GB/T 35273中“收集个人信息时的授权同意”相关条款技术解析

随着移动互联网的普及以及移动应用程序（App）在各行各业的广泛应用，其蕴含的个人信息保护问题引起广泛关注，其中收集个人信息作为App运营者处理个人信息的第一个环节，更应在合规管理层面引起高度重视。本文将从GB/T 35273-2020《信息安全技术 个人信息安全规范》（以下简称《GB/T 35273》）的5.4收集个人信息时的授权同意章节的要求出发，探讨收集个人信息时的授权同意应满足哪些要求，并进行举例说明。

01 条款解析

‍02 检测思路

App运营者在收集个人信息时，应在哪些方面满足5.4章节要求的收集个人信息时的授权同意呢？主要体现在以下几点：

隐私政策：

• 逐一说明收集的个人信息和个人敏感信息（含生物识别信息）的业务功能，说明其收集的目的、方式、范围；

• 对个人敏感信息（含生物识别信息）进行显著标识。

功能页面：

• 说明收集的个人敏感信息（含生物识别信息）的目的和申请打开可收集个人信息权限的目的；

• 收集未成年人个人信息的，应具备征得未成年人或监护人同意的机制。

合同约定：

• 与个人信息提供者约定已获得个人信息的授权范围。

03 具体检测方法

（一）检查征得用户同意前，是否存在收集个人信息或擅自更改可收集个人信息权限的情形

App首次运行时，需通过交互界面（弹窗、文字、提示条等形式）征得用户同意隐私政策，在用户同意隐私政策前，不应存在收集个人信息或申请打开可收集个人信息权限的情形。

App在使用过程中，不应私自更改可收集个人信息的权限，在App升级过程中，不应擅自更改用户授予的可收集个人信息权限的状态。

（二）检查隐私政策中是否逐一列出收集个人信息的目的、方式、范围

隐私政策中应逐一列出收集个人信息的目的、方式、范围，具体检查步骤如下：

• 遍历App内的业务功能，记录在功能页面向用户收集的个人信息及申请的可收集个人信息权限（如：相机权限、存储权限、通讯录权限），与隐私政策进行逐一对比，以此判断隐私政策是否逐一列出收集个人信息的业务功能，及其目的、方式、范围。

• 通过技术检测手段，查看App及其嵌入的第三方SDK收集个人信息的行为，与隐私政策中收集个人信息的相关描述进行逐一对比，以此判断隐私政策是否逐一说明了收集个人信息的目的、方式、范围。

图：功能遍历检测结果示例

对于App存在收集个人敏感信息（含生物识别信息）的行为，《中华人民共和国个人信息保护法》第三十条中同样进行了明确规定：

应向个人告知以下内容：

①个人信息处理者的名称或者姓名和联系方式；

②个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；

③个人行使本法规定权利的方式和程序；

④法律、行政法规规定应当告知的其他事项；

⑤处理个人信息的必要性；

⑥对个人权益的影响。App应做到明示上述内容，需保证个人是在完全知情的情况下，自主做出的授权同意。

（三）检查隐私政策是否对个人敏感信息（含生物识别信息）进行显著标识

图：个人敏感信息突出标识合规示例

个人敏感信息包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下（含）儿童的个人信息等。

注：关于个人敏感信息的判定方法参见GB/T35273附录 B。

（四）检查在业务功能页面上收集个人敏感信息（含生物识别信息）时，是否明示收集的目的等内容

根据《GB/T 35273》、《GB/T 41391》中的要求，App收集个人敏感信息，除了需在隐私政策中向用户明示外，收集时也需要在功能页面对收集个人敏感信息的业务目的进行说明，目的描述应明确具体，通俗易懂。以便用户在作出具体的授权同意前，能充分考虑对其具体影响。

若收集的个人敏感信息为生物识别信息时，还应在功能页面上说明其收集的目的、方式、范围、存储时间、存储方式、存储位置等规则。

图：收集个人敏感信息目的同步告知合规示例

（五）检查在功能页面上申请打开可收集个人权限时，是否说明收集的目的

图：位置权限目的同步告知合规示例（左iOS；右Android）

（六）检查存在收集未成年人个人信息时，是否具备征求未成年人或监护人同意的机制

App运营者存在收集未成年人个人信息的情形，应区分收集的未成年人个人信息是否已年满14周岁。若已满14周岁，应征得其监护人或未成年人的同意，若未满14周岁，需征得其监护人同意。

具体检测时可查看隐私政策及功能界面，是否存在收集未成年人的个人信息的描述或行为。人工遍历App所有业务功能，若存在收集身份证号、出生年月、年龄等信息，输入未成年人（已满14周岁和未满14周岁）的个人信息并提交，查看是否具有征得未成年人或监护人同意的机制。目前App存在通过手机号码注册/登录且业务功能页面无身份证号、出生年月等年龄验证机制的情形，无法区分用户的年龄，可采用在用户提交手机号码进行注册/登录后，用户主动选择是否已年满14周岁的合规方式。

图：手机号码登录时，验证年龄的合规示例

除此之外，存在收集未成年人个人信息的情形，《GB/T 41391》中规定App运营者需制定专门的未成年人个人信息处理规则，内容包括但不限于：

①App运营者的名称或姓名和联系方式；

②未成年人个人信息的处理目的、处理方式；

③处理未成年人个人信息种类、保存期限；

④用户行使个人信息权利的方式和程序；

⑤处理未成年人个人信息的必要性；

⑥对未成年人个人权益的影响。

由此看来，App运营者需重视未成年人个人信息的权益保护，及时建立未成年人个人信息处理规则。

（七）检查存在间接收集个人信息时，是否符合以下要求；

• 是否通过相关合同或协议保障获取个人信息来源的合法性；

• 是否通过相关合同或协议明确个人信息提供方已获得个人信息的授权范围，包括使用的目的、方式、范围，个人信息是否授权同意转让、共享、公开披露、删除等情形；

• 超出授权范围，是否有重新征得个人信息主体的同意或通过个人信息提供方重新征得用户同意的机制。

综合来看，App收集个人信息分为直接获取（由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集）和间接获取（通过共享、转让、搜集公开信息等）两种方式。直接获取个人信息应在隐私政策中说明收集个人信息的目的、方式、范围，需注意的是，个人敏感信息（包括生物识别信息）需要在隐私政策中进行明显标识，在功能页面上需对收集的个人敏感信息和申请打开可收集个人信息的权限进行同步告知。间接获取个人信息应与个人信息提供者约定提供个人信息的类型、目的，个人信息使用的情形，超出授权范围，应重新征得个人信息主体同意。

04  总结

向用户征求授权同意的前提，是让用户清晰地了解App的收集使用规则。为了保证收集使用规则的完整，App运营者不仅需逐一梳理出各业务功能及嵌入的第三方应用、SDK收集的个人信息，还需对收集使用规则进行持续地跟踪、维护、更新，使隐私政策所声明的收集使用规则与App的实际行为完全一致。此非一日之功，还需App运营者持重视之心谨以待之，为营造良好的隐私合规环境贡献力量。

（本文作者：北京梆梆安全科技有限公司 马婷婷 吴飏）

声明：本文来自CCIA数据安全工作委员会，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。