标准应用 | GB/T 35273中“个人信息主体注销账户”相关条款解读与检测
Editor's Note
好文共赏。
The following article is from CCIA数据安全工作委员会 Author 何盈 陈凤萍
条款解析
8.5 个人信息主体注销账户 | ||
a) | 通过注册账户提供产品或服务的个人信息控制者,应向个人信息主体提供注销账户的方法,且方法简便易操作; | 条款解析: 1、个人信息控制者应在隐私政策或功能界面中向用户提供注销用户账户的途径和方式(线上线下均可); 2、注销账户的方式应该明确有效,如隐私政策已告知用户置于功能界面注销的路径应与隐私政策告知路径保持一致,且路径应易于用户查找操作。 |
b) | 受理注销账户请求后,需要人工处理的,应在承诺时限内(不超过15个工作日)完成核查和处理; | 条款解析: 1、应在隐私政策或者注销协议、注销操作指引等公示信息中明示注销的处理时效(不超过15个工作日),或通过公示的联系渠道明确处理时效; 2、用户已执行注销操作后,需人工处理的不得超出承诺时限(不超过15个工作日)完成。 |
c) | 注销过程如需进行身份核验,要求个人信息主体再次提供的个人信息类型不应多于注册、使用等服务环节收集的个人信息类型; | 条款解析:App注销账户过程中如果设置了身份核验环节,在身份核验环节不得要求用户提供注册、使用App过程中并未涉及收集、使用的个人信息类型(如地址、身份证号、银行卡号等)。 |
d) | 注销过程不应设置不合理的条件或提出额外要求增加个人信息主体义务,如注销单个账户视同注销多个产品或服务,要求个人信息主体填写精确的历史操作记录作为注销的必要条件等; | 条款解析:在用户注销账户的流程中不应设置不合理的条件或提出额外要求增加用户义务; 注:1、不合理条件示例:注销时以注册或下载其他产品为前提或注销过程中要求用户填写精准的历史操作记录;2、额外要求增加个人信息主体义务示例:注销过程要求用户额外提供个人身份信息或其他个人信息(人脸、手持身份证等信息)。 |
e) | 注销账户的过程需收集个人敏感信息核验身份时,应明确对收集个人敏感信息后的处理措施,如达成目的后立即删除或匿名化处理等; | 条款解析: 1、App注销账户过程中如需收集用户个人敏感信息核验身份,应在隐私政策或功能界面中明确告知注销账户过程中收集的个人敏感信息使用后的处理措施; 2、用户执行注销账户操作后,App应按照告知的处理措施对用户的个人敏感信息进行相应处理。 |
f) | 个人信息主体注销账户后,应及时删除其个人信息或匿名化处理。因法律规规定需要留存个人信息的,不能再次将其用于日常业务活动中。 | 条款解析: 1、如App隐私政策已明确告知用户账户注销后会对个人信息进行删除或匿名化处理,用户注销后再次使用旧账户或关联账户重新注册,注册的新账户上不应留存旧账户的相关个人信息; 2、因法律法规规定需要留存的个人信息应与实际留存的个人信息保持一致,不得超范围留存; 3、因法律法规规定需要留存的个人信息,App需要建立相应机制保障上述个人信息不再用于日常业务活动中。 |
检测思路
个人信息控制者为个人信息主体提供注销账户,具体需要遵守哪些原则呢?在《GB/T 35273》的 8.5章节中已对个人信息处理者提出了具体要求:
▼展示界面——应在隐私政策或功能界面告知注销方式;
▼关闭途径——提供可用于注销的选项或提供人工处理途径;
▼操作过程——不得收集额外个人信息用于身份核验且不得设置不合理的注销条件,若身份核验涉及个人敏感信息,还需要明确处理措施;
▼注销完成——用户完成注销操作后应即时删除或匿名化账户内的个人信息(有相关法律规定的不能用于日常业务活动中)。
具体检测思路如下:
(一)检查隐私政策及功能页面是否提供注销账户的方法。
首先需要查看App隐私政策或功能界面中是否向用户提供注销账户的途径和方式,下图为合规示例:
图:“注销账户描述”合规示例
如果隐私政策提供了账号注销途径,检查隐私政策提供的注销途径与实际注销途径是否保持一致且真实有效,下图为合规示例:
图:“途径一致且真实有效”合规示例
注:若App没有注册功能,且无需注册即可完整使用所有功能,使用期间也不收集任何用户个人信息(如公交线路查询、度量、换算工具等功能单一的应用),则不在检测范畴。
(二)检查人工渠道是否真实有效,且能够在15个工作日内处理完成。
检查隐私政策或者注销协议、注销操作指引等公示信息,查看人工渠道是否就注销的处理时效进行承诺,以及是否能够在规定时效内完成。下图为违规示例:
图:“实际处理时效超出承诺时效”违规示例
(三)检查身份核验环节是否需要提供额外个人信息。
首先对App提供的注销用户账号途径执行操作,查看注销过程中是否需要身份核验,如需身份核验,则比对App在注销账户过程中,所需提供的个人信息是否多于注册、使用等服务环节收集的个人信息类型。
注1:如App注销账户过程无需进行身份核验即可执行注销操作,则不执行此项检测。
注2:个人信息种类可参考GB/T35273附录A。
(四)检查注销过程中是否设置不合理的条件或提出额外要求增加个人信息主体义务。
对App提供的注销用户账号功能执行操作,查看App在用户注销账户流程中是否设置了不合理的条件,以下列举了常见的不合理条件:
▼注销时以注册或下载其他产品为前提;
▼注销过程中要求用户填写精准的历史操作记录;
▼以用户的账号存在未结清的权益为理由,拒绝进行注销(例如,账号中有积分、等级特权、优惠券、余额等未清零)而未告知用户可选择放弃权益进而注销;
▼注销时,以用户使用App时间未满xx天为由,拒绝注销;
图:“注销页面提示不合理条件”违规示例
对App提供的注销用户账号功能执行操作,查看注销过程中是否要求用户提供个人身份信息或其他个人信息(人脸、手持身份证等),如需提供上述信息,则核查该信息是否为额外要求增加的个人信息(在用户注册时或使用App过程中,并未在任何业务场景下要求用户提供,仅在注销过程中要求用户提供的信息,则为额外要求增加个人信息主体义务的行为)。
(五)检查身份核验涉及个人敏感信息时,是否明确对收集个人敏感信息后的处理措施。
查看注销过程中是否需要收集个人敏感信息进行身份核验,如需要,则查看隐私政策或功能界面中,是否明确个人敏感信息使用后的处理措施(如达成目的后立即删除或匿名化处理等),注销完成后,检查个人信息处理者是否对身份核验收集的个人敏感信息完成其声明的处理措施。
注1:如注销账户过程无需收集个人敏感信息进行身份核验即可执行注销操作,则不执行此项检测。
注2:个人敏感信息种类可参考GB/T35273附录B
(六)检查个人信息主体注销账户后,是否及时删除其个人信息或匿名化处理。
注销账号操作完成后,清除缓存后重新运行App,尝试使用原账号进行登录,检验是否仍能登录App,若无法登录,尝试使用原手机号重新注册,检查功能界面是否包含原账号的个人信息(如姓名、电话、地址、交易信息、关联账户或其他旧账号关联的信息),下图为合规示例:
图:“注销后及时删除个人信息”合规示例
结语
除本文解析的《信息安全技术 个人信息安全规范》8.5章节外,还有许多标准和法规对个人信息账号注销的具体内容和执行方式做出了要求,例如:
《App违法违规收集使用个人信息行为认定方法》第6章节:1、未提供有效的更正、删除个人信息及注销用户账号功能;2、为更正、删除个人信息或注销用户账号设置不必要或不合理条件;3、虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理;4、更正、删除个人信息或注销用户账号等用户操作已执行完毕,但App后台并未完成的。
《网络安全标准实践指南-移动互联网应用程序(App)收集使用个人信息自评估指南》第6.1章节:1、提供有效的注销账号途径,并在用户注销账号后,及时删除其个人信息或进行匿名化处理;2、受理注销账号请求后,在承诺时限内( 承诺时限不得超过 15 个工作日,无承诺时限的,以 15 个工作日为限 ) 完成核查和处理;3、注销账号的过程简单易操作,不设置不必要或不合理的注销条件。
“请神容易送神难”这句古老的民间谚语,在当今移动互联网上被变调重演,用户在使用App时总会遇到“注册一分钟,注销一星期”的情形,其中的原因可能是个人信息处理者不愿意看到用户数下降或用户流向竞争对手,但国家要求移动应用程序(App)提供个人信息账户注销的途径是对于用户个人隐私的保护,因此呼吁各行业的个人信息处理者完善用户注销账户的措施,协助保护好个人信息的安全。
(本文作者:北京梆梆安全科技有限公司 何盈,陈凤萍 )