1、App隐私合规发展背景
移动互联网兴起之后,十多年来飞速发展,移动通信基础设施不断完善升级,推动了移动互联网产业的演进变革。我们可以看到,移动互联网产业重塑了人们的生产生活,它给整个世界带来的变革是迅速的、激进的,其中移动智能终端及其移动应用程序的普及,为经济发展、服务民生做出了巨大的贡献。各个企业在利用移动应用程序(App、小程序)进行个人数据采集分析,服务大众,也成就了自己的商业帝国。野蛮生长之下,衍生了诸多问题。用户个人信息被有意无意采集分析,或进行广告推送,或进行诈骗犯罪。
我国从2017年起对网络安全及个人信息保护工作展开了全面而深入的强化举措。首先,《中华人民共和国网络安全法》在2017年6月1日正式生效,这部法律从根本上确立了网络空间主权的原则,同时也涵盖了网络运行安全、数据信息安全以及应急响应机制和监管处罚等方面的基石性规则,为维护国家网络秩序和保障公民网络权益提供了坚实的法律基础。随后,在2018年5月1日,我国推出了《信息安全技术 个人信息安全规范》这一推荐性国家标准,进一步细化了个人信息保护的操作细则,强调了在收集和使用个人信息过程中应遵循“最少够用原则”,填补了当时个人信息保护立法的空白阶段,增强了实际操作的指导性和针对性。
从2019年始,国家多个政府部门联合行动,针对个人信息保护问题开展了密集且系统的合规性审查工作。期间,制定了一系列的标准和认定方法,对用户基数庞大、存在问题反馈较多的移动应用程序(APP、小程序)进行了深入评估和整治。通过这些努力,APP领域存在的诸如缺乏隐私政策、强制索取权限、不提供账户注销功能等问题得到了显著改善。此举促使APP开发运营者大幅提升了他们在个人信息保护方面的责任意识和执行能力,进而在全国范围内形成了广泛关注和高度重视个人信息安全的良好社会氛围。
在个人信息合规实践过程中,我们需要在法律法规约束下,最大程度保护用户权益。
2、国家法律法规
这里列举有关个人信息保护方面的部分法律法规、标准指南,以时间进行排序:
| 序号 | 发布时间 | 发布单位 | 名称 |
|---|---|---|---|
| 1 | 2019/1/25 | 四部委(网信办、工信部、公安部、市监总局) | App违法违规收集使用个人信息专项治理公告 |
| 2 | 2019/11/6 | 工信部 | 工业和信息化部关于开展APP侵害用户权益专项整治工作的通知(337号文) |
| 3 | 2019/12/30 | 四部委(网信办、工信部、公安部、市监总局) | App违法违规收集使用个人信息行为认定方法(191号文) |
| 4 | 2020/3/6 | 信息标委 | GB/T 35273-2020《信息安全技术 个人信息安全规范》 |
| 5 | 2020/7/24 | 工信部 | 工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知(164号文) |
| 6 | 2020/7/25 | 信安标委 | 网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南 |
| 7 | 2020/11/27 | 信安标委 | 网络安全标准实践指南—移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引 |
| 8 | 2021/3/22 | 四部委(网信办、工信部、公安部、市监总局) | 常见类型移动互联网应用程序必要个人信息范围规定 |
| 9 | 2021/5/14 | 电信终端产业协会 | APP用户权益保护测评规范 |
| 10 | 2021/5/14 | 电信终端产业协会 | APP收集使用个人信息最小必要评估规范 |
| 11 | 2021/6/10 | 全国人大常委会 | 数据安全法 |
| 12 | 2021/7/20 | 工信部 | 工业和信息化部关于开展互联网行业市场秩序专项整治行动的通知(165号文) |
| 13 | 2021/8/20 | 全国人大常委会 | 个人信息保护法 |
| 14 | 2021/11/1 | 工信部 | 工业和信息化部关于开展信息通信服务感知提升行动的通知(292号文) |
| 15 | 2022/4/15 | 信安标委 | GB/T 41391-2022 信息安全技术 移动互联网应用程序(App)收集个人信息基本要求 |
| 17 | 2023/2/6 | 工信部 | 工业和信息化部关于进一步提升移动互联网应用服务能力的通知 |
3、我们应该关注哪些?
如此多地的法规标准条文,应该如何落地呢?这里我们需要先了解一些基础性知识。
3.1 首先,我们需要明确,什么是个人信息?
在国标35273中,对个人信息及个人敏感信息进行了定义举例。
个人信息举例
个人信息是指以电子或者其他方式记录的,能够【单独】或者【与其他信息结合】识别特定自然人身份或者反映特定自然人活动情况的各种信息,如姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
判定某项信息是否属于个人信息,应考虑以下两条路径:【一是识别】,即从信息到个人,由信息本身的特殊性识别出特定自然人,个人信息应有助于识别出特定个人。【二是关联】,即从个人到信息,如已知特定自然人,由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)即为个人信息。符合上述两种情形之一的信息,均应判定为个人信息。
| 个人信息类别 | 个人信息举例 |
|---|---|
| 个人基本资料 | 个人姓名、生日、性别、民族、国籍、家庭关系、住址、个人电话号码、电子邮件地址等 |
| 个人身份信息 | 身份证、军官证、护照、驾驶证、工作证、出入证、社保卡、居住证等 |
| 个人生物识别信息 | 个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等 |
| 网络身份标识信息 | 个人信息主体账号、IP地址、个人数字证书等 |
| 个人健康生理信息 | 个人因生病医治等产生的相关记录,如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等,以及与个人身体健康状况相关的信息,如体重、身高、肺活量等 |
| 个人教育工作信息 | 个人职业、职位、工作单位、学历、学位、教育经历、工作经历、培训记录、成绩单等 |
| 个人财产信息 | 银行账户、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等,以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息 |
| 个人通信信息 | 通信记录和内容、短信、彩信、电子邮件,以及描述个人通信的数据(通常称为元数据)等 |
| 联系人信息 | 通讯录、好友列表、群列表、电子邮件地址列表等 |
| 个人上网记录 | 指通过日志存储的个人信息主体操作记录,包括网站浏览记录、软件使用记录、点击记录、收藏列表等 |
| 个人常用设备信息 | 指包括硬件序列号、设备MAC地址、软件列表、唯一设备识别码(如IMEI、Android ID/IDFA/OpenUDID/GUID/SIM卡IMSI信息等)等在内的描述个人常用设备基本情况的信息 |
| 个人位置信息 | 包括行踪轨迹、精准定位信息、住宿信息、经纬度等 |
| 其他信息 | 婚史、宗教信仰、性取向、未公开的违法犯罪记录等 |
个人敏感信息举例
| 个人敏感信息类别 | 个人敏感信息举例 |
|---|---|
| 个人财产信息 | 银行账户、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等,以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息 |
| 个人健康生理信息 | 个人因生病医治等产生的相关记录,如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等 |
| 个人生物识别信息 | 个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等 |
| 个人身份信息 | 身份证、军官证、护照、驾驶证、工作证、社保卡、居住证等 |
| 其他信息 | 性取向、婚史、未公开的违法犯罪记录、通信记录和内容、通讯录、好友列表、群组列表、行踪轨迹、网页浏览记录、精准定位信息等 |
其次,我们需要搞清楚,哪些是与个人信息相关的权限?
这里我们参考的是国标41391以及《移动互联网应用程序(App)系统权限申请使用指南》中列举的与个人信息相关的权限,通常我们称之为"敏感权限",其实随着Android、iOS原生操作系统的迭代,敏感权限的范围也是在不断变化的。
Android可收集个人信息权限清单(适用于Android11及以下版本)
iOS可收集个人信息权限清单(适用于iOS13及以下版本)
下一期,我们聊一聊,对于常见的法律法规标准,我们应该如何应对,如何落地。
