APP收集使用位置、图片、短信,如何满足“最小必要”?
随着APP种类和数量呈爆发式增长,APP侵害用户权益事件也层出不穷,为了进一步落实个人信息收集使用的最小必要原则,工信部科技司近日发布了通信行业标准《移动互联网应用程序(APP)收集使用个人信息最小必要评估规范》(以下简称“《规范》”)中的4部分内容,向社会公开征求意见。
此《规范》将由16部分内容组成,包括总则以及15种特殊类型数据的最小必要评估规范,目前仅公布了《第1部分:总则》、《第2部分:位置信息》、《第3部分:图片信息》、《第11部分:短信信息》这四个标准文档,本文将对这四部分中的相关内容进行解读。
一、最小必要原则
1.权限申请和应用如何满足最小必要原则?
合规要点 | 具体要求 | |
范围限制 | 权限申请和使用的目的、方式、范围不应超出业务功能的实际需要或合理关联,法律法规另有规定的除外; 对于第三方SDK等外部代码的引用,APP应要求SDK其相关权限的申请同样满足最小必要原则,不得过度申请权限。 | |
敏感权限 | 申请敏感权限时,应同步告知权限使用的目的和用途; 宜优先采用系统自身功能,代替调用相关敏感权限。如APP需要拨打电话功能时,可优先选择调用系统的电话界面,而不是申请电话权限。 | |
申请方式 | 申请权限时需要在使用对应业务功能时申请,不应一揽子申请多个权限,不得默认、捆绑或使用其他手段变相欺骗、误导、强迫授权; 不得以改善服务质量、提升使用体验和实施风险控制等为由,强迫授权。 |
2.个人信息处理的全生命周期应如何满足最小必要原则?
阶段 | 合规要点 | 具体要求 |
收集 | 范围限制 | 目的、方式、范围不应超出业务功能的实际需要或合理关联,法律法规另有规定的除外; APP被授予权限后,应合理使用申请的权限,不应滥用权限,超频次、超范围、超精度收集个人信息。 |
告知同意 | 宜在收集使用之前或收集使用之时的适当时机进行告知,增进个人信息主体对告知与所处理收集的个人信息之间关联性的理解; APP所提供产品或服务涉及多项业务功能的,宜按业务功能单项或分项获得个人信息主体同意,不应采用捆绑方式强迫个人信息主体一次性同意多种业务功能收集的个人信息。个人信息主体拒绝同意时,仅影响与所拒绝个人信息相关的业务功能的正常使用。 | |
存储 | 范围限制 | 目的、方式、范围不应超出业务功能的实际需要或合理关联,法律法规另有规定的除外; 存储个人信息的类型及数量不应超出业务功能的实际需要。 存储个人信息的时间,应当为实现处理目的所必要的最短时间。 |
处理要求 | 收集个人信息后,宜立即进行去标识化处理,并将可用于恢复识别个人的信息与去标识化后的信息分开存储; APP如需在终端本地存储个人信息,则应将个人信息存储在受保护的文件区域,防止其他APP非授权访问。 个人生物识别信息应在本地进行加密存储。如因业务需要确需传出终端的,应使用单向不可逆摘要算法进行摘要处理或使用高强度加密算法进行加密处理,且事先单独明确告知,获取用户同意。 | |
使用 | 范围限制 | 目的、方式、范围不应超出业务功能的实际需要,法律法规另有规定的除外; 使用个人信息时,除目的所必需外,应消除明确身份指向性,避免精确定位到特定个人。 |
定向推送 | 使用个人信息进行定向推送不应超出业务功能的实际需要; 若APP定向推送功能使用了第二方的个人信息来源,应以个人信息处理规则等形式向个人信息主体明示业务功能使用第三方的个人信息进行定向推送,并向个人信息主体明示第三方的个人信息来源。 使用个人信息进行定向推送应显著区分个性化展示和非个性化展示,显著区分的方式包括但不限于:标明“推荐”、“猜你喜欢”等字样,或通过不同的栏目、版块、页面分别展示等。 使用个人信息进行定向推送的同时应提供关闭个性化展示的选项。APP宜建立个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障个人信息主体具备调控展示相关性程度的能力。 | |
加工 | 加工个人信息的目的、方式、范围不应超出业务功能的实际需要或合理关联,法律法规另有规定的除外; 间接获取个人信息后,进行加工处理形成新的个人信息并用于其他目的,需要告知,并再次征得个人信息主体的同意。 | |
传输 | 目的、方式、范围不应超出业务功能的实际需要或合理关联,法律法规另有规定的除外。 | |
提供 | ||
公开 | ||
删除 | 超出最小必要的存储期限后,应对个人信息进行删除或匿名化处理。 |
针对个性化推荐,《规范》指出定向推送应显著区分个性化展示和非个性化展示,使用个人信息进行定向推送的同时应提供关闭个性化展示的选项,最好能建立个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制。
例如淘宝已经在隐私政策中表明如果用户在使用站内搜索服务时,需要查看不针对用户个人特征的排序,用户可以在搜索结果页面点击“筛选”,选择其中的“销量”、“价格”、“通用排序”进行设置;如果用户不想看到首页或进入支付完成页面推荐的商品或服务,可以通过长按被推荐的商品或服务图片,在随后出现的弹窗中根据提示选择屏蔽类似商品或者商品或服务所属的类目;用户也可以直接通过“我的淘宝-设置-隐私-广告管理”路径修改自己的画像标签,具体截图如下:
二、位置信息
1.收集位置信息应如何满足最小必要原则?
收集的位置信息类型应与实现产品或服务的业务功能有直接关联。如果从其他数据提取位置信息的,应在获取该数据时对数据用途明示,使用该数据中的位置信息时可不单独明示同意。针对APP收集位置信息的来源,《规范》对典型场景做出如下规定,“✓”是指可从这个来源收集,“×”是指单独获取用户明示同意后才能收集。
典型场景 | 终端定位信息 | 用户填写的位置信息 | 图片和视频数据中的位置信息 |
地图服务 | ✓ | ✓ | ✓ |
广告服务 | ✓ | ✓ | × |
调度服务 | ✓ | ✓ | × |
资产管理服务 | ✓ | ✓ | × |
搜索服务 | ✓ | ✓ | × |
推荐服务 | ✓ | ✓ | × |
画像服务 | ✓ | ✓ | × |
风控服务 | ✓ | × | × |
2.处理位置信息应如何满足最小必要原则?
《规范》首先从数据来源的角度明确了精确位置信息的含义,其是指除使用网络定位(无线网络、通信基站、蓝牙等的定位信息)生成大致位置外,同时使用卫星定位、传感器等信息生成的定位数据。在适用时还可进一步参考《中国互联网定向广告用户信息保护行业框架标准》对精确位置信息的界定,即通过用户所使用的移动设备获取的、用于及时识别或描述用户在某一特定时间点、误差小于1公里的实际物理位置的信息。
《规范》针对不同场景的APP可调用权限范围做出了以下要求。权限要求为“×”是指不应调用或经用户明示同意后调用;权限要求为“✓*”为需要根据实际业务场景进行判定是否可以调用;权限要求为“✓”为可调用。
典型场景 | 是否可在后台调用 | 是否云端处理精准位置信息 | 是否可以收集粗略位置信息 |
地图服务 | ✓* | ✓* | ✓ |
广告服务 | × | × | ✓ |
调度服务 | ✓* | ✓ | ✓ |
资产管理服务 | × | ✓* | ✓ |
搜索服务 | × | ✓ | ✓ |
推荐服务 | × | ✓* | ✓ |
画像服务 | × | × | ✓ |
风控服务 | × | × | ✓ |
三、短信信息
1.申请短信权限如何满足最小必要原则?
《规范》针对典型场景下的短信权限做出如下规定,“✓”表示可收集的权限。
典型场景 | 可申请权限 | ||||
发送短信 | 读取短信 | 接受短信 | 写/删除短信 | 接收彩信 | |
云端数据备份 | ✓ | ✓ | |||
验证码 便捷获取 | ✓ | ✓ | ✓ | ||
便捷短信查询与服务订阅 | ✓ | ✓ | ✓ | ||
短信优化编辑与发送 | ✓ | ||||
短信功能体验增强 | ✓ | ✓ | ✓ | ||
手机间 数据互传 | ✓ | ✓ | |||
骚扰拦截 | ✓ | ✓ | ✓ | ✓ | |
服务智能化 | ✓ | ✓ | ✓ | ✓ | |
已连接的设备配套应用 | ✓ | ✓ | ✓ | ✓ | ✓ |
跨设备同步或转移短信 | ✓ | ✓ | ✓ | ✓ | ✓ |
设备自动化 | ✓ | ✓ | ✓ | ✓ | ✓ |
企业存档及设备管理 | ✓ | ✓ | ✓ | ✓ | ✓ |
车载免提使用和投影显示 | ✓ | ✓ | ✓ | ✓ | ✓ |
呼救短信 | ✓ | ||||
用户数据本地备份与还原 | ✓ | ✓ | ✓ |
2.调用短信权限如何满足最小必要原则?
APP在满足业务正常开展的前提下,应以最低频次调用相关短信权限,且仅访问与业务目的相关的短信信息。短信权限的调用频次和时机可划分为三类,第一类是用户主动触发,即通过明确的用户知悉影响的动作,如点击,触发相关行为。第二类是固定周期访问,即以明示并经用户确认同意的固定周期调用相关权限。第三类是短信/彩信到达触发,即在APP已申请接收短信息、彩信权限时,当接收到新的短信或彩信时触发。
典型场景 | 调用频次或时机 | ||
发送短信、彩信 | 读取短信、彩信 | 写/删除短信、彩信 | |
云端数据备份 | 用户主动触发 固定周期访问 | 用户主动触发 固定周期访问 | |
验证码 便捷获取 | 用户主动触发 短信、彩信到达触发 | ||
便捷短信查询与服务订阅 | 用户主动触发 | ||
短信优化编辑与发送 | 用户主动触发 | ||
短信功能体验增强 | 用户主动触发 短信、彩信到达触发 | ||
手机间 数据互传 | 用户主动触发 | 用户主动触发 | |
骚扰拦截 | 用户主动触发 短信、彩信到达触发 固定周期访问 | 用户主动触发 短信、彩信到达触发 | |
服务智能化 | 用户主动触发 固定周期访问 短信、彩信到达触发 | ||
已连接的设备配套应用 | 用户主动触发 | 用户主动触发 固定周期访问 短信、彩信到达触发 | 用户主动触发 |
跨设备同步或转移短信 | 用户主动触发 | 用户主动触发 固定周期访问 短信、彩信到达触发 | 用户主动触发 固定周期访问 短信、彩信到达触发 |
设备自动化 | 用户主动触发 固定周期访问 短信、彩信到达触发 | 用户主动触发 固定周期访问 短信、彩信到达触发 | 用户主动触发 固定周期访问 短信、彩信到达触发 |
企业存档及设备管理 | 用户主动触发 固定周期访问 短信、彩信到达触发 | 用户主动触发 固定周期访问 短信、彩信到达触发 | 用户主动触发 固定周期访问 短信、彩信到达触发 |
车载免提使用和投影显示 | 用户主动触发 固定周期访问 短信、彩信到达触发 | 用户主动触发 固定周期访问 短信、彩信到达触发 | 用户主动触发 |
呼救短信 | 用户主动触发 | ||
用户数据本地备份与还原 | 用户主动触发 固定周期访问 短信、彩信到达触发 | 用户主动触发 固定周期访问 短信、彩信到达触发 |
四、图片信息
1.收集图片信息如何满足最小必要原则?
《规范》根据图片信息中包含的内容,将图片信息分为三类,第一类是图片基本信息,即图片的基本特征信息,包括图片内容信息(原始的和编码后的二进制码)、图片格式、大小、分辨率;第二类是图片附加信息,即拍照时间、拍照设备、拍照参数、图片名称等可关联出个人的图片信息;第三类是图片位置信息,即拍摄图片时的精准定位信息。
APP在不同场景下,图片信息收集的最小必要范围表如下。表中“可选”是指APP可单独获得图片附加信息和图片位置信息的授权同意,或可根据自身能力选择把图片作为整体向个人信息主体申请授权同意。
场景 | 图片基本信息 | 图片附加信息 | 图片定位信息 |
社交 | 是 | 可选 | 可选 |
媒体发布 | 是 | 可选 | 可选 |
图片加工 | 是 | 可选 | 可选 |
图像识别 | 是 | 可选 | 可选 |
云盘备份 | 是 | 是 | 是 |
客服/售后 | 是 | 可选 | 可选 |
2.使用图片信息如何满足最小必要原则?
使用目的应限制在与收集时所披露的目的具有直接或合理关联的范围内,若APP将图片信息和所收集的其他个人信息汇聚融合,也应在遵循目的限制的基础上进行个人信息安全影响评估。
APP开发者不应对图片信息采取隐蔽手段挖掘和分析归纳个人信息主体的身份特征数据。未经个人信息主体的单独同意,不应将收集的图片信息用于身份的标识和识别。此外,展示图片信息宜采取去标识化处理等措施来降低泄露风险,具体展示规则如下。
场景 | 图片展示规则 | |
社交 | 宜给个人信息主体提示图片中是否含图片附加信息和图片位置信息,并允许个人信息主体选择删除。 | |
媒体发布 | ||
图片加工 | ||
图像识别 | 图像识别后的信息展示给个人信息主体时,可对其中敏感个人信息采取去标识化处理。 | |
云盘备份 | 宜给个人信息主体提示图片中是否含图片附加信息和图片位置信息。 | |
客服/售后 | 未经个人信息主体同意,不应对第三方展示。 |
3.存储和删除图片信息如何满足最小必要原则?
合规要点 | 具体要求 | |
本地存储 | 在安全策略控制范围内,保证只有个人信息主体具有所存储图片信息的读、写、修改和删除的权利(图片自动压缩可改变图片信息的除外); 在使用个人生物识别信息用于身份识别、认证等功能时,在实现身份鉴别等功能后应删除可提取个人生物识别信息的原始图片,应加密且仅存储个人生物识别信息的特征信息,并与个人身份信息分开存储。 | |
云存储 | 应对所存储图片信息数据进行访问控制,宜对云端个人信息主体图片提供加密存储功能; 使用个人生物识别信息用于身份鉴别功能时,若需上传包含生物特征识别信息的图片到云端处理时,应采用显著方式提示并获取单独同意; 如有云端自动备份照片功能,宜向个人信息主体告知备份的时机、频率等,以及提供停止自动备份的功能。若需在云端图片识别,宜告知收集图片识别信息的目的、范围、方式、频率,并获取授权同意。 | |
删除 | 对收集、加工、传输阶段所使用的缓存图片信息,APP应为个人信息主体提供自动删除或手动删除的功能; 未经个人信息主体同意,不应删除非本应用存储目录下的图片原始二进制码。 |
五、总结
《规范》在《常见类型移动互联网应用程序必要个人信息范围规定》、《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》、《信息安全技术 个人信息安全规范》等现有法律规范的基础上,针对最小必要原则的理解与适用进行了细化与整合,综合来看,并没有新增很多内容。
建议APP开发者在收集个人信息时确保收集的个人信息应具有明确、合理、具体的个人信息处理目的,收集个人信息的类型、频率、数量、精度等仅限于最小的必要范围,且只采取对个人权益影响最小的方式收集个人信息。
建议APP开发者使用个人信息的目的、方式、范围不应超出业务功能的实际需要,法律法规另有规定的除外;使用个人信息时,除目的所必需外,应消除明确身份指向性,避免精确定位到特定个人。超出最小必要的存储期限后,应对个人信息进行删除或匿名化处理。综合现有的规范标准,APP最小必要个人信息范围的判定参考图如下:
推荐阅读:
TalkingData——用数据说话
每天一篇好文章,欢迎分享关注