办事指南

首页  >  办事指南

转载 | App“必要性”合规,需要这样依照《规定》!

发布日期:2021-05-27 浏览次数:443 来源:本站


~~~

国家互联网信息办公室、工业和信息化部、公安部和国家市场监督管理总局(“四部委”)联合发布的《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称“《规定》”)5月1日正式实施。自2021年3月初《规定》颁布以来,多数企业立即针对《规定》展开自查,力争将业务所涉及的App类型收集的信息限制在“必要信息范围”之内,自查过程中企业会面对怎样的难点?需要重视哪些条款?此文基于实务,讨论企业依照《规定》完成个人信息保护合规的具体路径。



1

小程序也要严格遵守《规定》


根据《规定》第二条规定,若企业运营App或小程序,且该App或小程序存在收集用户个人信息行为,则应当遵守《规定》的要求。

在实践中,小程序被纳入监管范围之内已经不存在争议,需要注意的是对小程序现有规定标准的准确把握。以微信小程序为例,不少小程序因其形式上作为小程序,相应的隐私保护设计“自行改装”。例如,大多数小程序没有实现传统App常见的交互,常常仅以一条主动勾选的动态链接代替需要获取用户明确同意的弹窗界

随着《规定》的出台,小程序应对齐传统App的监管标准。从合规角度而言,小程序应立即调整为与传统App完全一致的交互设计方案。例如,需要获取用户明确同意时,小程序不应再继续简化模式,而应配置具体的符合一般要求的弹窗;又如,如果涉及调用可以收集用户个人信息敏感权限的,小程序也应当设置相应的说明窗口,在启用具体功能时获取用户的授权同意。总之,小程序并不能因为其形式上的特殊性而减免其个人信息保护的责任

此外还应注意,小程序作为“应用软件开放平台”的接入方,本身还应遵从平台方的相应规定,向平台方报备涉及个人信息处理的举措及信息。仍以微信小程序为例,某一小程序通过平台报备而向公众公示的数据包括:开发者信息、服务和数据的来源信息(网址)、服务商信息、用户隐私及数据提示等。由于小程序的实际控制者、开发者、运营者可能并非同一主体,填报工作可能由运营者为快速上线而随意完成,导致小程序的公示信息与其实际运营信息存在差距和混淆,最终小程序的个人信息收集方(控制者)未能履行向个人信息主体告知的义务。鉴此,在实践过程中,小程序的实际控制者应在委托其他方开发运营小程序时,在明确约定个人数据处理的数据安全责任之余,还应特别注意协同对平台的申报责任,避免侵犯个人信息主体知情权。




2

 理解并明确必要个人信息的范围


《规定》出台对必要个人信息的范围进行了明确。《规定》第三条规定,“本规定所称必要个人信息,是指保障App基本功能服务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务。具体是指消费侧用户个人信息,不包括服务供给侧用户个人信息。”据此,必要个人信息应当同时具备以下条件:

(1)是App基本业务功能所必需的个人信息;

(2)是消费侧用户个人信息。

这两个条件在企业实践中是高度关注的研判重点,也是《规定》对常见应用程序基本业务功能和必要个人信息进行划分的初衷。在以往的案例中,如何判断某信息是否是“App基本业务功能所必需的个人信息”,经常是企业关注重点之一。首先,判断必要个人信息的前提是正确认定App的“基本业务功能”。按照《个人信息安全规范》(GB/T 35273-2020)附录C.2的指导,基本业务功能“应根据个人信息主体选择、使用所提供产品或服务的根本期待和最主要的需求”划定,但实践中并非每个App都具备清晰的设计逻辑。对于某些探索期的应用程序而言,其设计思路在于尽可能多的命中用户的潜在需求,用户可能基于功能A选择了该产品,也可能基于功能B而选择该产品,其基本功能显然会以用户的主观感受为转移,从而导致必要个人信息的范畴也存在游离。在这种情况下,基本业务功能的确认是否正确,或是否能够存在多个基本功能,成为企业个人信息保护合规判断的重要一环。

确定基本业务功能后,如何判断其“所必需的个人信息”又成为了合规工作的重点。企业需要注意,合规判断并非某单一职能部门有能力作出,比如,法务部门认为在“定位和导航软件”功能下,无需收集用户的设备信息,但是,如果产品设计方从技术角度认为必须收集设备信息确保运营环境安全,则法务和技术部门需要共同根据《规定》做出统一判断。



3

切实落实对个人信息主体的告知义务


如上所述,必要个人信息作为用户所选择的基本业务功能所必需的个人信息,可以视为符合《个人信息安全规范》规定的“履约必要”条件,从而豁免个人信息控制者获取个人信息主体授权同意的义务,符合《规定》要求的必要个人信息无需征得个人信息主体的授权同意。但是个人信息控制者仍应落实对个人信息主体的告知义务。因此,《隐私政策》中仍应对基于“履约必要”条件收集的个人信息向个人信息主体进行告知。

同时,如果基于“履约必要”条件收集的个人信息将用于数据分析并最终用于实现自动化决策、个性化推荐场景时,其目的显然已经超越了履约目的,因此应获取个人信息主体的额外授权同意。出于产品合规的目的,这个授权同意应当在告知个人信息主体必要个人信息范围时一并告知并获得授权同意。同时,针对因授权同意而获取的个人信息,即便“履约必要”作为合法处理理由之一,仍应赋予其撤销权,且为保障该撤销权不影响基本功能的实现,基于“履约必要”目的和基于数据分析目的而收集的数据应分开表单存储。诸如此类,隐私设计细节,均应在产品设计之初考虑,并落实在《隐私政策》中告知用户。




4

  对标《规定》,“升级”对个人信息和个人敏感信息的表述


《规定》第五条对于39类常见类型App的基本功能和必要个人信息范围以列举形式进行了明示,供企业在设计、投产、复核其自身App的合规情况作为有效对照。

需要注意的是,《规定》对不同类别App个人信息获取范围做了明确,相对以往的规范有了增减,新增表述字段梳理如下


APP类型     新增必要个人信息字段

网上购物类  支付渠道

餐饮外卖类  支付渠道

交通票务类  车次/船次/航班号、席别/舱位等级、座位号(如有)

房屋租售类  面积/户型、期望售价或租金

问诊挂号类  预约挂号的医院和科室

旅游服务类  旅游目的地、旅游时间

酒店服务类  入住和退房时间、入住酒店名称

演出票务类  观演场次、座位号(如有);支付渠道


这些被明确认定为个人信息的表述,几乎都是个人信息中能够反映个人信息主体行踪轨迹、健康状况和财产状况的个人信息,如果按照“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等”的标准判断,此类信息均足以视为个人敏感信息。

鉴此,企业在个人信息保护合规工作中,需要业务进一步“升级”

(1)在合规表述中,扩充个人信息和个人敏感信息的字段示例范围;

(2)扩充数据分级分类标准,将能够反映个人信息主体行踪轨迹、健康状况和财产状况的个人信息提高敏感级别。

作者:  周杨   史蕾

(本文由中国网络空间安全协会个人信息保护专家工作组供稿)