8月23日,第十六期數據保護官(DPO)沙龍在京舉行。此次沙龍針對國家標準《信息安全技術 移動網際網路應用(App)收集個人信息基本規範(草案)》(簡稱草案)徵求意見稿進行討論。
據了解,同月8日,由全國信息安全標準化技術委員會秘書處起草的草案對外發布並徵求意見。草案明確了移動網際網路應用收集個人信息時應滿足的基本需求,並在附錄中詳細列舉了21類常用服務類型可收集的最少信息及可獲取的最小權限範圍,涉及地圖導航、網絡約車、即時通訊、瀏覽器、輸入法等。
釐清所有服務類型的最少信息收集範圍非常困難
沙龍上,DPO社群發起人洪延青博士表示,草案主要針對App收集個人信息環節,該環節最重要的問題是收集信息的合法性、必要性,草案突出探討的是其中的必要性。
關於必要性,多個法規和標準中都有提到。《網絡安全法》規定:網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則;並且,網絡運營者不得收集與其提供的服務無關的個人信息。在《個人信息安全規範》中,最少夠用原則指出:除與個人信息主體另有約定外,App只處理滿足個人信息主體授權同意的目的所需的最少個人信息類型和數量。
中國電子技術標準化研究院信息安全研究中心數據安全部主任胡影介紹說,草案出臺,除了是對上述法規、標準的遵循、落實,也是為了解決App中存在超範圍收集、強制授權、過度索權、功能捆綁等個人信息安全問題。
同時,胡影表示,App的服務類型、業務模式多種多樣,想搞清楚所有服務類型的最少信息收集範圍是非常困難的。
據了解,草案給出的是實現某服務類型的正常運行所需要的最少信息,此外,App收集的信息還包括一些非必要但與功能相關聯的信息,還有與功能無任何關聯的信息。
對此,洪延青表示,「無關」和非「必要」能簡單地劃等號嗎?兩者中間還存在「相關」,必要和相關之間的邊界該如何確定?這些都需要討論。
收集指紋、人臉等不可變更的信息,未來監管會趨於嚴格
沙龍上,洪延青還對草案第四章節——App收集個人信息基本要求的條款進行了詳細分析。與會的DPO成員亦提出自己的疑問和見解。
針對草案規定的「App不得收集不可變更的設備唯一標識(如IMEI號、MAC地址等),用於保障網絡安全和運營安全的除外」。有DPO成員提問說,該條款允許收集的限定範圍是不是有點窄?據其了解,廣告行業推送廣告時,需要使用上述唯一標識。禁止收集後,廣告行業的發展將受到嚴重限制。
對此,洪延青表示,此規定代表了不可逆的趨勢。據其了解,國內手機廠商將於明年推出安卓Q版本,App將獲取不到手機的IMEI號,比如,華為手機已開始要求App適配不再收集IMEI號。不僅如此,他還強調,「類似的指紋、人臉等不可變更的唯一標識信息」,未來監管都會趨於嚴格。
此外,針對條款「App應向用戶提供實時查詢已收集個人信息類型的功能;查詢結果應以獨立界面展示,且查詢方式應易於操作」。
有DPO成員表示,如今已要求App的功能和收集的個人信息的類型一一對應,隱私政策會完整描述出來,再要求實時查詢和單獨界面展示,會給企業帶來較高的合規成本。
洪延青表示,如果企業實現實時查詢和單獨頁面展示,則可在隱私政策的描述中,用「等」字等概括性詞語描述收集的個人信息類型。
他還表示,在歐美等國家裡,類似規定更加嚴格,不僅要求展示個人信息的類型,也需要展示企業處理個人信息後生成的標籤等信息。草案只要求展示收集的個人信息類型。
雖然這對企業來說是很大的挑戰,需要企業提升對內部數據梳理的能力,明確App收集了哪些信息,哪些沒有收集。但洪延青強調,這是未來法規的監管趨勢,建議企業儘快適應。
此外,沙龍上,DPO成員對其他條文也提出了完善建議。如針對附錄,有成員建議,增加遊戲等服務類型可收集的最少信息和最小權限範圍。
文/南都個人信息保護研究中心研究員 尤一煒
視頻/見習記者 潘穎欣