前言
2022年4月15日,《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》发布,将于今年11月1日正式实施。
本标准在GB/T 35273-2020《信息安全技术 个人信息安全规范》、《常见类型移动互联网应用程序必要个人信息范围规定》《App违法违规收集使用个人信息行为认定方法》等有关文件的基础上,进一步对App收集个人信息的行为提出要求,规范App个人信息收集行为,最大程度地保障个人信息权益。
适用范围与核心概念
本标准适用于App运营者规范其个人信息收集活动,也适用于监管部门、第三方评估机构等对App个人信息收集活动进行监督、管理和评估。其中,App包括移动智能终端预置、下载安装的应用程序和小程序。
本标准提出了以下核心概念。
1、服务类型:包括App类型、其他服务类型。其中,App类型为实现用户最主要使用目的的一种服务类型。
2、业务功能:包括基本业务功能、扩展业务功能。其中,基本业务功能是App实现用户主要使用目的的业务功能,基本业务功能之外的其他业务功能属于扩展业务功能。
3、必要个人信息:特指保障App基本业务功能正常运行所必需的个人信息,即当且仅当没有该等个人信息的参与,该App的基本业务功能无法实现或无法正常运行。
个人信息收集的基本要求
标准给出了39种常见类型App必要个人信息范围和使用要求,提出了12种特定类型个人信息的收集要求,并将App收集个人信息的要求细化为以下7个主要方面。
最小必要收集:包括明确App必要个人信息范围,以及目的明确、最小范围、最小影响、直接相关、时机恰当的最小必要原则。其中,“范围”包括类型、频率、数量、精度等。
必要个人信息:在《常见类型移动互联网应用程序必要个人信息范围规定》的基础上,给出了地图导航、网络约车、即时通信、网络支付等39种常见类型App必要个人信息的使用要求。当无须收集用户个人信息即可提供App基本业务功能时,应确保用户在不提供个人信息的情况下可正常使用App基本业务功能。
特定类型个人信息收集要求:包括日历信息、应用程序列表、设备信息、短信信息、通话记录信息、通讯录信息、位置信息、生物识别信息、录音及拍摄录像信息、传感器信息、相册信息、存储文件信息等的收集要求。
告知同意:包括App基本业务功能与必要个人信息的告知同意,敏感个人信息告知同意,多种服务类型告知同意,以及用户拒绝或撤回同意4个方面。App不可捆绑、诱导用户一次性同意信息收集请求,需拆分必要和不必要个人信息,根据服务类型分别向用户告知同意。
系统权限:包括权限申请要求、权限使用要求。同时在附录中给出了可收集个人信息权限范围,以及与常见服务类型相关程度较低的安卓系统权限。
第三方收集管理:包括App对接入的第三方应用、嵌入的第三方SDK的安全管理要求。App接入提供非基本业务功能的第三方应用时,标准提出应为用户提供第三方应用授权管理的功能或渠道,同时确保用户可以撤回对第三方应用的授权。对于App嵌入第三方SDK的场景,明确要求App在嵌入第三方SDK前应需对第三方SDK收集使用个人信息行为、出境行为进行风险评估。同时,明确要求SDK若存在热更新机制,应及时告知App运营者热更新的具体内容。
其他要求:对定向推送、公共存储区、静默或后台运行、关联启动等方面也提出了实践指导。其中值得注意的是,App在进行就定向推送信息时应使用可变的唯一设备识别码。同时,标准特别提出在App设计、开发阶段,App运营者就应将个人信息保护原则纳入设计范围,在App开发同时,同步建设个人信息保护措施。
实施建议
标准的实施与应用有助于指导App运营者落实个人信息保护法规政策的有关要求,进一步规范App个人信息收集活动,建立App个人信息安全合规体系,着力防范App违法违规收集使用个人信息风险。
在App运营者发布新的App上架或发布新的App版本前,运营者可开展完整的个人信息保护评估,识别App与现行监管法规、标准规范的差距,通过调整相应功能设计、引入保护措施等方式,落实个人信息保护要求。对于版本更新频繁的App,运营者可形成常态化检查机制,定期对现有版本的App进行检查,降低个人信息泄露、非法使用等风险。
App开发者也应当根据现有标准政策调整应用功能设计,落实个人信息保护要求,建议:减少权限申请数量,避免申请低相关度权限;设置合理的申请时机,以及通过权限收集个人信息的频率与时机;为用户提供业务功能的多种实现方式,并默认采用对个人权益影响最小的实现方式,例如无需系统权限、本地方式、申请较低精度权限、单次授权等方式;跟进适配移动智能终端操作系统的最新隐私机制与功能等。
版权归原作者 通付盾_dappstore 所有, 如有侵权,请联系我们删除。