9月20日上午,2020年国家网络安全周“App个人信息保护”主题发布会在京举行。会上,中国网络安全审查技术与认证中心检验检测部处长魏军对App检测评估机构能力要求进行了介绍。他表示,2020年62家检测机构的App个人信息安全测试结果将于9月底发布,初步结果显示满意率为63%。
中国网络安全审查技术与认证中心检验检测部处长魏军。摄/实习生 孙逸辉
据了解,按照中央网信办等四部委发布的《关于开展App违法违规收集使用个人信息专项治理的公告》和中央网信办、市场监管总局发布的《关于开展App安全认证工作的公告》,中国网络安全审查技术与认证中心负责开展对检测评估机构的能力评价工作。
魏军表示,“对检测机构进行能力确定的目的,是为了促进App检测评估机构不断规范行动、提高水平、确保结果的科学性和真实性,同时也是加强对检测评估机构的监督管理。”
回顾2019年App检测评估能力验证情况,共有22家检测机构参与评估,主要机构来自北京。结果显示,其中13家的检测结果为满意,满意通过率约为59%。
今年以来,共有62家检测机构参与App个人信息安全测试,“这次发现来自上海、广东等地的机构多了起来”,魏军表示,此外,中央网信办等四部委直属的专业机构几乎都参加了本次测试。目前初步结果显示,今年能力验证满意率为63%,较去年稍有提升。魏军称,具体结果将于九月底发布。
通过两轮的能力验证,中国网络安全审查技术与认证中心对测试结果进行了分析。魏军表示,在App检测评估机构中,存在部分机构的从业人员对测试相关标准规范的理解存在偏差、检测结论无法溯源、检测结果描述模糊且证据不充分、未对自动化检测工具的结果进行人工分析等不足。
而鉴于App安全测试的复杂性,评估人员需要较强的综合能力,魏军说,“我们下一步建议还是要不断地提升检测评估人员的技术水平。”
此外,对检测评估机构的其他能力要求方面,魏军从基本资质要求、组织管理要求、人员及设施和设备要求三个角度进行了分析,具体包括评测机构或其母体需取得实验室资质认定和司法所的认可、评估过程和结果的可追溯性、评估机构工作的独立性、评估人员须签订安全保密责任书等要求。
对于下一步工作,魏军表示,首先是于9月底向国家质检总局、市场监管总局呈报本次能力验证结果,完善App检测评估机构能力评价体系,并计划于10月发布第一批机构目录清单。
采写:实习生 白小皛 南都记者 李慧琪
编辑:蒋琳