新规重磅来袭,解读机不可失!带你学习《App收集个人信息基本要求》
全文导读
20 May 2022
近日,国家市场监督管理总局、国家标准化管理委员会正式发布了《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求(GB/T 41391-2022)》(以下简称“《基本要求》”)。《基本要求》全文分为正文与附录两大部分,正文部分包括:范围、规范性应用文件、术语和定义、缩略语、App功能划分以及App收集个人信息基本要求六部分。附录部分包括作为规范性附录的附录A与附录C,以及作为资料性附录的附录B、附录D、附录E及附录F。目前《基本要求》已全文公开在“国家标准全文公开系统”网站,并将于2022年11月1日正式实施。
本文以“国家标准全文公开系统”可公开查阅的《基本要求》为文本,旨在从移动互联网应用程序运营者(App运营者)的视角出发,对《基本要求》涵盖的相关概念界定、App功能划分与类型判断流程、App收集个人信息基本要求的新亮点等内容进行解读。
一、概念界定
《基本要求》对于其所适用的对象“移动互联网应用程序”,以及关键性概念如“基本业务功能”、“App类型”及“必要个人信息”等均作出了明确规定。App运营者应首先把握《基本要求》对各重要概念的定义与界定。
01
“移动互联网应用程序”
《基本要求》明确了其所适用的对象“移动互联网应用程序”(简称App)的涵盖范围,包括:
移动智能终端预置的App;
移动智能终端下载安装的App;
小程序,是指基于应用程序开放接口实现的,用户无需安装即可使用的移动互联网应用程序。
02
“业务功能”
《基本要求》对App的“业务功能”作出定义,也即“满足用户具体使用目的的功能”,其包括“基本业务功能”与“扩展业务功能”两类,判断此两类业务功能是明确App可收集个人信息的范围与要求的前提:
基本业务功能:指的是App实现用户主要使用目的的业务功能。
扩展业务功能:指的是App所提供的基本业务功能以外的其他业务功能。
03
“服务类型”
《基本要求》在《信息安全技术 个人信息安全规范(GB/T 35273-2020)》的基础上细化区分了“服务类型”的定义及其与业务功能的关系,并引出了“App类型”的概念:
服务类型:指的是App提供的业务功能分类。《基本要求》的附录A中规定了常见服务类型如地图导航、网络约车、即时通信等。
App类型:实现用户最主要使用目的的业务功能所属的服务类型,即为该App的App类型。
04
“个人信息”
《基本要求》规定,App收集的个人信息按照与App业务功能的关联性可分为“必要个人信息”、“非必要但有关联个人信息”以及“无关个人信息”。前两者统称为“相关个人信息”,而此三者的关系为,“无关个人信息”的外延最大,包含“必要但有关联个人信息”与“必要个人信息”;其次为“必要但有关联个人信息”,其包含“必要个人信息”;“必要个人信息”的外延最小,其被包含于“非必要但有关联个人信息”以及“无关个人信息”:
必要个人信息:保障App基本业务功能正常运行所必需的个人信息,即当且仅当没有该等个人信息的参与,该App的基本业务功能无法实现或无法正常运行。必要个人信息是取得用户同意后App收集个人信息的最小范围。
非必要但有关联个人信息:是与App所提供服务直接相关但可选收集的个人信息,包括App基本业务功能可选收集的个人信息,以及扩展业务功能收集的个人信息。
相关个人信息:必要个人信息与非必要但有关联的个人信息,统称为“相关个人信息”。
无关个人信息:是与App所提供服务目的无直接关联的个人信息,即没有该等个人信息的参与,对于该App提供的任何一项业务功能的正常实现和服务质量没有影响。无关个人信息属于App不应收集、也不应向用户征求同意的个人信息(即使用户可能同意)。
二、App功能划分与类型判断的流程
《基本要求》对于App的功能划分、类型确定以及在此之后可收集个人信息的范围与要求作出了详细规定。对于App运营者而言,若要确保App收集个人信息的合规,则首先需要按照《基本要求》的逻辑判断App的功能及分类。基本流程为:1)判断App的基本业务功能;2)判断App类型;3)判断是否为常见服务类型;4)根据是否为常见服务类型明确个人信息收集范围。以下示意图说明了《基本要求》规定的判断流程,下文将结合该图进一步解释:
01、判断基本业务功能
App运营者应首先判断App的业务功能,并确定App的基本业务功能。如上文所述,基本业务功能是实现用户主要使用目的的功能。例如,若某款App提供“网约车功能”、“导航功能”与 “支付功能”,而该款App主要为实现用户网约车需求的目的而设计,则“网约车功能”即为该款App的基本业务功能,除此之外的其他业务功能,即为该款App的扩展业务功能。对于App而言,其业务功能可能纷繁复杂,但只有主要实现用户目的的功能为基本业务功能,此外的业务功能均为扩展业务功能。《基本要求》规定:仅为实现改善服务质量、提升使用体验、定向推送信息、研发新产品等目的的业务功能应划分为扩展业务功能。
02、确定App类型
在判断完App的基本业务功能后,App运营者可进一步判断App类型。根据《基本要求》的定义,App基本业务功能所属的服务类型即为该App的类型。例如,某款App的基本业务功能为导航,则其业务功能所属的服务类型为“地图导航”,而该款App类型则为“地图导航类”App。《基本要求》规定,如App提供多种类型服务,App类型之外的服务类型称为“其他服务类型”,其他服务类型的业务功能属于扩展业务功能。例如“地图导航类App”还提供“网上购物”、“网约车类服务”,则“网上购物”、“网络约车服务”的业务功能均属于扩展业务功能。因此,每款App可以拥有多种业务功能,提供多种类型服务,但其“App类型”是唯一的,即该款App基本业务功能所属的服务类型。
03、判断App类型是否属于常见服务类型
判断完毕App类型后,App运营者可根据《基本要求》的附录A确定App是否属于39款常见服务类型App。例如,某款App的App类型为“网络约车类”,则其应当按照《基本要求》附录A规定的该类App的“必要个人信息”与“使用要求”履行合规义务。
在《基本要求》的附录A中,常见服务类型App的基本业务功能、必要个人信息范围,均与此前的《常见类型移动互联网应用程序必要个人信息范围规定》保持一致,但必要个人信息的使用要求则为《基本要求》的新增细化规定。如网络约车类App所收集的用户行踪轨迹信息,其使用要求为用于保障行程安全及处理用户纠纷,完成处理目的的行踪轨迹信息应及时删除或匿名化处理。
04、其他类型App如何确定必要个人信息的收集范围
实际上,绝大部分面向普通用户的App类型均可囊括至《基本要求》附录A所列的39类常见服务类型之中。但也不可否认随着科技的进步,App运营者将设计出不属于常见服务类型的App类型。对于此类App,其应当按照《基本要求》的要求,首先根据为用户提供的主要使用目的划分App的基本业务功能与扩展业务功能,进而再将保障App基本业务功能正常运行所必需的个人信息确定为必要个人信息。在此,并非与基本业务功能相关的所有个人信息均为必要个人信息,App基本业务功能“可选收集”的个人信息则与扩展业务功能收集的个人信息一样,属于“非必要但有关联个人信息”。
这种判断逻辑实际上是《基本要求》对于必要个人信息判断的基本逻辑,只不过对于常见类型的App而言,基本业务功能与可收集的必要个人信息种类已经在App的运营实践中反复出现,并可统一提炼形成规则,因此App运营者可省去自行判断常见类型App的必要个人信息的流程,而参考《基本要求》中的规范性附录A。
三、App收集个人信息基本要求
对于App运营者而言,除了需要明确App基本业务功能、App类型以及App可收集的必要个人信息范围的判断流程外,还需要注意《基本要求》在《信息安全技术 个人信息安全规范(GB/T 35273-2020)》、《网络安全实践指南—移动互联网应用程序(App)系统权限申请使用指引(TC260-PG-20204A)》等规范性文件的基础上,对于个人信息收集要求的新亮点规定。下文将对《基本要求》的突出要点规定做简要介绍,而不赘述先前规范性文件已规定过的重复性内容。
01
App收集个人信息的合规要点
(1)必要个人信息的收集、告知与同意:
《基本要求》规定,App要求用户必须提供的个人信息不应超出必要个人信息范围。对于必要个人信息与非必要个人信息(即为“非必要但有关联个人信息”,下同),应作显著区分并向用户明示,且应拆分App的必要个人信息与非必要个人信息的同意。
此外,不应通过捆绑不同类型服务、捆绑基本业务功能和扩展业务功能、批量申请授权等方式,诱导,强迫用户一次性同意个人信息收集请求。
(2)特定类型个人信息合规:
《基本要求》在附录C中规定了12类特定类型个人信息的收集要求,包括日历信息、应用程序列表、设备信息、短信信息、通话记录信息、通讯录信息、位置信息生物识别信息、录音及拍摄录像信息、传感器信息、相册信息以及存储文件信息。
(3)保障用户权利:
《基本要求》规定,当无须收集用户个人信息即可提供App基本业务功能时,应确保用户在不提供个人信息的情况下可正常使用App基本业务功能。当用户同意收集App必要个人信息时,应保障用户可拒绝或撤回同意收集非必要个人信息,且不应因用户拒绝或撤回同意提供非必要个人信息,而拒绝用户使用该App的基本业务功能。
扩展业务功能应由用户自主选择开启,如用户拒绝使用、关闭或退出扩展业务功能,不应影响用户使用基本业务功能。
(4)多种服务类型的告知同意:
当App提供多种类型服务时,App收集个人信息应满足以下告知同意要求:
a)应按照服务类型制定个人信息保护政策,明示各类服务处理个人信息的目的、方式、范围等。此时各类服务的个人信息保护政策,可以是各类服务制定单独的个人信息保护政策,也可以是按照服务类型汇总的个人信息收集使用规则;
b)应按照服务类型分别向用户申请处理个人信息的同意;
c)App类型之外的其他服务类型,宜由用户自主选择启用。当用户首次使用时,宜采用增强式告知方式明示该服务类型的个人信息处理规则,并取得用户明示同意。
02
App系统权限的合规要点
(1)通过权限获得的个人信息和能力的对外提供:
《基本要求》规定,App通过权限获得的个人信息和能力,不应在未经用户同意的情况下提供给App接入的第三方应用或嵌入的第三方SDK使用。换言之,此种场景下的对外提供应取得用户的授权同意。
(2)特殊敏感权限的告知及单独同意:
《网络安全实践指南—移动互联网应用程序(App)系统权限申请使用指引(TC260-PG-20204A)》将设备管理器、辅助功能、监听通知栏、悬浮窗权限等规定为特殊敏感权限,《基本要求》在此基础上规定对此类权限的申请使用应具有明确的业务功能需求,向用户提供单独管理界面并详细说明申请目的,并取得用户单独同意。
(3)用户画像与定向推送场景下的唯一设备标识符的要求:
《基本要求》规定,App定向推送信息和用户画像场景采用唯一设备识别码标识用户时,应使用可变更的唯一设备识别码,且不应将其与用户身份信息或不可变更的唯一设备识别码关联。此处可变更的唯一设备识别码,是指用户可重置、变更或关闭追踪的唯一设备识别码;不可变更的唯一设备识别码,是指不因设备恢复出厂设置、应用安全卸载或用户操作而改变的硬件标识符,常见不可变更的唯一设备识别码,如IMEI,IMSI,MEID,MAC地址等,具体可见《基本要求》附录F。经随机化处理后的MAC地址不属于不可变更的唯一设备识别码。
03
App第三方收集管理要点
(1)区别“第三方应用”与“第三方SDK”:
《基本要求》中的第三方应用,是指由App运营者之外的其他法人实体提供,通过App面向用户提供服务的应用程序。第三方应用的提供形式,通常包括SDK、小程序、Web页面等。如果SDK没有直接向用户提供服务,则不属于《基本要求》所称的第三方应用,而是App嵌入的第三方SDK。第三方SDK即由App运营者之外的其他法人实体提供的软件开发工具包(SDK)。
第三方的判定标准为:虽与App运营者属于不同法人实体,但与App运营者属于同一企业集团,且遵守同一套管理制度、统一进行安全和运维管理的,不属于App运营者的第三方。但关联公司通常属于App运营者的第三方。
(2)App运营者对第三方应用的管理:
对于App运营者而言,除应按《基本要求》的规定与第三方应用明确双方对个人信息的处理规则与保护责任外,还应当履行以下两点:第一,应为用户提供第三方应用授权管理的功能或渠道,确保用户可便捷地关闭或撤回对第三方应用可收集个人信息权限的授权,以及向第三方应用提供个人信息的授权,第三方应用提供该App基本业务功能的除外。第二,应提醒用户关注第三方应用的个人信息处理规则,未经用户同意不应私自截留用户仅同意向第三方应用提供的个人信息。例如信息查询类App,在用户仅同意向第三方应用提供相关个人信息时,App未经用户同意截留用户个人信息并上传至其后台服务器的行为属于私自截留个人信息。
(3)App运营者对第三方SDK的管理:
《基本要求》延续了《网络安全标准实践指南—移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引(TC260-PG-20205A)》的相关规定,对嵌入SDK的最小必要原则、App运营者对SDK的评估要求与协议约定要求、用户告知要求、第三方SDK热更新告知要求、停止移除要求等均作出了规定。不同于TC260-PG-20205A对SDK相关问题的全面规定,《基本要求》的规定落脚在App运营者对第三方SDK收集个人信息的安全管理及要求,应当引起App运营者的关注。
扫码关注我们
M姐 数据合规评论
微信号|M_DigitalLawandLife