GB/T 41391中“告知同意”相关条款测试技术解析

2022年4月15日，国家市场监督管理总局、国家标准化管理委员会发布 “《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》（GB/T 41391—2022）”标准，以下简称《基本要求》。该标准适用于App运营者规范其个人信息收集活动，规定了App收集个人信息的基本要求，给出了常见服务类型App必要个人信息范围和使用要求。

1 条款解读

2 检测思路

“告知同意”这个条款可以分成关于App基本业务功能与必要个人信息的告知同意、敏感个人信息告知同意、多种服务类型告知同意、用户拒绝或撤回同意四个方面的检测。其中6.4.4用户拒绝或撤回同意条款，重点以隐私政策和App行为表现为主，主要检查：

一是，拒绝或撤回App个人信息收集、权限申请或业务功能使用的同意时，App是否出现强制退出或自动关闭行为；

二是，拒绝或撤回App个人信息收集、权限申请或业务功能使用的同意时（非App必要个人信息或基本业务功能），是否出现App基本业务功能无法使用，或其他无关业务功能无法使用的情形；

三是，用户拒绝单个业务场景非必要索权后，48小时内再次进入同一业务场景，App是否出现超过1次的弹窗（提示用户打开权限），重新打开App或使用其他与此权限无关的业务场景时，App是否出现再次索权或提示缺少权限的行为。在实际App案例中，经常出现用户拒绝索权后，App频繁申请授权、干扰用户正常使用的情形，该问题的重点在于，若不是用户主动点击触发的授权行为，或当前授权并不是实现该业务功能的必要权限。在这种情况下，用户选择拒绝授权后，App不应在48小时内进入同一场景时向用户多次申请授权（超过1次），或是每次打开APP或其他的业务功能时再次索权（除非由用户主动触发业务功能，且没有该个人信息或权限参与此业务功能无法实现）。

具体的检测思路如下：

1、拒绝或撤回App个人信息收集、权限申请或业务功能使用同意时，查看App是否出现强制退出或自动关闭的行为。

App拒绝授权强制退出场景图

2、首先需确定App类型、基本业务功能、必要个人信息范围——当App类型属于《基本要求》附录A中给出的常见服务类型时，则应按照附录A中所对应的服务类型划分App的基本业务功能、确定必要个人信息范围；当App类型不属于《基本要求》附录A中给出的常见服务类型，应将实现用户主要使用目的的业务功能划为基本业务功能，并将保障基本业务功能正常运行所必需的个人信息确定为必要个人信息。尝试拒绝必要个人信息范围以外的个人信息收集、拒绝权限申请、拒绝使用扩展业务功能时，观察是否影响了App基本业务功能的使用，或是否存在其他与所拒授权无关的业务功能无法使用的情况。

App最小必要个人信息概念表

3、拒绝App某一业务场景的索取授权后，48小时内再次进入同一业务场景，观察是否出现超出1次的弹窗（提示用户打开权限）；拒绝App某一业务场景的索取授权后，重新打开App，观察在未触及同一业务场景时，App是否出现向用户索取授权或提示用户缺少相关授权的行为（除非由用户主动触发业务功能，且没有该个人信息或权限参与此业务功能无法实现）。在实际App案例中，经常出现App未遵循《基本要求》附录A中对于各行各业最小必要个人信息的规定，自行认定App的最小必要个人信息，若用户不给予授权则强制退出或关闭的情形。

App提示缺少授权场景图

3 结语

近期，国家针对“拒绝或撤回授权后App强制退出或关闭”、“用户拒绝或撤回App授权后，App拒绝提供其他无关所拒权限的业务功能服务”、“用户拒绝或撤回App授权后，App频繁提示用户打开授权”等多项合规问题进行检测，发现多款App存在违反《网络安全法》、《个人信息保护法》相关规定，涉嫌强制、频繁、过度索取权限行为。针对此类行为，相关企业应按照相关法律法规要求处理个人信息，并制定相应的管理制度和条款约束其自身收集使用行为。

“万人操弓，共射一招，招无不中”，对于“告知同意-用户拒绝或撤回同意”的治理，需要各方一起合作，不仅需要App运营者对于法规有明确的认识，对App索取授权行为有明确清晰的管理与规划，更需要政府加强引导，监管部门致力严抓严惩各类App的违规行为，净化了App收集使用个人信息环境。“日日行，不怕千万里；常常做，不怕千万事”，通过各界一起努力，App收集使用个人信息的环境也将不断改善。

（本文作者：北京梆梆安全科技有限公司 曹华 陈凤萍）

声明：本文来自CCIA数据安全工作委员会，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。