夜雨聆风
数据|APP、小程序怎么审
在企业数据合规风险防控工作中,对APP、小程序的业务场景常以研发开发设计阶段作为切入点,确保在上线前符合国家法律法规的要求。否则,会导致平台审核不通过不允许APP上线、上线后受到监管部门的“例行排查”,要求在较短的时间内完成整改。
实践中,法务会通过嵌入产品研发项目的方式,对APP、小程序的开发及功能迭代进行合规管控。本文主要梳理了这一管控场景下的个人信息合规审核思路及经验。
对于法务而言,需要将研发方案理解并识别可能的风险点,是最为困难的一步。
根据研发、产品同事提供需求说明书及设计相关文件,罗列该项目涉及数据处理内容,如:
-
收集哪些数据?
-
收集的目的及必要性是什么?
-
是否涉及分享给第三方?
-
数据存储方式、存储时间?
-
数据的传输流程是什么?
-
内部员工处理的分工是什么?
基于上述梳理的结果,初步评定该项目的合规关注点。
为避免理解差异,在此过程中需要与研发、产品等同事进行沟通确认,并通过书面形式留痕。
✍法务的方案意见,是需要基于业务实况输出的;而业务的实况,是需要研发、产品等需求端同事共同确认的。
经过多轮沟通确认后,法务输出最终的整改方案。一般可能涉及下述几方面:
-
APP、小程序的页面设计合规要求
-
APP、小程序的隐私政策、双清单等文件
-
个人信息保护安全影响评估(PIA)
✍作为公司法务,在合规方案上需考虑技术开发成本、后续迭代成本等因素。应在合法合规的基调上,提供多样化合规方案,并说明各方案优缺点,供需求端及项目组决策。
要闻