App收集个人信息符合“最小必要”的典型场景要求与评估规范,等你来了解!
编者序
2022年5月7日,工信部发布《移动互联网应用程序(App)收集使用个人信息最小必要评估规范》(以下简称“《评估规范》”)系列行业标准中4部标准的报批稿。此前,我们曾专文解读了国家市场监督管理总局、国家标准化管理委员会发布的《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求(GB/T 41391-2022)》(以下简称“《基本要求》”)的相关要点【新规重磅来袭,解读机不可失!带你学习《App收集个人信息基本要求》】,本次工信部发布的《评估规范》为近期第二部规范App个人信息处理符合“最小必要”原则的重要标准。
《评估规范》作为此前电信终端产业协会发布的系列团体标准的细化升级版本,其既与《基本要求》《信息安全技术 个人信息安全规范(GB/T 35273)》(以下简称“《安全规范》”)等国家标准的规定互有衔接,同时又以“最小必要原则”为切入点,提出了关于15类重要个人信息评估要求、评估方法及流程的最新规定。对于App设计者、开发者及运营者,以及第三方评估机构而言,整体掌握《评估规范》的意义在于,及时了解监管机构要求运营者处理个人信息所应遵循“最小必要原则”的落地尺度,并有利于消除实践操作中的不明和模糊性。例如,北京市通信管理局将于近期开展的2022年电信和互联网行业网络与数据安全检查,就明确要求将“按照App收集使用个人信息最小必要相关评估规范,重点对移动互联网App运营企业的App个人信息保护情况开展检查。”
本次已公示的《评估规范》报批稿共四部分,分别为:第1部分《总则(YD/T 4177.1-2022)》(以下简称“《总则》”)、第2部分《位置信息(YD/T 4177.2-2022)》(以下简称“《位置信息》”)、第3部分《图片信息(YD/T 4177.3-2022)》(以下简称“《图片信息》”)以及第11部分《短信信息(YD/T 4177.11-2022)》(以下简称“《短信信息》”)。本文根据“中国通信标准化协会网站-工信部公示”栏目中可公开查阅的版本,对《评估规范》的内容及体系定位进行简要介绍,并对4部已公示的标准报批稿进行要点解读。
一、《评估规范》总体介绍及体系定位
(一)《评估规范》的内容框架
《评估规范》是由包括《总则》在内的16部具体的行业标准文件共同组成的“行业标准系列”(本文中“《评估规范》”与“《评估规范》系列”所指相同)。每一部行业标准文件聚焦于某一类具体个人信息,如位置信息、图片信息等,且均为《评估规范》系列的构成部分。除总则外,《评估规范》其余部分分别为:位置信息(已公示报批稿)、图片信息(已公示报批稿)、终端通讯录、设备信息、软件列表、人脸信息、录像信息、录音信息、通话记录、短信信息(已公示报批稿)、好友列表、传感器信息、应用日志信息、身份信息及剪切板信息。具体可参见下图1行业标准部分。
个人信息处理的“最小必要原则”为《评估规范》的基本原则,也是《评估规范》系列各具体部分详细展开的依据。《评估规范》的《总则》规定了“最小必要原则”的定义,其依据《个人信息保护法》(以下简称“《个保法》”)第六条第一款所规定的个人信息处理原则:即处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。
(二)《评估规范》的体系定位
1、与已有国家标准的关系
我国《标准化法》第十二条规定,行业标准可以在没有推荐性国家标准并需要在全国某个行业范围内统一技术要求时制定。在通信相关领域,我国有关App收集使用个人信息安全角度已发布了多项推荐性国家标准,例如2020年完成更新并已生效实施的《安全规范》以及2022年4月发布并将于11月生效实施的《基本要求》。
《评估规范》相较于《安全规范》《基本要求》,三部国家标准各有侧重点,分别为:
《安全规范》:侧重于对个人信息处理的各项基本原则及全流程处理活动进行规定,包括个人信息的收集、存储、使用、委托处理、共享、转让、公开等处理行为,以及规定了个人信息主体的权利、安全事件处置及安全管理要求等内容。
《基本要求》:侧重于规定 1)划分App基本业务功能及类型,以及根据上述划分确定App可收集的必要个人信息的范围;2)App收集个人信息需遵守的基本要求。
《评估规范》:侧重于对评估App是否依据了“最小必要原则”收集使用个人信息的评估要求、评估方法以及评估流程做出规定。
具体来说,《安全规范》关注的是较为体系且全面的个人信息保护及处理的合规义务,具有全面落实《个人信息保护法》的实践要求。《基本要求》更多关注的是App如何确定其可收集的必要个人信息范围,以及收集必要个人信息时的基本要求,更加关注App收集个人信息环节的具体要求。《评估规范》虽然仍聚集App收集使用个人信息的“最小必要原则”,但通过各具体信息类型确立了所涉各处理环节对“最小必要原则”的具体落实要求,另一方面也对如何评估该App是否落实了相应要求作出了规定。换言之,App运营者及第三方评估机构均可依据《评估规范》,对App处理某类个人信息(如位置信息、图片信息等)的行为(如收集、使用、存储、删除等)是否符合“最小必要原则”进行合规评估。
2、与已有团体标准的关系
此前,电信终端产业协会(TAF)曾发布17项《App收集使用个人信息最小必要评估规范》系列团体标准(简称“《团体标准》”),并已全部生效。此次工信部发布的《评估规范》,可视为在此前TAF发布的团体标准基础上的细化补充,也可以理解为团标经过进一步完善升级到了行业标准。因此,建议App运营者及相关企业主体进行关注。《评估规范》与《团体标准》的文件构成对比,可参看上图1。
从整体构成上,《评估规范》相比《团体标准》减少了“房产信息”与“交易信息”两部分,但增加了“剪切板信息”作为组成部分。
在各分项标准层面,已经发布的4部报批稿中,《总则》增加了“最小必要评估方法”,调整并细化了“最小必要评估要求”。《位置信息》增加了“数据来源及分类”与“测试评估环节”,调整并细化了“最小必要评估要求”。《图片信息》及《短信信息》与此前《团体标准》中的相关内容基本一致。
《评估规范》系列未发布部分据推测仍旧可能在《团体标准》的基础上进行调整,其中,“最小必要评估要求”也将根据近年行业实践细化规定。
二、4项已发布行业标准(报批稿)的要点总结
一
《总则》的要点总结
《总则》作为《评估规范》的总领性文件,包括:范围、规范性引用文件、术语和定义、缩略语、基本原则、最小必要评估要求、最小必要评估方法、最小必要评估流程,对《评估规范》系列行业标准的各具体标准文件具有总领意义。
1、适用范围
《总则》规定了《评估规范》系列行业标准的适用范围为移动互联网应用程序(App)收集使用个人信息的设计、开发和评估。App范围包含移动智能终端的预置应用软件,小程序、快应用以及互联网信息服务提供者提供的可以通过网站、应用商店等移动应用分发平台下载、安装、升级的应用软件。个别条款不适用于特殊行业、专业应用,其他终端可以参考使用。
App的设计者、开发者以及评估方,均可以《评估规范》系列行业标准为参考,对App产品落实最小必要原则展开合规评估。
此外,《总则》规定了“个别条款不适用于特殊行业、专业应用”,但是未对具体哪些条款不适用于哪些特殊行业或专业应用未进一步规定。
2、最小必要要求的评估方法及流程
《总则》列出了企业及评估机构在具体使用《评估规范》系列各行业标准过程中,针对“最小必要评估要求”进行评估的方法和流程。《总则》依次规定了“6 最小必要评估要求”、“7 最小必要评估方法”及“8 最小必要评估流程”,对于评估主体而言,其评估的逻辑为:依据“8 最小必要评估流程”(制定评估计划、实施评估、产出评估报告等),采用“7 最小必要评估方法”,对“6 最小必要评估要求”列出的“权限、告知同意、收集、存储、使用、加工、传输、提供、公开及删除要求”进行评估。例如,对于“6.7 传输要求”,则可形成下表“7.7 传输要求评估方法”:
图2
对于评估主体而言,《总则》侧重于概括性地列出各“评估要求”。而《评估规范》中其他的具体行业标准,则将在《总则》确立的评估流程的基础上,根据不同信息类型而得出各具体评估要求项的评估方法,并汇总成如上图2所示的表格。
3、《总则》中“最小必要评估要求”的亮点规定
如上文所述,《总则》列出的“最小必要评估要求”包括“权限要求、告知同意要求、收集要求、存储要求、使用要求、加工要求、传输要求、提供要求、公开要求及删除要求”。大部分要求均延续了《安全规范》及其他规范性文件的规定,但评估主体应注意两点更为细化的规定:
使用要求(6.5 d):若App定向推送功能使用了第三方的个人信息来源,应以个人信息处理规则等形式向个人信息主体明示业务功能使用第三方的个人信息进行定向推送,并向个人信息主体明示第三方的个人信息来源。
加工要求(6.6b):间接获取个人信息后,进行加工处理形成新的个人信息并用于其他目的,需要告知个人,并再次征得个人信息主体的同意。
二
《位置信息》的要点总结
《位置信息》为《评估规范》的第2部分,内容包括:范围、规范性引用文件、术语、定义和缩略语、基本原则、数据来源及分类、典型应用场景、最小必要处理活动、测试评估方法以及附录A。
1、数据来源分类及典型应用场景
(1)数据来源及分类
根据App业务场景,可收集的位置信息数据分类包括:
终端定位信息(卫星定位信息、无线网络信息、移动通信基站定位、传感器、IP地址等);
用户填写的位置信息;
图片、录像数据中的位置信息。
(2)典型应用场景
App使用位置信息的典型场景有:
地图服务:a)定位服务、b)逆地理编码、c)位置搜索与推荐、d)路径服务(如步行、骑行、驾车路径规划、生成行踪轨迹等服务)、e)路况服务;
广告服务:实现广告定向推送;
调度服务:配送等场景的运力调度服务;
资产管理服务:依据位置信息的资产识别服务;
搜索服务:实现基于位置信息的服务搜索功能;
推荐服务:实现推荐服务;
画像服务:实现用户画像服务;
风控服务:实现对App功能的风险控制。
(3)位置信息来源的特别要求
从以下数据来源中收集的“典型场景”的位置信息应单独征得用户明示同意,并保障用户可拒绝或撤回同意的权利:
用户填写的位置信息:风控服务;(也即在App的风控服务场景下,收集用户填写的位置信息需满足特别要求,下同);
图片和视频数据中的位置信息:广告服务、调度服务、资产管理服务、搜索服务、推荐服务、画像服务、风控服务。
(4)典型场景中的权限调用
在App的典型服务场景下,所有典型场景均可以收集“粗略位置信息”,但对于“在后台调用”及“在云端处理精准位置信息”【1】则存在差别,以下典型场景不应调用或经用户明示同意后才可调用相应权限【2】:
在后台调用:广告服务、资产管理服务、搜索服务、推荐服务、画像服务、风控服务;
在云端处理精准位置信息:广告服务、画像服务、风控服务。
【1】根据《位置信息》“7.4使用 d)”注3的解释,精准位置信息是指除使用网络定位(无线网络、通信基站、蓝牙等的定位信息)生成大致位置外,同时使用卫星定位、传感器等信息生成的定位数。
【2】需要根据实际业务场景进行判定是否可以调用的情况可参考《位置信息》的附录A。
2、《位置信息》中“最小必要处理活动”的亮点规定
《位置信息》中“最小必要处理活动”部分,与《总则》“最小必要评估要求”相对应,即针对位置信息在“告知同意、收集、存储、使用、传输、删除”等具体要求作细化规定。评估主体除了应注意上文所述的“位置信息来源的特别要求”及“典型场景中的权限调用”外,还应注意:
收集 (7.2b)从其他数据提取位置信息的,应在获取该数据时对数据用途明示,使用该数据中的位置信息时可不单独明示同意。
3、《位置信息》中最小必要处理活动的评估方法
《位置信息》的最小必要评估流程为,采用“8 测试评估方法”,对涉及针对位置信息相关的“告知同意、收集、存储、使用、传输、删除” “7 最小必要处理活动”进行评估。例如,对7.1告知要求的a)b)和c)三项具体要求,可形成下表:
三
《图片信息》的要点总结
《图片信息》为《评估规范》的第3部分,内容包括:范围、规范性引用文件、术语和定义、缩略语、基本原则、图片信息分类、图片信息典型使用场景、图片信息的最小必要评估要求、评估流程和方法。
1、图片信息分类及典型使用场景
(1)图片信息分类
图片可以通过拍照、屏幕截图以及对图片的再加工方式生成。根据图片信息中包含的内容,可将图片信息分为以下三类:
图片基本信息:指图片的基本特征信息,包括图片内容信息(原始的和编码后的二进制码)、图片格式、大小、分辨率;
图片附加信息:拍照时间、拍照设备、拍照参数、图片名称等可关联出个人的图片信息;
图片位置信息:指拍摄图片时的精准定位信息。例如安卓系统可通过GPS Location Provider来获取精确位置信息。
(2)图片信息典型使用场景
图片信息的收集使用包括但不限于以下场景:
社交类:个人信息主体通过App发送固定数量的图片到明确的一个或多个好友或朋友圈等限定范围的场景;
媒体发布类:个人信息主体出于图片公开的目的将图片通过App发布到媒体平台的场景;
图片加工类:个人信息主体通过App对图片进行编辑生成新的图片的场景;
图像识别类:个人信息主体通过App对图片或扫一扫生成的缓存图片进行识别的场景;
云盘备份类:通过App将本地图片备份到云盘的场景;
客服/售后类:个人信息主体在App中因某种诉求发送图片到客服或售后的场景。
2、《图片信息》中“最小必要评估要求”的亮点规定
(1)权限授权
不同图片生成或访问的方式下,相应权限的申请也应最小必要。其中值得注意的是,通过“拍照”生成图片时,“位置权限”并非App申请的最小必要权限。
(2)收集阶段
在社交、媒体发布、图片加工、图像识别、云盘备份及客服/售后六类典型场景下,App均可收集“图片基本信息”。对于“图片附加信息”及“图片定位信息”,只有“云盘备份”场景下App可收集相关信息,其他场景下对于此二类信息均非“最小必要”的收集。【3】
【3】对于社交、媒体发布、图片加工、图像识别及客服/售后的场景,App可单独获得“图片附加信息”和“图片位置信息”的授权同意,收集“附加信息”和“位置信息”,或者可根据自身能力选择把图片作为整体向个人信息主体申请授权同意并收集图片信息。
(3)存储阶段
区分了“本地存储”与“云存储”两种类型。
App本地存储图片信息应满足:
a)在安全策略控制范围内,保证只有个人信息主体具有所存储图片信息的读、写、修改和删除的权利(图片自动压缩可改变图片信息的除外);
b)使用个人生物识别信息用于身份识别、认证等功能时,在实现身份鉴别等功能后应删除可提取个人生物识别信息的原始图片(如指纹、人脸识别、掌纹、虹膜等),应加密且仅存储个人生物识别信息的特征信息,并与个人身份信息分开存储。
App在云端存储图片应满足:
a)对所存储图片信息数据进行访问控制,包括但不限于身份认证和鉴别等机制,宜对云端个人信息主体图片提供加密存储功能;
b)使用个人生物识别信息用于身份鉴别功能时,若需上传包含生物特征识别信息的图片(如指纹、面部、掌纹、虹膜等)到云端处理时,应征得个人信息主体单独同意,且采用显著方式(如图标闪烁、状态栏提示、自定义提示条等)提示个人信息主体;
c)如涉及云端自动备份照片功能,宜向个人信息主体告知备份的时机、频率等,以及提供停止自动备份的功能。若需在云端图片识别,宜告知收集图片识别信息的目的、范围、方式、频率,并征得个人信息主体授权同意。
(4)使用阶段
App在使用图片信息时应注意以下要点:
图片信息展示:
对于社交、媒体发布及图片加工三类典型场景:App展示图片时宜给个人信息主体提示图片中是否包含图片附加信息和图片位置信息并允许个人信息主体选择删除;
对于云盘备份场景:App展示图片时宜给个人信息主体提示图片中是否含图片附加信息和图片位置信息。
对于图像识别场景:图像识别后的信息展示给个人信息主体时,可对其中个人敏感信息采取去标识化处理。对于客服/售后场景,未经个人信息主体同意,不应对第三方展示。
图像识别:
应用设计或开发者不应对图片信息采取隐蔽手段挖掘和分析归纳个人信息主体的身份特征数据。未经个人信息主体的单独同意,不应将收集的图片信息用于身份的标识和识别。
(5)删除阶段
对收集、加工、传输阶段所使用的缓存图片信息,App应为个人信息主体提供自动删除或手动删除的功能。
未经个人信息主体同意,不应删除非本应用存储目录下的图片原始二进制码。
3、《图片信息》中的评估流程和方法
《图片信息》的最小必要评估流程为,采用“9 测试流程和方法”,对“8 图片信息的最小必要评估要求”列出的“权限授权、收集、存储、使用、删除”处理活动进行评估。例如,针对8.1图片信息中调用权限情况的评估方法,可形成下表:
四
《短信信息》的要点总结
《短信信息》为《评估规范》的第11部分,内容包括:范围、规范性引用文件、术语和定义、缩略语、基本原则、短信信息分类、典型使用场景、基本要求、评估方法与流程。
1、短信信息分类及典型使用场景
(1)短信信息分类
短信信息包含的信息类型可划分为如下类型:
本机用户标识:用于识别或区分短信、彩信信息所在移动终端设备用户的标识信息,可包括发送者的手机号等;依据短信信息的发送方,本机用户标识可以是短信信息的发送者标识,也可以是短信信息的接收者标识;
对端标识:用于识别或区分短信、彩信信息所在移动终端设备用户的短信通信对端标识信息,包括接收者的手机号等;
短信内容:为短信发送者编辑并发送给接收者的各种格式的内容。单一的短信内容是否包含个人信息、包含个人信息的类目数量以及包含的具体个人信息类型,取决于每个短信内容的本身;
时间:移动终端设备用户接收或发送该条短信的时间。
(2)典型应用场景
以下场景为合理必要收集使用短信信息的场景:
短信云备份:以数据备份为目的,App将用户终端上的短信信息传输至远端服务器上存储的场景。
验证码便捷获取:以协助用户完成登录或支付等操作为目的,App识别短信中的验证码并提示用户的场景。
便捷短信查询与订阅服务:以便利用户操作为目的,App帮助用户发送特定短信指令至特定号码,查询相关信息或订阅服务的场景,如流量余额查询。
短信优化编辑与发送:以协助用户编辑并发送短信为目的,App提供短信编辑功能并发送短信至用户指定号码的场景。
短信功能体验增强:以增强用户短信功能体验为目的,App为用户提供如短信发送商户识别和图形化展示等增强短信功能的场景。
手机间数据互传:以在用户不同手机间传输数据为目的,将用户一部手机中的短信信息传输至用户另一部手机的场景,如换机。
骚扰拦截:以帮助用户拦截、屏蔽诈骗、广告等用户不期望接收短信信息为目的,App识别、展示并处置相关短信信息的场景。
服务智能化:以改善服务智能化程度或用户体验为目的,App访问用户短信信息的场景。
已关联设备的配套应用:通过此类应用用户可将移动设备与已关联设备(例如智能手表、汽车、智能家居设备等)连接起来,还能够收发短信。
跨设备同步或转移短信:在多个设备上(例如手机和笔记本电脑之间)同步短信信息。
设备自动化:用户可让设备根据其设置的一个或多个条件(触发条件),在操作系统的多个区域自动执行重复性操作。
企业存档及设备管理:企业存档、客户关系管理CRM和/或设备管理,如运营商通过短信上报设备信息与驻网状态。
车载免提使用和投影显示:与驾驶/出行的核心功能(例如导航)直接相关的Apps,尤其是在用户与设备的物理互动受到限制的情况下。
呼救短信:可在发生人身安全或紧急状况时发送报警短信。
用户数据本地备份与还原:用户的事务性备份和还原以及企业的归档(限时/非连续)。
2、《短信信息》中“基本要求”的亮点规定
(1)告知同意
区分本地处理与非本地处理的情况。
若仅在本地收集处理短信信息,除终端基本通信功能外,App应向用户声明收集处理短信信息仅在用户设备上进行,并告知收集处理短信信息的目的,经用户确认后方可开始收集;
若存在非本地处理的情形,App应明确告知用户需传输至远端的短信信息类型及收集处理的目的、方式、范围,并经用户选择同意后方可收集。
(2)权限申请与调用行为
可申请权限包括“发送短信、读取短信、接收短信、写/删除短信、接收彩信”,并且标准对15类典型场景下可申请的权限作出表格归纳,请参看下表1:
表1
对于调用行为,根据调用频次划分为三类:
用户主动触发:通过明确的用户知悉影响的动作,如点击App交互界面上特定的按钮,触发相关行为。
固定周期访问:以明示并经用户确认同意的固定周期调用相关权限。
短/彩信到达触发:在App已申请接收短、彩信权限时,当接收到新的短信或彩信时触发。
在此基础上,上述15类典型场景的“发送短、彩信;读取短信、彩信及写/删短信、彩信”对应的调用行为归纳为表格,请参看下表2:
表2
(3)本地收集阶段
对15类典型场景下可收集的短信信息类型(本机用户标识、对端标识、短信内容、时间)归纳为表格。其中,“短信优化编辑与发送”及“呼救短信”两类典型场景均无可收集的信息类型。其余场景均可收集所有短信信息类型。
(4)远程传输阶段
对15类典型场景下可由App远程服务器端收集的短信信息类型(本机用户标识、对端标识、短信内容、时间)归纳为表格,请参见下表3。其中,“验证码便捷获取”、“便捷短信查询与服务订阅”、“短信优化编辑与发送”、“手机间数据互传”、“设备自动化”、“车载免提使用和投影显示”以及“用户数据本地备份与还原”对各类短信信息均不允许远程传输。“短信功能体验增强”、“已连接设备的配套应用”以及“跨设备同步或转移短信”不允许个别类型短信信息的远程传输。
表3
(5)存储阶段
App服务器端存储短信信息时应满足以下要求:
短信信息的存储期限应为实现个人信息主体授权使用的目的所必需的最短时间;
除用户主动上报的垃圾短信外,其余场景下,应加密存储用户短信信息;
在App服务端上存储的移动终端用户的短信信息应不超过按8.4节(远程传输阶段)要求评估后允许远程传输的短信信息的信息类型和收集范围。
3、《短信信息》中的评估流程和方法
《短信信息》的最小必要评估流程为,采用“9 评估方法与流程”,对“8 基本要求”中列出的“告知同意要求、权限要求、本地收集阶段、远程传输阶段、存储阶段、使用阶段”进行评估。例如,对8.2.2调用行为最小化进行评估,可形成下表:
扫码关注我们
M姐 数据合规评论
微信号|M_DigitalLawandLife