶的認可與信賴。而且國家鼓勵搜索引擎和應用商店優先推薦獲證App，引導消費者選用安全的App産品，相信未來安全認證會成為App運營者主動選擇的程式。

韓英偉也認為，獲證App可以在應用市場、搜索引擎使用認證標誌，向消費者和用戶傳遞安全信任，引導網民在下載同類App時優先選擇已獲安全認證的App。

那麼，經過安全認證後的App，用戶是否可以放心下載使用？

韓英偉説，App若獲得安全認證，説明其目前的各項標準都已經符合相關市場監管要求，用戶在使用上和心理上都是更為放心、可靠的選擇。但是，成為安全認證App的一員，並不意味著App就此有了“免死金牌”，有賴於相關部門的持續有效監督。用戶還是需要根據App評價、運營方等綜合判斷。

鄭寧也認為，App經過安全認證僅能代表其在認證時符合國家標準，並不代表之後將一直處於合規狀態，這也是行政監管部門持續監督的原因所在。也就是説，App獲得安全認證不是終點，而是企業持續落實相關法規和標準要求的新起點。即便是獲得安全認證的App運營者，也應堅持獲證後自評價及自身業務內審，並配合認證機構的監督工作。所以，用戶只能將安全認證作為App合規的初步信號，不能因此降低個人資訊保護的意識，而是應當在App使用過程中持續監督運營者是否合規。

得到安全認證後的App，如若出現個人資訊收集、使用、轉讓不規範的問題，是否會面臨更重的處罰？

鄭寧對此分析，根據《移動網際網路應用程式(App)安全認證實施規則》，App獲證後，如果在監督中發現不合規現象，認證機構應要求獲證App運營者在限期內進行整改，並對整改結果進行驗證，未在規定期限內完成整改或整改結果未通過驗證的，暫停、撤銷或登出認證。所以，獲證之後的不合規行為僅會導致證書被撤銷的後果，並不能因此加重處罰，違規行為還是應當按照相關法律規定進行處罰。

韓英偉則認為，目前雖尚無具體規定，但根據立法本意，得到安全認證後，出現個人資訊收集、使用、轉讓不規範問題可以作為加重情節。得到安全認證的App如果出現運營不規範的問題依然要承擔責任，甚至會受到更嚴厲的監管或處罰。審查認證中心建立了持續監督工作機制，可以實現對獲證App進行智慧化監測。一旦出現違規問題，即會面臨被處罰及名單資格取消，更強化了安全認證名單的權威性和嚴謹性。

嚴防違法安全認證

建立合規行業生態

在鄭寧看來，安全認證的開展將會使App運營商更加注重用戶的個人隱私保護，在行業內起到良好的示範作用與合規風氣。但是，App安全認證想要充分發揮效能，也需要與傳統認證項目一樣，由各相關方共同支援和發力，共同營造一個公平、公正、有序、健康的市場環境。

鄭寧建議：對於行政監管部門，市場監管部門要嚴查偽造、冒用認證證書、認證標誌的App産品及其運營者，進一步加強對App安全認證工作的指導和監管，網信部、工信部等國家部委要加強對認證結果的採信和應用；對於App運營商而言，需要主動提升對消費者個人資訊的保護意識，積極申請認證，配合認證機構的認證實施和持續監督，按要求在規定範圍內適用認證證書和認證標誌，自覺接受監管部門的管理；對於普通消費者而言，在選擇App時著重選擇能夠滿足使用要求的獲證産品，同時，要將在使用App尤其是使用獲證App過程中發現的違法違規問題和線索及時反饋給監管部門和認證機構。

“只有通過安全認證名單有進有出，形成優勝劣汰的管理機制，強化安全認證名單的權威性、公正性，才能更好地為個人資訊及數據安全護航。”鄭寧説。

值得注意的是，韓英偉提醒道，安全認證證書開始發放，標誌著App安全認證已經進入全面實施階段，引起了App使用者的廣泛關注，但同時也可能會出現某些不法分子為逐利而採取違法方式獲取安全認證的情況。

□ 本報記者 韓丹東

□ 本報實習生 蘇欣雨