自2012年12月全国人大常委会表决通过《关于加强网络信息保护的决定》，首次提出“保护公民个人电子信息”概念以来，经过了近10年的发展，2021年8月20日十三届全国人大常委会第三十次会议表决通过了《中华人民共和国个人信息保护法》（以下简称《个保法》），并于2021年11月1日起生效，意味着中国的个人信息保护进入了新的时代，这将对个人以及企业产生深远的影响。

在当前个人信息保护要求提高，人民群众个人保护意识提升的背景下，个人信息保护合规对企业来讲迫在眉睫，毕竟企业若违反《个保法》则可能会导致高达五千万元人民币或上一年度营业额百分之五的罚款，可以说合规即是创收。

除《个保法》外目前针对个人信息保护的国家标准、行业标准以及各类指南有很多，较为具有代表性的有如下几个：

1. 《GBT35273-2020 信息安全技术个人信息安全规范》（以下简称《35273》）

2. 《JR/T 0171-2020 个人金融信息保护技术规范》（以下简称《0171》）

3. 《App违法违规收集使用个人信息行为认定方法》（以下简称《方法》）

4. 《移动互联网应用程序(App)系统权限申请使用指引》（以下简称《指引》）

5. 《常见类型移动互联网应用程序必要个人信息范围规定》（以下简称《规定》）

CFCA个人信息保护合规检测服务介绍

针对以上标准，CFCA开展针对性的检测业务，为客户提供个人信息保护合规检测服务。

· 金融科技产品认证

为了满足金融行业发展与监管要求，市场监管总局、人民银行将原先支付技术产品相关规范进行拓展，确定了《金融科技产品认证目录(第一批)》，明确规定了金融科技产品范围，并发布了《金融科技产品认证规则》，将对市场上的金融科技产品展开认证工作。

CFCA根据中国人民银行要求，以《方法》、《JR/T0092-2019 移动金融客户端应用软件安全管理规范》等规范为依据，对金融类移动客户端软件展开合规性检测工作。

其中《方法》规定了个人信息处理的31项要求，涉及个人信息的收集、传输、存储、使用等方面，检测内容包括：公开收集使用规则；明确说明收集使用目的、方式、范围；征得用户同意；遵循必要原则；共享前征得用户授权；保护用户处理个人信息的权益等方面，侧重于移动客户端的合规，适用于金融类App的运营者。

· App安全认证

中央网信办、工业和信息化部、公安部、市场监管总局于2019年1月25日发布《关于开展App违法违规收集使用个人信息专项治理的公告》，决定自2019年1月至12月，在全国范围组织开展App违法违规收集使用个人信息专项治理。

2019年3月15日，市场监管总局、中央网信办发布《关于开展App安全认证工作的公告》，决定开展App安全认证工作，由中国网络安全审查技术与认证中心对移动互联网应用程序（App）开展认证工作。

CFCA受中国网络安全审查技术与认证中心委托，依据《35273》对目标App的个人信息收集、使用、共享、转让等行为展开合规性检测工作，并出具相应的检测报告。

此服务包含个人信息合规检测项上百，涉及个人信息的收集、传输、存储、使用的各个流程。除移动客户端的个人信息合规检测，还包含了企业的各项管理制度及其实施情况的合规检查。检测内容包括：个人信息收集的合法、必要、用户自主、授权同意、例外情况；个人信息的传输存储、使用规范；个人信息主体查询、更正、删除、撤回授权、注销账户、获取副本的权利；个人信息的委托处理、共享、转让、公开披露、跨境传输等内容。检测要求更细致，检测项覆盖范围更广，检测标准适用全行业的App运营者。

· 隐私合规检测

针对客户不同类型的要求，CFCA支持定制化的隐私合规检测。可以根据客户需求，定制化选择检测标准和检测方法对目标进行检测。如客户可选仅针对App收集行为进行检测，或选择结合《35273》、《0171》、《方法》、《指引》等规范进行综合检测，检测内容和范围更灵活。

CFCA个人信息保护合规检测服务优势

App研发过程中人员流动、三方代码引入、开发人员个人信息保护意识不足等原因都可能会导致App出现意料之外的违规采集处理个人信息的行为，且此类问题难以人工检测。针对以上App个人信息合规检测中的难点问题，CFCA自主开发了个人信息检测平台，从静态、动态对App引入的第三方代码、App行为进行检测和监控，助力企业合规发展。目前，CFCA完成App个人信息合规检测累计已超数百款。

中国金融认证中心（CFCA）在中国人民银行和中国银联的领导下，历经20余年积淀，发展成为以网络安全综合服务为核心的科技企业。多年来，服务客户覆盖能源、交通、水利、金融等重要基础设施行业，助力客户满足国家网络安全要求，全面提升网络安全防护能力。

责任编辑：韩希宇