2022年4月15日,国家市场监督管理总局、国家标准化管理委员会发布 “《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》(GB/T 41391—2022)”标准,该标准适用于App运营者规范其个人信息收集活动,规定了App收集个人信息的基本要求,给出了常见服务类型App必要个人信息范围和使用要求。

条款解读

6.4.2告知同意-敏感个人信息告知同意

a)

收集生物识别、宗教信仰、特定身份,、医疗健康、金融账户、行踪轨迹等敏感个人信息时,应同步告知用户收集使用目的,目的描述应明确具体、通俗易懂,并取得用户单独同意。

条款解析:检测App隐私政策是否有向用户明示其收集敏感信息的行为,并查看收集用户敏感信息时,是否有同步告知目的并取得用户单独同意。

b)

收集不满14周岁未成年人个人信息,应制定专门的个人信息处理规则,内容应包括但不限于:

1)App运营者的名称或者姓名和联系方式;

2)未成年人个人信息的处理目的、处理方式;

3)处理的未成年人个人信息种类、保存期限;

4)用户行使个人信息权利的方式和程序;

5)处理未成年人个人信息的必要性;

6)对未成年人个人权益的影响。

条款解析:

a)检测功能界面是否存在收集不满14周岁未成年人的个人信息,若存在收集行为,是否有制定专门的个人信息处理规则。

b)检测隐私政策是否存在收集不满14周岁未成年人的个人信息的描述,若存在,是否有制定专门的个人信息处理规则。

c)

收集不满14周岁未成年人个人信息,应取得未成年人的父母或者其他监护人的单独同意。

条款解析:检测功能界面是否存在收集不满14周岁未成年人的个人信息,若存在收集行为,是否取得监护人的单独同意。

检测思路

“告知同意”这个条款可以分成关于App基本业务功能与必要个人信息的告知同意、敏感个人信息告知同意、多种服务类型告知同意、用户拒绝或撤回同意四个方面的检测。其中6.4.2敏感个人信息告知同意条款,重点以隐私政策和App功能测试为主,主要检查:

一是,隐私政策是否存在明示告知用户收集的个人敏感信息以及是否收集不满14周岁的未成年人的个人信息,若存在收集不满14周岁未成年人的个人信息,是否有制定专门的个人信息处理规则。

二是,功能界面收集敏感信息时是否同步且清晰明确告知收集的目的,并在检测过程中查看收集敏感信息或不满14周岁未成年人的个人信息时,是否取得单独同意。在实际App案例中,经常出现收集上述信息,未取得用户/监护人单独同意情形,该问题的重点在于App是否存在未取得单独同意就收集个人敏感信息/不满14周岁未成年人的信息的情形。

具体的检测思路如下:

1、遍历状态下,查看是否存在收集敏感信息的行为,若收集敏感信息,需检测隐私政策及同步告知是否有告知用户目的,目的的描述应明确具体、通俗易懂,并取得用户单独同意。其中“单独同意”最早是在2021年的《个人信息保护法》(以下简称“个保法”)提出,“单独同意”强化了个人的自主权,要求做到“一场景一告知一同意”,即不能一次性收集两个或以上的敏感信息,收集敏感信息时要做到同步告知目的,让用户自主选择同意(如设置“下一步”、“提交”等操作)其收集行为。《个保法》第28条将“不满十四周岁未成年人的个人信息”也归在个人敏感信息的范畴之内,其中个人敏感信息可详见GBT-35273-2020 信息安全技术 个人信息安全规范 附录B。

合规样例-收集敏感信息的同步告知和单独同意

2、查看隐私政策及功能界面,是否有收集不满十四周岁未成年人的个人信息的描述或行为。人工遍历App所有业务功能,查看是否有收集身份证号、出生年月、年龄等信息,查看是否可以输入不满十四周岁未成年人的个人信息并提交此类信息。如果可以提交此类信息,需要制定专门的儿童(《条例(草案)》将“儿童”界定为“不满14周岁的未成年人”)信息处理规则。儿童信息处理规则至少需要包含1)-6)的内容。在实际App案例中,经常出现App不收集儿童信息,但隐私政策的描述存在“可能会收集儿童信息”等模糊不清的语句,误认为该App存在收集儿童信息,但未制定儿童信息处理规则。

合规样例-收集儿童信息并制定专门的个人信息处理规则

3、人工遍历App所有业务功能,查看是否存在收集身份证号、出生年月、年龄等信息的行为,并查看是否在输入不满十四周岁未成年人的个人信息并提交此类信息时,未征得其监护人或者父母的单独同意。App厂商常见的做法是:收集并识别出该用户为不满十四周岁未成年人时,收集该用户的联系方式,并验证该用户的监护关系,取得监护人同意后,将其监护人账号与儿童账号相关联。

结语

近期,国家计算机病毒应急处理中心针对“处理敏感个人信息未取得个人的单独同意”、“处理不满十四周岁未成年人个人信息的,未制定专门的个人信息处理规则”等多项合规问题进行检测,发现多款App存在违反《网络安全法》、《个人信息保护法》相关规定,涉嫌超范围采集个人隐私信息行为。针对此类行为,相关企业应按照相关法律法规要求处理个人信息,并制定相应的管理制度和条款约束其自身收集使用行为。

“大厦之成非一木之材,大海之阔非一流之归”,对于“告知同意”而言,是一个精细化的合规工作,对此,App运营者应当对每个收集环节都有清晰的规划,“行稳致远,进而有为”,推动App在收集使用个人信息方面更加完善。

(本文作者:北京梆梆安全科技有限公司 陈凤萍 史萍萍)

声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。