2022年5月7日,工信部发布《移动互联网应用程序(APP)收集使用个人信息最小必要评估规范 第1部分:总则》[1]等4项行业标准报批公示稿。公示截止时间为2022年6月7日。该标准适用于APP提供者遵循最小必要原则规范其对用户个人信息的处理活动,对于企业有较强的参考价值。
(一)体系定位
本次公示的4项行业标准(总则、位置信息、图片信息、短信信息)系《移动互联网应用程序(APP)收集使用个人信息最小必要评估规范》系列行业标准的组成部分。该系列标准旨在对移动互联网行业收集使用人脸、通讯录、短信、位置、图片等敏感个人信息进行规范,落实最小、必要的原则。
该系列行业标准共由16个部分构成:总则、位置信息、图片信息、终端通讯录、设备信息、软件列表、人脸信息、录像信息、录音信息、通话记录、短信信息、好友列表、传感器信息、应用日志信息、身份信息、剪切板信息。
(二)与《APP收集使用个人信息最小必要评估规范》[2] 团体标准的关系
本次由工信部发布的评估规范属于行业标准,其与电信终端产业协会[3]于2020年起陆续发布的17项《APP收集使用个人信息最小必要评估规范》[4] 团体标准密切相关。根据《中华人民共和国标准化法》的规定,标准包括国家标准、行业标准、地方标准和团体标准、企业标准。(T/TAF 077.X-2020)《APP收集使用个人信息最小必要评估规范》团体标准是在缺少相关行业标准的情况下,由电信终端产业协会相关团体于2020年起自主发布,并由社会自愿采用的标准。而(YD/T 4177.X-2022)《移动互联网应用程序(APP)收集使用个人信息最小必要评估规范》行业标准是由工信部主导制定的。区别于上述团体标准,该行业标准是对国家标准的补充,适用于整个通信行业,且指标低于该行业标准的团体标准为无效标准。因此,通常情况下应优先选用该行业标准,并在本系列其他行业标准文件未颁布之前参照相应团体标准。
此外,虽然无论行业标准还是团体标准都不具备法律强制力,但《移动互联网应用程序(APP)收集使用个人信息最小必要评估规范》作为《个人信息保护法》所明确“最小必要原则”的细化落实,以及其“主管监管部门、第三方评估机构等组织对移动互联网应用程序收集图片信息行为进行监督、管理和评估”的适用范围,企业仍应将该系列行业标准作为APP合规的重要参考,并在其他部分行业标准出台之前了解既有团体标准内容,从严落实标准要求。
(三)适用范围
移动互联网应用程序(APP)收集使用个人信息最小必要评估规范》系列行业标准适用于移动互联网应用程序(APP)提供者规范用户个人信息的处理活动,也适用于第三方评估机构等组织对移动应用软件收集使用个人信息行为进行监督、管理和评估。个别条款不适用于特殊行业、专业应用,其他终端也可参考使用。
移动智能终端 smart mobile terminal
能够接入移动通信网,具有能够提供应用程序开发接口的操作系统,具有安装、加载和运行应用软件能力的终端。
移动互联网应用程序 mobile application software
可安装在移动智能终端内,能够利用移动智能终端操作系统提供的公开开发接口,实现某项或某几项特定任务的计算机软件,包含移动智能终端预置应用软件,小程序、快应用以及互联网信息服务提供者提供的可以通过网站、应用商店等移动应用分发平台下载、安装、升级的应用软件。
(四)主要内容
标准编号 | 标准名称 | 标准主要内容 |
YD/T 4177.1-2022 | 移动互联网应用程序(APP)收集使用个人信息最小必要评估规范第1部分:总则 | 本文件规定了APP收集使用个人信息的最小必要基本原则、评估要求、评估方法以及评估流程。 |
YD/T 4177.2-2022 | 移动互联网应用程序(APP)收集使用个人信息最小必要评估规范第2部分:位置信息 | 本文件规定了移动互联网应用程序(APP)在处理涉及用户个人信息(位置信息)的告知同意、收集、存储、使用、删除、传输、删除等活动中的最小必要评估规范,并通过设备信息在处理活动中的典型应用场景来说明如何落实最小必要原则。 |
YD/T 4177.3-2022 | 移动互联网应用程序(APP)收集使用个人信息最小必要评估规范第3部分:图片信息 | 本文件规定了在移动应用软件在处理涉及个人信息主体个人信息相关图片信息的收集、存储、使用、删除等活动中的最小必要信息规范和评估方法,并通过对在个人信息处理活动中的典型应用场景来说明如何落实最小必要原则。 |
YD/T 4177.11―2022 | 移动互联网应用程序(APP)收集使用个人信息最小必要评估规范第11部分:短信信息 | 本文件是APP收集使用个人信息最小必要评估规范系列标准中的短信信息部分,旨在贯彻个人信息收集使用的最小必要的原则,针对APP访问、收集、存储、使用、删除用户手机短信(含彩信、5G消息等多媒体方式)信息等各环节提出相应的最小必要性符合度评估项,并结合典型场景,对APP最小必要处理短信信息进行规定。 |
(五)基本原则——最小必要
APP个人信息的处理应遵循最小必要原则,即处理个人信息应当具有明确、合理的目的,应与处理目的直接相关,采取对个人权益影响最小的方式。当APP提供的业务功能不在《移动互联网应用程序(APP) 收集使用个人信息最小必要评估规范》”系列标准内,同样应满足最小必要要求。
(六)《总则》明确的最小必要评估基本要求
《APP收集使用个人信息最小必要评估规范 第1部分:总则》规定了APP收集使用个人信息的最小必要原则的评估要求,其从权限、告知同意、收集、存储等维度全方位地对app个人信息处理环节进行了规定,详见下表:
评估维度 | 要求 |
权限 | 权限申请和使用应遵循最小必要原则,要求如下:
|
告知同意 | 告知同意应遵循最小必要原则,要求如下:
|
收集 | 收集个人信息应遵循最小必要原则,要求如下:
|
存储 | 个人信息的存储包含本地存储和服务器远端存储,均应遵循最小必要原则,要求如下:
|
使用 | 使用个人信息应遵循最小必要原则,要求如下:
|
加工 | 加工个人信息应遵循最小必要原则,要求如下:
|
传输 | 传输个人信息的目的、方式、范围应遵循最小必要原则,不应超出业务功能的实际需要或合理关联,法律法规另有规定的除外。 |
提供 | 提供个人信息的目的、方式、范围应遵循最小必要原则,不应超出业务功能的实际需要或合理关联,法律法规另有规定的除外。 |
公开 | 公开个人信息的目的、方式、范围应遵循最小必要原则,不应超出业务功能的实际需要或合理关联,法律法规另有规定的除外。 |
删除 | 删除个人信息应遵循最小必要原则,超出存储期限后,应对个人信息进行删除或匿名化处理。 |
(七)《总则》确认的基本评估流程
APP收集使用个人信息最小必要评估流程应包括确定评估目标、选择评估指标、制定评估计划、实施评估及得出评估结论五个活动。
1. 确定评估目标
——被评估方可为APP或者APP中某项某类功能。
——评估方可为APP提供者、开发者和运营者,也可为第三方实验室。
2. 选择评估指标
——评估方根据被评估方提供的技术说明文档、被评估APP样品等材料:确定初步的方案审核,发现涉及的个人信息类型,选择对应的评估规范标准,并由此定义后续的评估的计划和评估项例。
3. 制定评估计划
——评估方应根据评估目标,本着公平、公正、公开原则开展评估工作。
——评估准则内容应至少包括评估对象和范围、评估依据、评估环境、评估工具。
——评估准则中应明确评估通过/不通过准则。
4. 实施评估
——依据对应的评估规范标准开展实施评估活动。
——通过各部分实施评估工作可顺序开展也可并行开展,无完整的顺序关系。
——各部分最小必要评估结果均应以评估报告的形式进行输出,其内容至少应包括开展最小必要信息类型、评估所选择的评估指标及针对评估指标的评估结果。
5. 得出评估结论
——针对开展评估的个人信息类别进行评估,APP 收集使用最小必要未见异常并通过评估,否则未通过评估。
——在最小必要评估报告中,应包含评估的环境、评估基本要素和每一项评估的结果,同时还应具体描述评估过程中的步骤,如包含未通过项则评估报告中应包含未通过原因的具体描述。
(八)本次公布的其他评估规范中的重点要求
《APP收集使用个人信息最小必要评估规范》系列行业标准除总则外,此次公开的其他三份标准文件针对位置信息、图片信息、短信信息三类敏感个人信息处理活动,就其最小必要性符合度评估项进行了特别规定。针对每一类数据,相应评估规范均针对不同的处理活动期间,例如收集、存储、使用等阶段给出了相应的是否满足“最小化”的评估要求。由于规范规定的颗粒度非常细,且具有很强的实践操作性,为避免遗漏,本文不再做提炼总结,建议直接阅读相应评估规范。
值得一提的是,针对每一类数据,各评估规范都对相关信息进行了分类,并列明了典型应用场景,对于受众准确和深入理解工信部监管思路具有很大帮助。有关三类信息的具体分类和典型应用场景我们试总结如下:
信息类型 | 信息分类 | 典型应用场景 |
位置信息 | 根据 APP 业务场景,APP 可收集的位置信息数据分类包括:
|
|
图片信息 | 图片可以通过拍照、屏幕截图以及对图片的再加工的方式生成。根据图片信息中包含的内容,可将图片信息分为以下三类:
|
|
短信信息 | 文件将短信信息包含的信息类型划分为如下类型:
|
|
(九)合规建议
我们理解,企业应当重点关注、优先适用新发布的行业标准,从数据全生命周期出发规范APP的个人信息处理活动以此落实最小必要原则,并持续监测该系列其他行业标准的发布。同时,考虑到该系列行业标准整体为团体标准的优化、提升,我们也建议企业了解既有团体标准内容,提前做好部署。
目前阶段可供采取的具体行动包括:
(1)梳理现有App位置信息、图片信息和短信信息,并将其根据《评估规范》进行基本分类
(2)根据《评估规范》要求,按照信息类别排查其数据处理活动是否符合最小必要原则,并作出必要整改,对于无法整改的(例如定推服务中对与第三方来源信息的披露),应当考虑适当的风险规避措施
(3)修订相应的《隐私政策》
(周杨、梁天翔)
参考资料
[1] http://miit.ccsa.org.cn/pclistDetail/?id=57
[2] http://www.ttbz.org.cn/StandardManage/Detail/40991/
[3] 电信终端产业协会是由中国信息通信研究院联同国内电信运营商、电信终端设备制造商、系统设备制造商、认证检测机构和研究机构共同发起的自愿性、非盈利的国家级社会组织,主管单位为工业和信息化部。
[4]http://www.ttbz.org.cn/StandardManage/Detail/40991/
声明:本文来自享法互联网JoyLegal,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。