本文来自微信公众号安永EY。
前言
2022年4月15日,《信息安全技术移动互联网应用程序(App)收集个人信息基本要求》(以下简称《App收集个人信息基本要求》)发布,将于今年11月1日正式实施。作为App个人信息保护方面的国家标准,《App收集个人信息基本要求》包含App收集个人信息的基本要求、常见服务场景、收集范围及相关要求等内容。安永结合国家监管现状及趋势、常见App类型最小必要收集范围及App权限等内容,针对App个人信息保护提出实践思路。
普遍关注:监管持续收紧,标准进一步细化要求
近年来伴随手机功能的发展,App得到了广泛应用。与此同时,App违法违规收集使用个人信息的问题也频繁发生。其中,超范围收集、强制授权、过度索权、私自调用用户权限、敏感信息滥用等现象更是普遍存在。GB/T 41391-2022《信息安全技术移动互联网应用程序(App)收集个人信息基本要求》依据国家现行监管要求及行业标准,重点围绕个人信息处理的最小必要原则,针对App违法违规收集使用个人信息的突出问题,给出了App收集个人信息应满足的基本要求。同时,《App收集个人信息基本要求》针对常见应用场景给出了相关业务功能下必要个人信息的使用要求,促进企业在实践过程中落实《常见类型移动互联网应用程序必要个人信息范围规定》《App违法违规收集使用个人信息行为认定方法》等监管要求,最大程度保护用户的个人信息。
《App收集个人信息基本要求》就个人信息全生命周期的首要环节“收集”给出了较为详细的指导,根据App不同的服务类型规范其所必要收集的个人信息类型,并依照App的特殊性有针对性地对App的接入三方应用、嵌入三方SDK等环节提出了专门的指导意见,在已有监管要求的基础上形成了更加具有针对性的实践指导建议。
重点聚焦:个人信息收集的基本要求
个人信息收集基本要求
《App收集个人信息基本要求》分别明晰了收集个人信息、必要个人信息的基本规定,包含告知用户同意、获取系统权限及第三方收集管理等要求。在现有监管要求、行业标准的基础上,通过附录等形式明确各常见服务类型App必要个人信息范围、可收集个人信息权限范围、常见服务类型与系统权限相关程度等,为实际的管控提供了参考标准。
•最小必要收集
明确收集目的,限定必要最小范围(包括个人信息的类型、频率、数量、精度等),采取对个人权益影响最小的收集范围,且收集的个人信息与处理目的直接相关。
•必要个人信息
要求用户提供的个人信息不应超出必要个人信息范围,且当无须收集用户个人信息即可提供App基本业务功能时,应确保用户在不提供个人信息的情况下可正常使用App基本业务功能。
•特定类型个人信息
在收集针对日历信息、应用程序列表、设备信息、短信信息、通话记录信息、通讯录信息、位置信息、生物识别信息、录音及拍摄录像信息、传感器信息、相册信息、存储文件信息等特定类型的个人信息时,提出详细的收集要求。
•告知同意
在《个人信息保护法》第十七条“个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知”的基础上,《App收集个人信息基本要求》明确了应在个人信息保护政策告知同意一项中向用户告知App基本业务功能、必要个人信息等核心内容,提示用户阅读,继而获取用户的明示同意。同时,App不可捆绑、诱导用户一次性同意信息收集请求,需拆分必要和不必要个人信息,根据服务类型分别向用户告知同意。
•系统权限
权限的申请和使用上,标准明确解释和补充了安卓和IOS平台下不同服务类型App与业务相关的权限,按照相关性、合理性的高低给出清晰要求。
•第三方收集管理
根据App收集个人信息管理的第三方接入场景:App接入第三方应用的场景和App嵌入第三方SDK的场景,对于不同的合规场景提出了不同的要求。
App接入提供非基本业务功能的第三方应用时,《App收集个人信息基本要求》提出应为用户提供第三方应用授权管理的功能或渠道,同时确保用户可以撤回对第三方应用的授权。
对于App嵌入第三方SDK的场景,《App收集个人信息基本要求》明确要求App在嵌入第三方SDK前应需对第三方SDK收集使用个人信息行为、出境行为进行风险评估。另外,《App收集个人信息基本要求》明确要求SDK若存在热更新机制,应及时告知App运营者热更新的具体内容。
•其他要求:
《App收集个人信息基本要求》对定向推送、公共存储区、静默或后台运行、关联启动等方面也提出了实践指导。其中值得注意的是,App在进行就定向推送信息时应使用可变的唯一设备识别码。同时,《App收集个人信息基本要求》特别提出在App设计、开发阶段,App运营者就应将个人信息保护原则纳入设计范围,在App开发同时,同步建设个人信息保护措施。
必要个人信息及非必要但有关联个人信息的收集
在《App收集个人信息基本要求》中针对不同业务功能明确区分了App收集的三种个人信息:必要个人信息、非必要但有关联个人信息、无关个人信息。
各App应根据业务场景及业务功能划分出必要个人信息、非必要但有关联的个人信息及无关个人信息。各App一方面停止对无关个人信息的收集,另一方面进一步分析非必要但有关联个人信息的收集的业务需求,在获取用户同意的前提下收集该类个人信息,为用户提供撤回同意的途径。
特定类型的个人信息收集
在《App收集个人信息基本要求》中针对日历信息、应用程序列表、设备信息、短信信息、通话记录信息、通讯录信息、位置信息、生物识别信息、录音及拍摄录像信息、传感器信息、相册信息、存储文件信息等特定类型的个人信息提出了详细的收集要求。
在提出的特定类型的个人信息中,《App收集个人信息基本要求》中包含了对部分敏感个人信息的收集要求。例如,《App收集个人信息基本要求》对于生物识别信息,在告知同意需获得用户单独同意授权收集前,提出对生物识别信息的收集应符合相关网络安全国家标准的保护要求。同时,在开展业务活动时,App不应限定使用生物特征识别作为身份鉴别的唯一方式。
实施指引:企业实践App个人信息保护思路
开展评估检查,识别风险问题
在App运营者发布新的App上架或发布新的App版本前,运营者可开展完整的个人信息保护评估,识别App与现行监管法规、标准规范的差距,通过调整相应功能设计、引入保护措施等方式,落实个人信息保护要求。对于版本更新频繁的App,运营者可形成常态化检查机制,定期对现有版本的App进行检查,降低个人信息泄露、非法使用等风险。
落实制度规范,强化安全管控
首先,App运营者需要建立起内部个人信息保护相关管理制度及流程,明确运营者App个人信息保护要求、安全标准、技术策略等,同时根据所在行业和服务类型的发展趋势动态和有关部门监管要求,不断完善个人信息保护制度。其次,App运营者应加强对接入第三方应用及嵌入第三方SDK的重视,全面梳理接入的第三方应用和第三方SDK的运营主体名称、所收集个人信息类型、申请系统权限等,针对不同类型的第三方分别明确第三方引入标准及第三方安全检查标准。
健全防护体系,提升管控能力
在定期开展App个人信息保护评估、建立起相应制度标准的基础上,App运营者应进一步形成完整的App个人信息保护体系,将App个人信息保护要求落实到App开发生命周期的各个阶段,提高个人信息保护效率。同时,针对App个人信息保护形成个人信息安全技术测试、个人信息影响评估、隐私声明更新、第三方安全检测等管控机制,分别明确开展频率、人员、标准、跟踪处置流程等,促进运营者从被动应对检查,到主动保护用户个人信息管理模式的转变。
