观韬视点|App个人信息收集合规清单及负面清单分享
作者:吴丹君 张振君
收集是个人信息全生命周期的首要环节,该环节是否合法合规将影响到后续各项个人信息处理活动的合法性基础。2022年4月24日,国家市场监督管理总局、国家标准化管理委员会根据《个人信息保护法》等法律法规规定,结合《常见类型移动互联网应用程序必要个人信息范围规定》《App违法违规使用个人信息行为认定方法》等文件要求,发布《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》(GB/T 41391-2022)(下称“《基本要求》”),围绕最小必要原则细化了App(包括移动智能终端预置、下载安装的应用程序和小程序)收集个人信息环节的各项合规要求。
最小必要原则是《基本要求》的核心,其要求收集的个人信息仅限于实现处理目的所必要的最小范围,而最小范围的确定与App所提供的功能密切相关。鉴于此,《基本要求》明确了划分App基本业务功能和扩展业务功能的标准:
基本业务功能 | 1.当App类型属于《基本要求》附录A给出的常见服务类型时,应按照附录A所对应的服务类型划分App的基本业务功能; 2.如不属于附录A中的常见服务类型,将实现用户使用目的的业务功能划分为App的基本业务功能。 |
扩展业务功能 | 1.如App提供多种类型服务,将App类型之外的服务类型称为“其他服务类型”,其他服务类型的业务功能属于扩展业务功能; 2.将仅为实现改善服务质量、提升使用体验、定向推送信息、研发新产品目的的业务功能划分为扩展业务功能; 3.将外部第三方或关联公司提供的业务功能划分为扩展业务功能,附录A给出的常见服务类型App的基本业务功能除外; 4.如基本业务功能有多种可选的实现方式,将对用户个人权益影响更大的实现方式划分为扩展业务功能,如使用人脸识别支付相较于使用密码支付对个人权益影响更大,应将人脸识别功能划分为扩展业务功能。 |
同时,《基本要求》以附录的方式梳理了39种常见类型App必要个人信息范围和使用要求,12种特定类型个人信息的收集要求,30个安卓和15个iOS的可收集个人信息的权限,以及39种常见类型App与30个安卓系统权限之间的常见关联度,为App运营者遵循最小必要原则提供了具有可操作性的指引。
下文将结合《信息安全技术 个人信息安全规范》(GB/T 35273-2020)的相关条款,以合规清单和负面清单的形式梳理《基本要求》的主要内容,为App运营者在实际开展个人信息收集活动时提供参考。
一、App个人信息收集合规清单
评估项目 | 评估内容 | 合规评价 | |||
最小必要原则 | 收集的个人信息是否具有明确、合理、具体的个人信息处理目的? | □是 □否 | |||
收集的个人信息是否仅限于实现处理目的所必要的最小范围(包括类型、频率、数量、精度等)? | □是 □否 | ||||
是否采取对个人信息影响最小的方式收集个人信息? | □是 □否 | ||||
收集的个人信息是否与处理目的直接相关? | □是 □否 | ||||
收集的个人信息的类型是否与实现产品或服务的业务功能有直接关联? | □是 □否 | ||||
是否仅在用户使用业务功能期间,收集该业务功能所需的个人信息? | □是 □否 | ||||
自动采集个人信息的频率是否为实现产品或服务的业务功能所必需的最低频率? | □是 □否 | ||||
间接获取个人信息的数量是否为实现产品或服务的业务功能所必需的最少数量? | □是 □否 | ||||
告知同意 | 通用要求 | 在处理个人信息前,是否以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项: (1)个人信息处理者的名称或者姓名和联系方式; (2)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限; (3)个人行使本法规定权利的方式和程序; (4)法律、行政法规规定应当告知的其他事项? | □是 □否 | ||
是否采用显著方式(如弹窗、图文、动画等)向用户告知个人信息保护政策的核心内容(如所提供的基本业务功能、必要个人信息等),提示用户阅读个人信息保护政策,并取得用户明示同意? | □是 □否 | ||||
是否向用户明示App基本业务功能、扩展业务功能和必要个人信息范围,并显著区分必要和非必要个人信息? | □是 □否 | ||||
因法律法规规定收集个人信息,是否明示依据的法律法规具体规定,并仅用于法律法规所规定的用途? | □是 □否 | ||||
是否向用户提供已收集其个人信息类型的查询方法,查询是否通过App独立界面等方式展示? | □是 □否 | ||||
对于以间接获取方式收集的个人信息,是否向用户提供个人信息获取来源的查询方法? | □是 □否 | ||||
在间接获取个人信息时,是否满足如下要求? | □是 □否 | ||||
1 | 是否要求个人信息提供方说明个人信息来源,并对其个人信息来源的合法性进行确认? | □是 □否 | |||
2 | 是否了解个人信息提供方已获得的个人信息处理的授权同意范围,包括使用目的,个人信息主体是否授权同意转让、共享、公开披露、删除等? | □是 □否 | |||
3 | 如开展业务所需进行的个人信息处理活动超出已获得的授权同意范围,是否在获取个人信息后的合理期限内或处理个人信息前,征得个人信息主体的明示同意,或通过个人信息提供方征得个人信息主体的明示同意? | □是 □否 | |||
拓展业务功能收集个人信息 | 扩展业务功能是否由用户主动选择开启?即是否把个人信息主体自主作出的肯定性动作,如主动点击、勾选、填写等,作为产品或服务的特定业务功能的开启条件? | □是 □否 | |||
是否仅在个人信息主体开启该业务功能后,开始收集个人信息? | □是 □否 | ||||
关闭或退出业务功能的途径或方式是否与个人信息主体选择使用业务功能的途径或方式同样方便? | □是 □否 | ||||
个人信息主体选择关闭或退出特定业务功能后,是否停止该业务功能的个人信息收集活动? | □是 □否 | ||||
收集敏感个人信息 | 收集生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息时,是否同步告知用户收集使用目的、处理敏感个人信息的必要性以及对个人权益的影响,并取得用户单独同意? | □是 □否 | |||
收集不满14周岁未成年人个人信息,是否制定包括如下内容的专门个人信息处理规则: (1)App运营者的名称或名称和联系方式; (2)未成年人个人信息的处理目的、处理方式; (3)处理的未成年人种类、保存期限; (4)用户行使个人信息权利的方式和程序; (5)处理未成年人个人信息的必要性; (6)对未成年人个人信息权益的影响? | □是 □否 | ||||
收集不满14周岁未成年人个人信息,是否取得未成年人的父母或其他监护人的单独同意? | □是 □否 | ||||
提供多种服务类型 | App提供多种类型服务的,收集个人信息是否满足如下要求? | □是 □否 | |||
1 | 是否按照服务类型制定个人信息保护政策,明示各类服务处理个人信息的目的、方式、范围等? (各类服务的个人信息保护政策,可以是各类服务制定单独的个人信息保护政策,也可以是按照服务类型汇总的个人信息收集使用规则) | □是 □否 | |||
2 | 是否按照服务类型分别向用户申请处理个人信息的同意? | □是 □否 | |||
3 | App类型之外的其他服务类型,是否由用户自主选择启用? | □是 □否 | |||
4 | 当用户首次使用App类型之外的其他服务类型时,是否采取增强式告知方式明示该服务类型的个人信息处理规则,并取得用户明示同意? (增强式告知同意可采用专门页面或单独步骤等用户不易绕过的方式向用户告知。) | □是 □否 | |||
5 | 如App提供的其他服务类型属于《基本要求》附录A给出的常见服务类型,其他服务类型是否按照附录A确定相应类型的基本业务功能和必要个人信息范围,保障用户可拒绝或撤回同意收集非必要个人信息,并保障用户可自主选择开启扩展业务功能? | □是 □否 | |||
权限申请 | App申请可收集个人信息权限时,是否满足以下要求? | □是 □否 | |||
1 | 是否仅声明[i]和申请实现App服务目的最小范围的系统权限,不申请与App业务功能无关的系统权限? | □是 □否 | |||
2 | 是否仅在用户使用相关业务功能后,才申请与当前业务功能相关的权限? | □是 □否 | |||
3 | 在申请权限时是否同步告知用户权限申请目的,目的是否明确具体且易于理解,不包含任何欺诈、诱骗、误导用户授权的描述? | ||||
