根据2022年4月15日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2022年第6号),全国信息安全标准化技术委员会归口的10项国家标准正式发布。其中包括了一项个人信息保护方面的重点标准:GB/T 41391—2022《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》,也是移动互联网应用程序(App)个人信息保护方面的首个国家标准,引起了高度关注。本标准查阅和获取方式附后!
本文由标准的牵头编制单位:中国电子技术标准化研究院的标准参编专家,针对该标准的编制背景、适用范围、主要内容、关键问题等方面进行解读,并提出实施建议,供各界参考:
01 编制背景
近年来,移动互联网应用程序(App)得到广泛应用,App超范围收集、捆绑授权、强制索权、私自调用权限上传个人信息等现象普遍存在,违法违规收集使用个人信息的问题突出。为此,中国电子技术标准化研究院联合北京理工大学、中国网络安全审查技术与认证中心等34家单位,研制了《移动互联网应用程序(App)收集个人信息基本要求》。
本标准根据《网络安全法》《个人信息保护法》《常见类型移动互联网应用程序必要个人信息范围规定》《App违法违规收集使用个人信息行为认定方法》等有关要求,重点围绕个人信息处理的最小必要原则,针对App违法违规收集使用个人信息的突出问题,结合当前移动互联网技术及应用现状,在GB/T35273—2020《信息安全技术 个人信息安全规范》的基础上,给出了App收集个人信息应满足的基本要求,以及常见服务类型App必要个人信息的使用要求,旨在规范App个人信息收集行为,最大程度地保障个人信息权益。
02 适用范围与核心概念
本标准适用于App运营者规范其个人信息收集活动,也适用于监管部门、第三方评估机构等对App个人信息收集活动进行监督、管理和评估。其中,App包括移动智能终端预置、下载安装的应用程序和小程序。
本标准提出了以下核心概念。
服务类型:包括App类型、其他服务类型。其中,App类型为实现用户最主要使用目的的一种服务类型。
业务功能:包括基本业务功能、扩展业务功能。其中,基本业务功能是App实现用户主要使用目的的业务功能,基本业务功能之外的其他业务功能属于扩展业务功能。
必要个人信息:特指保障App基本业务功能正常运行所必需的个人信息,即当且仅当没有该等个人信息的参与,该App的基本业务功能无法实现或无法正常运行。
03 标准主要内容
标准给出了39种常见类型App必要个人信息范围和使用要求,提出了12种特定类型个人信息的收集要求,并将App收集个人信息的要求细化为以下7个主要方面。
App功能划分:包括明确App类型、划分App的基本业务功能和扩展业务功能等。
最小必要收集:包括明确App必要个人信息范围,以及目的明确、最小范围、最小影响、直接相关、时机恰当的最小必要原则。其中,“范围”包括类型、频率、数量、精度等。
告知同意:包括App基本业务功能与必要个人信息的告知同意,敏感个人信息告知同意,多种服务类型告知同意,以及用户拒绝或撤回同意4个方面。
系统权限:包括权限申请要求、权限使用要求。同时在附录中给出了可收集个人信息权限范围,以及与常见服务类型相关程度较低的安卓系统权限。
特定类型个人信息收集要求:包括日历信息、应用程序列表、设备信息、短信信息、通话记录信息、通讯录信息、位置信息、生物识别信息、录音及拍摄录像信息、传感器信息、相册信息、存储文件信息等的收集要求。
第三方收集管理:包括App对接入的第三方应用、嵌入的第三方SDK的安全管理要求。
常见类型App必要个人信息的使用要求:在《常见类型移动互联网应用程序必要个人信息范围规定》的基础上,给出了地图导航、网络约车、即时通信、网络支付等39种常见类型App必要个人信息的使用要求。
04 常见问题答疑
问题1:如果App提供了多种类型服务,那么App类型、App基本业务功能、以及App必要个人信息范围是否可以叠加?
答:不能叠加。App可能提供多种类型服务,实现用户最主要使用目的的一种服务类型,称为App类型。App基本业务功能是App类型下实现用户主要使用目的的业务功能。必要个人信息特指保障App基本业务功能正常运行所必需的个人信息。
问题2:如何理解必要、非必要但有关联、无关的含义?
必要 | 非必要 | |
必要 | 非必要但有关联 | 无关 |
相关 | 无关 | |
答:“必要”与“非必要但有关联”,统称为“相关”;“非必要但有关联”与“无关”,统称为“非必要”。所对应的要求可总结为:无关的不收集、非必要的不强制。
问题3:除了必要个人信息,其他个人信息是否都不允许收集?
答:不是。必要个人信息特指保障App基本业务功能正常运行所必需的个人信息;非必要但有关联个人信息是与App所提供服务直接相关但可选收集的个人信息。即非必要但有关联个人信息也可收集,但应做到用户可选择、可拒绝(即“非必要的不强制”)。
问题4:如果用户同意或主动提供,是否可以收集与所提供的服务无关的个人信息?
答:不能收集。与所提供的服务无关的个人信息不应收集、或以任何方式向用户征求同意,即使用户可能同意或可能提供(即“无关的不收集”)。
05 实施建议
标准的实施与应用有助于指导App运营者落实个人信息保护法规政策的有关要求,进一步规范App个人信息收集活动,建立App个人信息安全合规体系,着力防范App违法违规收集使用个人信息风险。
同时,该标准的实施推广,可指导第三方机构进行App个人信息安全测评和认证,支撑主管监管部门开展App个人信息安全治理,破解超范围收集、捆绑授权、强制索权等个人信息突出问题,为个人信息保护管理工作提供标准化支撑。
于App的“合规人员”和“开发人员”,具体实施建议如下:
(一)合规人员
1、全面梳理App所收集的个人信息、申请的系统权限,各项个人信息类型、系统权限所用于的业务功能或使用目的,以及该个人信息/权限是否为实现相关功能或目的所必需;
2、全面梳理App接入的第三方应用与嵌入的第三方SDK的运营者主体名称、所收集的个人信息、申请的系统权限,各项个人信息类型、系统权限所用于的业务功能或使用目的,以及该个人信息/权限是否为实现相关功能或目的所必需。
3、按照标准设计告知同意、系统权限、第三方收集、特定类型个人信息等保护措施。
(二)开发人员
1、权限申请:减少权限申请数量,避免申请低相关度权限;
2、 权限使用:设置合理的申请时机,以及通过权限收集个人信息的频率与时机;
3、隐私设计:为用户提供业务功能的多种实现方式,并默认采用对个人权益影响最小的实现方式,例如无需系统权限、本地方式、申请较低精度权限、单次授权等方式;
4、最新隐私机制:跟进适配移动智能终端操作系统的最新隐私机制与功能,例如分区存储。
06 其他配套文件
事实上,GB/T 41391—2022《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》的编制过程中伴随着大量的研究、实践工作,以下文件、工具均有助于组织在落实标准要求中提供参考和辅助:
TC260-PG-20191A《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》(2019年6月1日发布)
TC260-PG-20202A《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》(2020年7月25日发布)
TC260-PG-20203A《网络安全标准实践指南—移动互联网应用程序(App)个人信息保护常见问题及处置指南》(2020年9月20日发布)
TC260-PG-20204A《网络安全标准实践指南—移动互联网应用程序(App)系统权限申请使用指南》(2020年9月20日发布)
TC260-PG-20205A《网络安全标准实践指南—移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》(2020年11月27日发布)
App个人信息保护合规评估工具(https://zcpt.cesidsat.com)(2020年9月20日发布)
其中,以上网络安全标准实践指南的获取方式为:TC260主页(www.tc260.org.cn)/搜索栏/具体名称
扫下面二维码,即可查阅和获取GB/T 41391—2022《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》。
(本文作者:中国电子技术标准化研究院网安中心 周晨炜 胡影)
声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
