随着数字化时代的发展，收集个人信息的合理性及必要性被用户尤为看重。在GB/T 35273-2020《信息安全技术 个人信息安全规范》（以下简称《GB/T 35273》）的5.2章节特别关注了收集个人信息的最小必要性。故本文将从《GB/T 35273》的要求出发，结合《信息安全技术 移动互联网应用程序（App）个人信息安全测评规范（送审稿）》（以下简称《测评规范》），举例分析，如何判定收集个人信息是合理、必要、最小化的。

检测思路

5.2-a）收集的个人信息的类型应与实现产品或服务的业务功能有直接关联

具体可分为以下三个方面：

1、App 必须收集的个人信息应是保障其基本业务功能正常运行最少够用的个人信息；

安装并运行App，检查实现基本业务功能过程中，是否存在强制收集必要个人信息范围外的其他个人信息或强制用户打开非必要权限。

注：服务类型正常运行最少够用的个人信息及相关要求见GB/T 41391-2022《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》（以下简称《GB/T 41391》）附录A，给出了常见39类服务类型App的基本业务功能和必要个人信息范围，以及必要个人信息的使用要求。

举例：

【远程会议类App】

首次安装使用App“音视频会议”基本业务功能过程中，用户需提供手机号用于注册，除此之外，不强制要求用户提供其他个人信息，则为合规。

图：《GB/T 41391》中远程会议类App的要求

【短视频类App】

首次安装运行App，若用户可以在不提供任何个人信息的情况下使用“播放、搜索短视频”基本业务功能，则为合规。

图：《GB/T 41391》中短视频类App的要求

【在线问诊类App】

使用App在线问诊功能时，用户必须填写咨询人的“真实姓名”和“身份证号”才能提交咨询请求，依据《GB/T 41391》在线问诊的必要个人信息范围仅为手机号和病情描述，App强制收集非必要个人信息，为不合规。

图：在线问诊功能页面截图

图：《GB/T 41391》中要求实现“在线咨询问诊”的必要个人信息范围

2、App 收集的个人信息的类型应与实现其业务功能有直接关联；

注：直接关联是指没有该个人信息的参与，与之相对应的服务功能无法实现。

具体方法如下——

● 查看隐私政策，描述的App收集的个人信息是否与业务功能相关。

● 遍历业务功能，查看App实际收集的个人信息及申请的敏感权限，再结合目的告知、隐私政策及实际业务功能情况，判断是否均与业务功能有直接关联。

● 通过技术手段，査看App在配置文件中声明的权限是否与业务功能有直接关联。

图：首次运行初始化阶段，App申请电话权限，目的告知不明确，疑似无关索权

图：“拍照”更换头像申请麦克风权限，但当前功能不涉及录音功能，疑似无关索权

图：平台扫描出App配置文件中声明的权限示例

3、用户未使用App特定功能时，不应提前要求用户授权该功能需要的权限或要求用户填写该功能需要的个人信息。

遍历App，检查App申请打开敏感权限及要求用户填写个人信息的时机，是否为用户主动触发、当前业务场景所需申请/收集的，是否存在提前索权的行为。

举例：

1、进入“预约试驾”功能申请位置权限，而此时用户未触发“预约门店”功能，疑似提前索权，为不合规。

图：进入“预约试驾”页面立即申请位置权限

2、用户在意见反馈中点击“上传图片”的图标后，App申请打开相机权限和存储权限，用户同意后才让用户选择是拍照上传还是从文件选择上传，存在提前索权，为不合规。

图：先申请权限才让用户选择拍照/文件上传

5.2-b）自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率

通过技术检测，查看App及其嵌入的第三方 SDK在前台、后台和静默运行时自动收集个人信息的频率，结合隐私政策相应场景下采集频度的相关说明，从而判断是否超出业务功能所必需的最低频率。

App 自动收集个人信息的频率参考其调用可读取个人信息的 API的频率或发送包含个人信息的网络数据包的频率。

不同场景下App采集个人信息的合理频率和相应的检测环境可参考《测评规范》附录D。

图：《测评规范》附录D

举例：

1、某智控家居App，用户在添加附近设备功能中同意位置权限后，即使退出添加设备功能，在其他无业务场景的页面上静置期间（如“我的”页面），仍存在高频获取已配对蓝牙设备MAC地址的行为，未遵循最小必要原则，为不合规。

图：在“我的”页面静置，仍存在高频采集行为

2、在使用App业务功能约20分钟，通过技术手段检测到，App获取已配对蓝牙设备MAC地址共13173次，最高一分钟采集4978次，自动采集的频度过高，为不合规。

图：使用期间，获取已配对蓝牙设备MAC地址的频率

3、使用一段时间后，将App置于手机后台时，通过技术手段检测发现存在某第三方sdk在定频采集ip地址，但隐私政策未对此后台行为进行说明，疑似超出业务功能实际需要，未遵循最小必要原则，为不合规。

图：后台运行期间，定频采集ip

5.2-c）查看间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量

何为“间接获取”？

由《GB/T 35273》中对“收集”一词的解释可知，收集是获得个人信息的控制权的行为，通过获得方式可以分为直接收集和间接收集两个方面：

● 直接收集——由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集行为；

● 间接收集——通过共享、转让、搜集公开信息等间接获取个人信息等行为。

如：第三方账号登陆时获取用户的昵称、头像，内嵌第三方购物平台时聚合展示用户在不同第三方购物平台的订单信息，获取用户的第三方信用评分，获取用户的第三方用户画像等。

查看App的隐私政策和业务功能，确定是否存在间接获取个人信息的行为，若存在，App需检查：

①间接获取的个人信息的数量是否是实现 App 业务功能所必需的最少数量；

②在间接获取的场景下是否有获取个人信息的协议，协议中是否规定获取个人信息的类型、数据量以及与业务功能的关联关系。

图：隐私政策声明App存在间接获取个人信息行为

总 结

综合来看，App收集个人信息要想满足“最小必要”原则，开发者在设计开发阶段一定要明确两个问题：

● 为什么要收集？

——即收集个人信息的相关性。如果当前业务场景存在合理的业务目的，则可以向用户收集。

● 是否必须要收集？

——即收集个人信息的必要性。如果存在合法合理的必要性，才可以强制收集（“强制收集”指用户不提供个人信息，则业务功能无法实现）。

我们深入探讨了《GB/T 35273》的5.2章节检测方法，君子之求利而略，其远害也早，希望App开发者可以自查自纠，这不仅是为了监管合规，更是维护了隐私合规的大数据环境。我们呼吁所有信息控制者，以保障用户隐私为首要任务，通过遵循相关标准和最佳实践，共同努力构建一个值得用户信赖的数字社会。

（本文作者：北京梆梆安全科技有限公司 郭子汇、吴飏）

声明：本文来自CCIA数据安全工作委员会，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。