新国标|《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》
概 述
为解决App超范围收集、强制授权、过度索权、私自调用权限上传个人信息、敏感权限滥用等违法违规收集使用个人信息的突出问题,国家市场监督管理总局与国家标准化管理委员会于20221年4月15日联合发布了移动互联网应用程序(App)个人信息保护方面的首部国家标准——GB/T41391-2022《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》(下称“标准”)。
如标准引言所述,该标准根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》的法律法规要求,重点围绕个人信息处理的最小必要原则,针对App违法违规收集使用个人信息的突出问题,结合当前移动互联网技术和应用现状,在现有要求基础上进一步细化、明确,规范App收集使用个人信息的行为,旨在落实《常见类型移动互联网应用程序必要个人信息范围规定》、《App违法违规收集使用个人信息行为认定方法》等文件要求,规范App个人信息收集行为,最大程度地保障个人信息权益。
从整体上看,该标准主要由App功能划分、App收集个人信息基本要求、附录等部分构成,重点围绕“App收集个人信息基本要求”,就项下“最小必要原则”“必要个人信息”等重点内容进行具体阐述。文件的附录部分详细囊括(1)常见服务类型App必要个人信息范围及使用要求、(2)信息业务功能等说明、(3)特定类型个人信息收集要求、(4)可收集个人信息权限范围等内容,规定十分细致。
主要内容
一、明确扩展业务功能,拆分告知同意
标准划分App的基本功能和拓展业务功能,明确实现用户主要使用目的的业务功能所属的服务类型为该App的类型,其中常见服务类型App的基本业务功能、必要个人信息范围与《常见类型移动互联网应用程序必要个人信息范围规定》保持一致。而当App类型不属于附录A给出的常见服务类型时,应将实现用户主要使用目的的业务功能划分为App的基本业务功能。除此之外的业务功能——包括(1)仅为实现改善服务质量、提升使用体验、定向推送信息、研发新产品等目的的业务功能;(2)外部第三方或关联公司提供的业务功能业务功能;(3)如基本业务功能有多种可选的实现方式,对用户个人权益影响更大的实现方式——均应划分为扩展业务功能。
在区分基本业务功能和扩展业务功能的基础上,标准对同意进行拆分:
第一,向用户明示App基本业务功能、扩展业务功能和必要个人信息范围,显著区分必要和非必要个人信息,要求拆分App的必要个人信息的同意和非必要个人信息的同意,且扩展业务功能应由用户自主选择开启,如用户拒绝使用,关闭或者退出拓展业务功能,不应影响用户使用基本业务功能。
第二,不应通过捆绑不同类型服务、捆绑基本业务功能和扩展业务功能、批量申请授权等方式,诱导、强迫用户一次性同意个人信息手机请求。
第三,应当向用户提供已收集其个人信息类型的查询方法,查询宜通过App独立界面等方式展示,对于间接获取方式收集的个人信息,宜向用户提供个人信息获取来源的查询方法。
第四,对于具有多种服务类型的App应按照不同的服务类型制定个人信息保护政策,对于首次使用应采取增强式告知方式,也不应频繁申请授权干扰客户的使用。
二、细化最小必要原则
收集的个人信息应限于实现处理目的所必要的最小范围,范围则进一步明确为“通常涉及收集个人信息的类型、频率、数量、精度”等。另外,标准明确应仅在用户使用业务功能期间收集该业务功能所需的个人信息,并明确用户使用业务功能的期间通常是从用户点击触发该业务功能或者切换到业务功能页面开始,到业务功能目的完成或者用户主动关闭、退出该业务功能时结束。
三、提出特定类型个人信息的概念,厘清系统权限范围
标准首次提出“特定类型个人信息”的概念,并在附录C中对特定类型个人信息类目及要求进行列举。如对日历信息的访问应当由用户主动触发,或者短信信息除用户主动将App设置为默认短信应用外,不应读取短信内容。此举防范App自主获取系统权限收集个人信息,强化了信息收集时应当对特定类型个人信息采取消极谦抑的态度,避免过分收集。而系统权限也进一步确定为应仅声明和申请的实现服务目的的最小范围,且在附录E中一一给出了与常见服务类型相关程度较低的安卓系统权限。另外还特别指出了安卓App的目标API低于23属于捆绑授权的常见情形。
四、关于第三方收集管理
第三方收集管理包括App接入第三方应用以及嵌入第三方SDK两种情形。当App接入第三方应用时,未经用户同意不应私自截留用户仅同意向第三方应用提供的个人信息,如App未经用户同意截留用户个人信息并上传至其后台服务器的行为属于私自截留个人信息。App嵌入第三方SDK时,应明确SDK是否存在热更新机制。根据App个人信息收集者与第三方之间法律关系的不同,其处理规则和保护机制也存在差异。如第三方SDK存在热更新机制,App应要求SDK在热更新推送前向App运营者告诉热更新的具体内容及影响,如涉及个人信息收集目的、方式、范围的变更,甚至要求通过邮件、电话等逐一送达方式告知App运营者。
此外,针对第三方概念,标准明确“第三方”系App运营者之外的其他法律实体包括关联公司,但不包括与App运营者属于同一企业集团,遵守统一管理制度、统一进行安全和运维管理的其他法人实体。采用第三方的范围表述,与当前实践中将关联方纳入信息共享主体存在微妙差异,尤需注意。而第三方应用则包括SDK在内的服务形式,若SDK没有直接向用户提供服务,则不应纳入本标准规制的第三方应用范围内。
结 语
本标准内容在融合过往相关规范及文件的基础上,对APP如何收集个人基本信息进一步进行细致规定。App下载使用的爆发性增长,使得监管机构和自律组织不断出台规范性和自律性文件以进行行业监管、自省及整治。企业应积极实行自我规制,根据监管要求从源头和关键环节开展自查自省,在法治的轨道上实现良性合规。
长按二维码一键关注