数据安全合规之安全与隐私建设

数据安全合规之安全与隐私建设

一、 我国网络安全政策标准发展

1、 网络安全政策发展

2、 App数据安全政策

二、 动态及规划

21年我国数据安全领域的主要监管动态：

未来，我国数据安全的发展方向：

按照发展方向，我国数据安全制度的建设主要围绕如下进行：

三、 建设要点

1、 数据分级分类

2、 数据资产盘点

3、 数据安全全生命周期要点

（1） 采集合规

l 在APP首次运行、注册登录等环节通过弹窗、勾选框等明显方式提示用户阅读《隐私政策》。

l 不要用“好的”、“好”、“我知道了”、“我了解”、“我知晓”、“我已阅读”、“立即使用”、“下一步”等无法清晰表达用户同意的词语。

l 收集个人生物识别信息前，应单独告知目的、方式、范围以及存储时间等规则，并征得个人信息主体的明示同意。

l APP运行时，向用户索取电话、通讯录、定位、短信、录音、相机、存储、日历等权限，用户拒绝授权后，APP不应直接退出/关闭/白屏、无法注册/登录或者不断弹窗申请权限。

l APP申请敏感权限时应同步告知目的。

l APP、SDK的初始化行为应放到同意隐私政策之后。

l 应在明确的服务对应场景时申请权限，APP未见提供相关业务功能或服务，不应提前申请通讯录、定位、短信、 录音、相机、日历等权限。不应在用户授权同意相关权限前就开始调用。

（2） 数据安全访问-数据脱敏

（3） 数据安全访问-权限管理

（4） 数据安全导出

（5） 数据共享管理

（6） 数据销毁

APP要提供有效并且简单易操作的账号注销功能，同时注销条件限制合理。注销提供条件不能多于注册时的条件。使用联合登录方式的账号注销，仅应解除关联或匿名化处理本APP内账号关联信息。

（7） 数据安全审计