App自主安全認證機制?只限台灣廠商,不擋國外廠商?

敬請業界朋友注意,未來是否有逐漸發展以立法或是行政命令來強制檢驗 App 。看的清楚整個事件脈絡的朋友,可多關注,一般的 App 開發者與 這個 App 產業的力量,其實很薄弱,請多表達您的意見,如果你的 App 要在台灣上架的話。
評論
評論

 

(圖片來源:經濟部工業局)

本文作者為 App 跨界交流協會理事長 KNY,本文為他於稍早參與 App 自主安全認證機制相關會議紀錄,他於 今日亦於 Facebook 表示 :「2014 年底,我參加這個會議,並且表達 App 產業朋友的意見:「不希望有法律或行政命令層級的強制檢驗規範」。

敬請業界朋友注意,未來是否有逐漸發展以立法或是行政命令來強制檢驗 App 。看的清楚整個事件脈絡的朋友,可多關注,一般的 App 開發者與 這個 App 產業的力量,其實很薄弱,請多表達您的意見,如果你的 App 要在台灣上架的話。

我在 2014-11-26 參加的「手機 App 軟體基本資安規範」閉門會議 ,先說最後的會議結論與可能發展方向:(這是我的個人理解,目前尚未得到會議記錄)

我的理解應該是:一般市場的 App 資安檢驗,要交由官方或非官方,制定一個非強制性的「標章」,由 App 開發商自行自主申請檢驗。而檢驗的單位,或發行標章的單位,會議中沒有明確指出。

以下是整理這個計畫的脈絡,以及所取得可公開的資料,跟一些心得。簡單來說,這個會議的目的,就是要對 App,建立一個資安規範,由經濟部主管。

複雜的來說:

該會議屬於工業局的一項計畫「完備寬頻產業發展與智慧家庭連網應用推動計畫」中的子項計畫「手機 APP 軟體基本資安規範與驗測推動計畫」,而要擬定 此計畫 是依據「行政院國家資通安全會報第 26 次委員會議」決議,其中有一個決議事項:決議事項 (一):參考各國手機管制機制及我國相關業務分工,手機與電腦之應 用軟體 (包含 LINE) 基本資安規範由經濟部主管,惟手機屬電信法第 42 條規定之電信終端設備,其出廠時已內建之軟體仍併同硬體由通傳會主管;請前揭二部 會依此分工原則積極研議相關管理作為,並規劃制訂資安檢測標準及鼓勵廠商自主驗證等業務。

=====

行政院國家資通安全會報第 26 次委員會議紀錄 ,擷取其中一段決議:

 時間:103 年 6 月 24 日(星期二)下午 3 時
地點:行政院貴賓室
主持人:張召集人善政
(一)參考各國手機管制機制及我國相關業務分工,手機與電腦之應用軟體 (包含 LINE) 基本資安規範由經濟部主管,惟手機屬電信法第 42 條規定之電信終端設備, 其出廠時已內建之軟體仍併同硬體由通傳會主管;請前揭二部會依此分工原則積極研議相關管理作為,並規劃制訂資安檢測標準及鼓勵廠商自主驗證等業務。

該會報的會議記錄電子檔:(原始檔案來自於 台中市社會局的官方網站,我去 Google 來的)

http://www.slideshare.net/KNYChen/387040000-e0000000-0133564a00attch2

http://www.society.taichung.gov.tw/dfevent/index-1.asp?Parser=9,14,57,,,,2969

這邊可以看到,在台灣,一般市集上的 App 由經濟部主管,手機預載的 App 由通傳會 NCC 主管。

經濟部的工業局擔負了 App 資安規範的工作,所以有了這個計劃案,故在 2014-11-26 我參加了這個會議「手機 App 軟體基本資安規範」,該會議中的這份文件,經過主辦單位同意,可公開於網路與社群,請參考:

http://www.slideshare.net/KNYChen/app2014-1202v7

當天我在會議中,快速了瀏覽該文件最後的一些參考資料:『6. 參考資料』

6.1. Open Web Application Security Project (OWASP)
OWASP: Top 10 Mobile Risks
6.2. 美國
NIST: Technical Considerations for Vetting 3rd Party Mobile Applications
(Draft)
NIST: Cryptographic Algorithm Validation Program (CAVP)
NIST: Cryptographic Module Validation Program (CMVP)
Federal CIO Council: Government Mobile and Wireless Security Baseline
6.3. 歐洲
ENISA: Smartphone Secure Development Guidelines for App Developers
6.4. 大陸
YD/T 2407-2013 移動智慧終端安全能力技術要求
YD/T 2408-2013 移動智慧移終端安全能力測試方法
6.5. 日本
JSSEC: Security Guideline for using Smartphones and Tablets
6.6. 國際標準
ISO/IEC 27001 (Information security management)
ISO/IEC 20000 (Information technology -- Service management)
ISO/IEC 19790 (Information technology -- Security techniques -- Security
requirements for cryptographic modules)
14
ISO/IEC 15408 (Information technology -- Security techniques -- Evaluation
criteria for IT security)
ISO/IEC 14598 (Information technology -- Software product evaluation)
ISO/IEC 9126 (Software engineering -- Product quality)
6.7. 國內法律
個人資料保護法(民國 99 年 05 月 26 日)
電子簽章法(民國 90 年 11 月 14 日)

這份資料看起來大部分應該屬於 guideline(指引),當天表達了我身為開發者的觀點外,也反應了先前在社群收集到的意見回饋 (1),是希望盡量不要有過多的管制,頂多有「指引」(Guideline) 就好,而不是制定「規範」以上的等級,甚至是命令或法規。有一位教授也直接說希望這個計畫名稱改為「指引」(Guideline),而不是「規範」,因為 兩個名稱的涵義不同,力道也不同。 會議的最後方向,我的理解應該是要制定一個非強制性的「標章」,由廠商自行自主申請檢驗。

與會者有官方(經濟部工業局、通傳會 NCC、消保處、國家資通安全會報 (2)、學界、產業(資安檢測相關的,以及 App 開發業者),還有計畫的主辦資策會 iii,各方與「App 資安」這件事情有關利益相關者都有出現,詳細的會議名單,目前我只能這樣描述。
(因為我尚未取得當天的會議記錄,所以當天的閉門會議記錄,如果需要詳細的細節,請向工業局或是主辦索取。)
.

.

.

之後與這件事情相關活動:

公開的座談會,有兩場,有興趣的朋友,可以去參加:
2014-12-04
http://apppark.kktix.cc/events/informationsecurity

image

2014-12-22
http://www.cisanet.org.tw/Services/MACreate/e260f8ca-4f0d-49a6-b10f-f4df52a7ae70

image

各個單位都有自己的立場與想法,我是個開發者,個人對於這個「App 資安規範」(或 App 資安指引)的看法是站在開發者的立場來論述,我認為不該有 過度的強制性管制,我不是法律專家,但是在民刑法、個資法上面,應該都有基本的管制了,而且層級屬於法等級的,再者各個 App 市集上面也已經有對 App 開 發者的基本管制,也有個資、隱私權與限制開發商不可以做的相關規範 (3),當然本國行政單位也可以發布相關的命令進行規範,但是這是屬於另一個管制等級的討論。
然而,我比較擔心的是,如果非強制性的自主檢驗,未來是否會升級成為「強制檢驗」的制度,目前主要的 App 市集都是美商,如 Google 、Apple、Amazon、Microsoft ,如果行政單位要制定一個命令或是規範,的確是可以規範在台的分公司行為,但是如果當地沒有分公司的登記設立,對於沒有遵守法規的網路服務,該怎麼去處理 呢?而在台灣本地經營市集的公司,卻會被規範必須遵守,因為人、公司、行為、金流、資訊流全部都在本地,這樣的生態,是否可能會造成 App 產業,或是新創 服務的不公平競爭呢?除此之外,管理權責的劃分,以及可能影響商業市場的秩序,建議需有全盤的思量。

 

其他參考訊息:


可以透過 Google 搜尋關鍵字
「資安檢測」、「App 資安」、「資安」等,例如搜尋 2014-11 ~ 2015-01 「資安檢測」 的新聞,可以得知更多的脈絡以及更多訊息。  http://bit.ly/1zvBSHy

.

其他相關的類似文章與討論:

備註:

(1) AppDC 台灣 App 開發者社群,所收集到意見:

https://www.facebook.com/groups/appdc/permalink/887247871309316/

(2) 坐在對面,Tilte 看的不是很清楚,應該是這個單位。

(3) 例如:

Google Play 開發人員發佈協議
https://play.google.com/intl/ALL_tw/about/developer-distribution-agreement.html

Apple , App Store Review Guidelines
https://developer.apple.com/app-store/review/guidelines/


精選熱門好工作

Campaign Associate 資深線上活動策劃專員

樂購蝦皮股份有限公司
臺北市.台灣

獎勵 NT$15,000

Campaign Associate 線上活動策劃專員

樂購蝦皮股份有限公司
臺北市.台灣

獎勵 NT$15,000

(Backend)Senior Software Engineer

ShopBack 回饋網股份有限公司
臺北市.台灣

獎勵 NT$15,000

評論