2022年5月7日,工信部发布《移动互联网应用程序(APP)收集使用个人信息最小必要评估规范 第1部分:总则》[1]等4项行业标准报批公示稿。公示截止时间为2022年6月7日。该标准适用于APP提供者遵循最小必要原则规范其对用户个人信息的处理活动,对于企业有较强的参考价值。

(一)体系定位

本次公示的4项行业标准(总则、位置信息、图片信息、短信信息)系《移动互联网应用程序(APP)收集使用个人信息最小必要评估规范》系列行业标准的组成部分。该系列标准旨在对移动互联网行业收集使用人脸、通讯录、短信、位置、图片等敏感个人信息进行规范,落实最小、必要的原则。

该系列行业标准共由16个部分构成:总则、位置信息、图片信息、终端通讯录、设备信息、软件列表、人脸信息、录像信息、录音信息、通话记录、短信信息、好友列表、传感器信息、应用日志信息、身份信息、剪切板信息

(二)与《APP收集使用个人信息最小必要评估规范》[2] 团体标准的关系

本次由工信部发布的评估规范属于行业标准,其与电信终端产业协会[3]于2020年起陆续发布的17项《APP收集使用个人信息最小必要评估规范》[4] 团体标准密切相关。根据《中华人民共和国标准化法》的规定,标准包括国家标准、行业标准、地方标准和团体标准、企业标准。(T/TAF 077.X-2020)《APP收集使用个人信息最小必要评估规范》团体标准是在缺少相关行业标准的情况下,由电信终端产业协会相关团体于2020年起自主发布,并由社会自愿采用的标准。而(YD/T 4177.X-2022)《移动互联网应用程序(APP)收集使用个人信息最小必要评估规范》行业标准是由工信部主导制定的。区别于上述团体标准,该行业标准是对国家标准的补充,适用于整个通信行业,且指标低于该行业标准的团体标准为无效标准。因此,通常情况下应优先选用该行业标准,并在本系列其他行业标准文件未颁布之前参照相应团体标准。

此外,虽然无论行业标准还是团体标准都不具备法律强制力,但《移动互联网应用程序(APP)收集使用个人信息最小必要评估规范》作为《个人信息保护法》所明确“最小必要原则”的细化落实,以及其“主管监管部门、第三方评估机构等组织对移动互联网应用程序收集图片信息行为进行监督、管理和评估”的适用范围,企业仍应将该系列行业标准作为APP合规的重要参考,并在其他部分行业标准出台之前了解既有团体标准内容,从严落实标准要求。

(三)适用范围

移动互联网应用程序(APP)收集使用个人信息最小必要评估规范》系列行业标准适用于移动互联网应用程序(APP)提供者规范用户个人信息的处理活动,也适用于第三方评估机构等组织对移动应用软件收集使用个人信息行为进行监督、管理和评估。个别条款不适用于特殊行业、专业应用,其他终端也可参考使用。

  • 移动智能终端 smart mobile terminal

能够接入移动通信网,具有能够提供应用程序开发接口的操作系统,具有安装、加载和运行应用软件能力的终端。

  • 移动互联网应用程序 mobile application software

可安装在移动智能终端内,能够利用移动智能终端操作系统提供的公开开发接口,实现某项或某几项特定任务的计算机软件,包含移动智能终端预置应用软件,小程序、快应用以及互联网信息服务提供者提供的可以通过网站、应用商店等移动应用分发平台下载、安装、升级的应用软件。

(四)主要内容

标准编号

标准名称

标准主要内容

YD/T 4177.1-2022

移动互联网应用程序(APP)收集使用个人信息最小必要评估规范第1部分:总则

本文件规定了APP收集使用个人信息的最小必要基本原则、评估要求、评估方法以及评估流程

YD/T 4177.2-2022

移动互联网应用程序(APP)收集使用个人信息最小必要评估规范第2部分:位置信息

本文件规定了移动互联网应用程序(APP)在处理涉及用户个人信息(位置信息)的告知同意、收集、存储、使用、删除、传输、删除等活动中的最小必要评估规范,并通过设备信息在处理活动中的典型应用场景来说明如何落实最小必要原则。

YD/T 4177.3-2022

移动互联网应用程序(APP)收集使用个人信息最小必要评估规范第3部分:图片信息

本文件规定了在移动应用软件在处理涉及个人信息主体个人信息相关图片信息的收集、存储、使用、删除等活动中的最小必要信息规范和评估方法,并通过对在个人信息处理活动中的典型应用场景来说明如何落实最小必要原则。

YD/T 4177.11―2022

移动互联网应用程序(APP)收集使用个人信息最小必要评估规范第11部分:短信信息

本文件是APP收集使用个人信息最小必要评估规范系列标准中的短信信息部分,旨在贯彻个人信息收集使用的最小必要的原则,针对APP访问、收集、存储、使用、删除用户手机短信(含彩信、5G消息等多媒体方式)信息等各环节提出相应的最小必要性符合度评估项,并结合典型场景,对APP最小必要处理短信信息进行规定。

(五)基本原则——最小必要

APP个人信息的处理应遵循最小必要原则,即处理个人信息应当具有明确、合理的目的,应与处理目的直接相关,采取对个人权益影响最小的方式。当APP提供的业务功能不在《移动互联网应用程序(APP) 收集使用个人信息最小必要评估规范》”系列标准内,同样应满足最小必要要求

(六)《总则》明确的最小必要评估基本要求

《APP收集使用个人信息最小必要评估规范 第1部分:总则》规定了APP收集使用个人信息的最小必要原则的评估要求,其从权限、告知同意、收集、存储等维度全方位地对app个人信息处理环节进行了规定,详见下表:

评估维度

要求

权限

权限申请和使用应遵循最小必要原则,要求如下:

  • 权限申请和使用的目的、方式、范围应遵循最小必要原则,不应超出业务功能的实际需要或合理关联,法律法规另有规定的除外。

  • APP应申请与业务功能相关的权限,不应过度申请权限。如APP的业务功能中,不包含录音相关场景,则不应申请录音权限。

  • APP申请敏感权限时,应同步告知权限使用的目的和用途。

  • APP宜优先采用系统自身功能,代替调用相关敏感权限。如APP需要拨打电话功能时,可优先选择调用系统的电话界面,而不是申请电话权限。

  • 不得以改善服务质量、提升使用体验和实施风险控制等为由,强迫个人信息主体授予权限。

  • APP申请权限时需要在使用对应业务功能时申请,不应一揽子申请多个权限,不得默认、捆绑或使用其他手段变相欺骗、误导、强迫个人信息主体授予权限。

  • 对于第三方SDK等外部代码的引用,APP应要求SDK其相关权限的申请同样满足最小必要原则,不得过度申请权限。

告知同意

告知同意应遵循最小必要原则,要求如下:

  • 告知同意应遵循最小必要原则,即APP所提供产品或服务涉及多项业务功能的,处理个人信息时,宜按业务功能单项或分项获得个人信息主体同意,不应采用捆绑方式强迫个人信息主体一次性同意多种业务功能收集的个人信息。个人信息主体拒绝同意时,仅影响与所拒绝个人信息相关的业务功能的正常使用。

  • 告知同意的时机及频率,宜在收集使用之前或收集使用之时的适当时机告知,增进个人信息主体对告知与所处理收集的个人信息之间关联性的理解。

收集

收集个人信息应遵循最小必要原则,要求如下:

  • 收集个人信息的目的、方式、范围应遵循最小必要原则,不应超出业务功能的实际需要或合理关联,法律法规另有规定的除外。

  • APP被授予权限后,权限使用应遵循最小必要原则,即应合理使用申请的权限,不应滥用权限,超频次、超范围、超精度收集个人信息。

存储

个人信息的存储包含本地存储和服务器远端存储,均应遵循最小必要原则,要求如下:

  • 存储个人信息的目的、方式、范围应遵循最小必要原则,不应超出业务功能的实际需要或合理关联,法律法规另有规定的除外。

  • 存储个人信息的类型及数量应遵循最小必要原则,不应超出业务功能的实际需要。

  • 存储个人信息的时间应遵循最小必要原则,即存储个人信息的时间,应当为实现处理目的所必要的最短时间,在超出上述期限后,应对个人信息进行删除或匿名化处理。(注:对于保存在端侧的个人信息,只需对业务运行过程中产生的包含个人信息的临时文件,或过程文件指定删除时间,其它个人信息由用户自己管理和控制)

  • 收集个人信息后,宜立即进行去标识化处理,并将可用于恢复识别个人的信息与去标识化后的信息分开存储

  • APP如需在终端本地存储个人信息,则应将个人信息存储在受保护的文件区域,防止其他APP非授权访问。

  • 个人生物识别信息应在本地进行加密存储。如因业务需要确需传出终端的,应使用单向不可逆摘要算法进行摘要处理或使用高强度加密算法进行加密处理,且单独明确告知,用户选择同意后,方能传出终端。

使用

使用个人信息应遵循最小必要原则,要求如下:

  • 使用个人信息的目的、方式、范围应遵循最小必要原则,不应超出业务功能的实际需要,法律法规另有规定的除外。

  • 使用个人信息时,除目的所必需外,应消除明确身份指向性,避免精确定位到特定个人。

  • 使用个人信息进行定向推送应遵循最小必要原则,不应超出业务功能的实际需要。

  • 若APP定向推送功能使用了第三方的个人信息来源,应以个人信息处理规则等形式向个人信息主体明示业务功能使用第三方的个人信息进行定向推送,并向个人信息主体明示第三方的个人信息来源。

  • 使用个人信息进行定向推送应显著区分个性化展示和非个性化展示,显著区分的方式包括但不限于:标明“推荐”、“猜你喜欢”等字样,或通过不同的栏目、版块、页面分别展示等。

  • 使用个人信息进行定向推送应当同时提供关闭个性化展示的选项。此外,APP宜建立个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障个人信息主体调控定向推送展示相关性程度的能力。

加工

加工个人信息应遵循最小必要原则,要求如下:

  • 加工个人信息的目的、方式、范围应遵循最小必要原则,不应超出业务功能的实际需要或合理关联,法律法规另有规定的除外。

  • 间接获取个人信息后,进行加工处理形成新的个人信息并用于其他目的,需要告知,并再次征得个人信息主体的同意

传输

传输个人信息的目的、方式、范围应遵循最小必要原则,不应超出业务功能的实际需要或合理关联,法律法规另有规定的除外。

提供

提供个人信息的目的、方式、范围应遵循最小必要原则,不应超出业务功能的实际需要或合理关联,法律法规另有规定的除外。

公开

公开个人信息的目的、方式、范围应遵循最小必要原则,不应超出业务功能的实际需要或合理关联,法律法规另有规定的除外。

删除

删除个人信息应遵循最小必要原则,超出存储期限后,应对个人信息进行删除或匿名化处理。

(七)《总则》确认的基本评估流程

APP收集使用个人信息最小必要评估流程应包括确定评估目标、选择评估指标、制定评估计划、实施评估及得出评估结论五个活动。

1. 确定评估目标

——被评估方可为APP或者APP中某项某类功能。

——评估方可为APP提供者、开发者和运营者,也可为第三方实验室。

2. 选择评估指标

——评估方根据被评估方提供的技术说明文档、被评估APP样品等材料:确定初步的方案审核,发现涉及的个人信息类型,选择对应的评估规范标准,并由此定义后续的评估的计划和评估项例。

3. 制定评估计划

——评估方应根据评估目标,本着公平、公正、公开原则开展评估工作。

——评估准则内容应至少包括评估对象和范围、评估依据、评估环境、评估工具。

——评估准则中应明确评估通过/不通过准则。

4. 实施评估

——依据对应的评估规范标准开展实施评估活动。

——通过各部分实施评估工作可顺序开展也可并行开展,无完整的顺序关系。

——各部分最小必要评估结果均应以评估报告的形式进行输出,其内容至少应包括开展最小必要信息类型、评估所选择的评估指标及针对评估指标的评估结果。

5. 得出评估结论

——针对开展评估的个人信息类别进行评估,APP 收集使用最小必要未见异常并通过评估,否则未通过评估。

——在最小必要评估报告中,应包含评估的环境、评估基本要素和每一项评估的结果,同时还应具体描述评估过程中的步骤,如包含未通过项则评估报告中应包含未通过原因的具体描述。

(八)本次公布的其他评估规范中的重点要求

《APP收集使用个人信息最小必要评估规范》系列行业标准除总则外,此次公开的其他三份标准文件针对位置信息、图片信息、短信信息三类敏感个人信息处理活动,就其最小必要性符合度评估项进行了特别规定。针对每一类数据,相应评估规范均针对不同的处理活动期间,例如收集、存储、使用等阶段给出了相应的是否满足“最小化”的评估要求。由于规范规定的颗粒度非常细,且具有很强的实践操作性,为避免遗漏,本文不再做提炼总结,建议直接阅读相应评估规范。

值得一提的是,针对每一类数据,各评估规范都对相关信息进行了分类,并列明了典型应用场景,对于受众准确和深入理解工信部监管思路具有很大帮助。有关三类信息的具体分类和典型应用场景我们试总结如下:

信息类型

信息分类

典型应用场景

位置信息

根据 APP 业务场景,APP 可收集的位置信息数据分类包括:

  • 终端定位信息(卫星定位信息、无线网络信息、移动通信基站定位、传感器、IP 地址等);

  • 用户填写的位置信息;

  • 图片、录像数据中的位置信息。

  • 地图服务

  • 广告服务

  • 调度服务

  • 资产管理服务

  • 搜索服务

  • 推荐服务

  • 画像服务

  • 风控服务

图片信息

图片可以通过拍照、屏幕截图以及对图片的再加工的方式生成。根据图片信息中包含的内容,可将图片信息分为以下三类:

  • 图片基本信息:指图片的基本特征信息,包括图片内容信息(原始的和编码后的二进制码)、图片格式、大小、分辨率;

  • 图片附加信息:拍照时间、拍照设备、拍照参数、图片名称等可关联出个人的图片信息;

  • 图片位置信息:指拍摄图片时的精准定位信息。例如安卓系统可通过GpsLocationProvider 来获取精确位置信息。

  • 社交类:个人信息主体通过 APP 发送固定数量的图片到明确的一个或多个好友或朋友圈限定范围的场景。

  • 媒体发布类:个人信息主体出于图片公开的目的将图片通过 APP 发布到媒体平台的场景。

  • 图片加工类:个人信息主体通过 APP 对图片进行编辑生成新的图片的场景。

  • 图像识别类:个人信息主体通过 APP 对图片或扫一扫生成的缓存图片进行识别的场景。

  • 云盘备份类:通过 APP 将本地图片备份到云盘的场景。

  • 客服/售后类:个人信息主体在 APP 中因某种诉求发送图片到客服或售后的场景。

短信信息

文件将短信信息包含的信息类型划分为如下类型:

  • 本机用户标识:用于识别或区分短信、彩信信息所在移动终端设备用户的的标识信息,可包括发送者的手机号等;依据短信信息的发送方,本机用户标识可以是短信信息的发送者标识,也可以是短信信息的接收者标识。

  • 对端标识:用于识别或区分短信、彩信信息所在移动终端设备用户的的短信通信对端标识信息,包括接收者的手机号等。

  • 短信内容:为短信发送者编辑并发送给接收者的各种格式的内容。单一的短信内容是否包含个人信息、包含的个人信息的类目数量以及包含的具体个人信息类型取决于每个短信内容的本身。

  • 时间:移动终端设备用户接收或发送该条短信的时间。

  • 短信云备份:以数据备份为目的,APP将用户终端上的短信信息传输至远端服务器上存储的场景

  • 验证码便捷获取:以协助用户完成登录或支付等操作为目的,APP识别短信中的验证码并提示用户的场景。

  • 便捷短信查询与服务订阅:以便利用户操作为目的,APP帮助用户发送特定短信指令至特定号码,查询相关信息或订阅服务的场景,如流量余额查询

  • 短信优化编辑与发送:以协助用户编辑并发送短信为目的,APP提供短信编辑功能并发送短信至用户指定号码的场景。

  • 短信功能体验增强:以增强用户短信功能体验为目的,APP为用户提供如短信发送商户识别和图形化展示等增强短信功能的场景。

  • 手机间数据互传:以在用户不同手机间传输数据为目的,将用户一部手机中的短信信息传输至用户另一部手机的场景,如换机。

  • 骚扰拦截:以帮助用户拦截、屏蔽诈骗、广告等用户不期望接收的短信信息为目的,APP识别、展示并处置相关短信信息的场景。

  • 服务智能化:以改善服务智能化程度或用户体验为目的,APP访问用户短信信息的场景。

  • 已关联设备的配套应用:通过此类应用用户可将移动设备与已关联设备(例如智能手表、汽车、智能家居设备等)连接起来,还能够收发短信。

  • 跨设备同步或转移短信:在多个设备上(例如手机和笔记本电脑之间)同步短信信息。

  • 设备自动化:用户可让设备根据其设置的一个或多个条件(触发条件),在操作系统的多个区域自动执行重复性操作。

  • 企业存档及设备管理:企业存档、客户关系管理CRM和/或设备管理,如运营商通过短信上报设备信息与驻网状态。

  • 车载免提使用和投影显示:与驾驶/出行的核心功能(例如导航)直接相关的APPs,尤其是在用户与设备的物理互动受到限制的情况下。

  • 呼救短信:可在发生人身安全或紧急状况时发送报警短信。

  • 用户数据本地备份与还原:用户的事务性备份和还原以及企业的归档(限时/非连续)。

(九)合规建议

我们理解,企业应当重点关注、优先适用新发布的行业标准,从数据全生命周期出发规范APP的个人信息处理活动以此落实最小必要原则,并持续监测该系列其他行业标准的发布。同时,考虑到该系列行业标准整体为团体标准的优化、提升,我们也建议企业了解既有团体标准内容,提前做好部署。

目前阶段可供采取的具体行动包括:

(1)梳理现有App位置信息、图片信息和短信信息,并将其根据《评估规范》进行基本分类

(2)根据《评估规范》要求,按照信息类别排查其数据处理活动是否符合最小必要原则,并作出必要整改,对于无法整改的(例如定推服务中对与第三方来源信息的披露),应当考虑适当的风险规避措施

(3)修订相应的《隐私政策》

周杨、梁天翔

参考资料

[1] http://miit.ccsa.org.cn/pclistDetail/?id=57

[2] http://www.ttbz.org.cn/StandardManage/Detail/40991/

[3] 电信终端产业协会是由中国信息通信研究院联同国内电信运营商、电信终端设备制造商、系统设备制造商、认证检测机构和研究机构共同发起的自愿性、非盈利的国家级社会组织,主管单位为工业和信息化部。

[4]http://www.ttbz.org.cn/StandardManage/Detail/40991/

声明:本文来自享法互联网JoyLegal,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。