6月1日,全國信息安全標準化技術委員會發布《網絡安全實踐指南—移動互聯網應用基本業務功能必要信息規範》(下稱《規範》),App超範圍收集、強制授權、過度索權等個人信息安全問題有望得到進一步規範。
《規範》針對16類常用的基本業務功能界定了必要信息的範圍,比如金融借貸類功能不能強制讀取通訊錄,設備信息只能用於安全目的等。
有專家向南都記者表示,《規範》提供了一個共識基礎,有利於提高判定必要信息的效率;如果App需要超出必要性範疇收集信息,必須有充分的理由,並且允許用戶自主選擇同意。
據悉,《規範》依據《中華人民共和國網絡安全法》中的相關要求,以及相關國家標準提出的個人信息最少夠用原則,針對用戶數量大、社會關注度高的App的基本業務功能,明確界定了保障其正常運行所需收集的個人信息,為其收集個人信息提供實踐指引。
中國信息安全研究院副院長左曉棟對南都記者表示,《規範》首次對網安法提出的“合法、正當、必要”原則中的“必要原則”給出具體界定,對推動網安法的實施有積極意義。
其中,基本業務功能是指滿足個人信息主體選擇使用App的最主要需求和根本期待的業務或功能。《規範》清晰界定了地圖導航、網絡約車、即時通訊社交、社區社交、網絡支付、新聞資訊、網上購物、短視頻、快遞配送、餐飲外賣、交通票務、婚戀相親、求職招聘、金融借貸、房產交易、汽車交易等16類基本業務功能相關的必要信息範圍。
“以前在判定什麼是必要信息時,通常只能‘一事一議’,效率比較低。現在有了《規範》之後,大家相對來說能形成比較一致的觀點,在這個基礎上再去討論,會變得更加方便一點。”談及《規範》的意義,中國電子技術標準化研究院信息安全研究中心審查部總監何延哲說。
南都記者注意到,《規範》有多處定義與《信息安全技術 個人信息安全規範》修訂草案保持了一致, 比如個人信息收集原則、對基本業務功能的定義等等。
“《規範》確實是在個人信息安全規範的基礎上編寫的,但它更為具體”,何延哲提到,《規範》針對的是每一類基本業務功能,根據它們的特點制定的必要信息。
近日,中央網信辦、公安部等陸續發佈了一系列個人信息保護、數據安全相關的政策法規,《規範》的法律效力應該如何理解?
浙江墾丁律師事務所聯合創始人麻策表示,《規範》在性質上屬於技術文件,不屬於國家標準,企業可以不必完全依樣遵守執行。但若有企業收集使用了超出《規範》所列的必要信息,應當有更充分的理由進行說明,否則容易被認為超出必要性範疇,帶來監管執法風險。
《規範》指出,必要信息主要包括基本業務功能相關必要信息和通用功能相關必要信息:
基本業務功能相關必要信息,是與基本業務功能直接關聯,一旦缺少會導致基本業務功能無法實現或無法正常運行的個人信息;
通用功能相關必要信息,是相關法律法規要求、保障移動互聯網應用安全風險管控所必需的個人信息。
以新聞資訊類為例。
由於該業務功能以提供新聞資訊瀏覽為主要目的,其基本業務功能必要信息僅有兩大項:關注的賬號,以及自媒體用戶信息。前者用於向用戶展示和推送關注的賬號發佈的新聞資訊,後者用於滿足實名認證要求,基本不涉及用戶的個人信息。
然而,在傳統新聞資訊類App之外,也存在像今日頭條這種以個性化推薦為核心業務模式的App,需要收集用戶的瀏覽操作記錄向用戶推送可能感興趣的內容。
對此,《規範》指出:
針對定向推送需求,《規範》進一步要求,如果用戶拒絕,App應提供讓其退出定向推送模式的渠道。
此外,南都記者還注意到,《規範》在通用功能相關必要信息中明確,設備信息(包括唯一設備識別碼、硬件序列號)僅適用於“具有安全風控需求的業務功能”,應對反作弊、反欺詐、違法不良信息管控等安全風險。但事實上,大多數App都在隱私政策中聲稱需要收集設備識別碼。
何延哲說,收集設備信息的確是一個普遍現象。“現在還有很多企業,說是為了安全風控,但是用的過程中可不一定”,他指出,《規範》的這條要求意味著要是App強制收集設備信息,就超出了必要信息的範圍,除非是出於安全目的;如果變更使用目的,需要再次徵得用戶同意。
左曉棟也強調,太多的App試圖獲得唯一設備識別碼,一定會出現將“安全風控”擴大化的情況,“這一點應當引起警惕”。
近年來,因在金融借貸類App上欠錢不還,導致家人朋友被瘋狂催債的案例屢見不鮮。讀取通訊錄似乎已經成為此類App的“標配”,但其合規性往往飽受質疑。對此,《規範》首次明確,不應強制讀取用戶的通訊錄。
根據《規範》要求,金融借貸基本業務功能必要信息有手機號碼、賬號信息、身份信息、銀行賬戶信息、個人徵信信息、緊急聯繫人信息、借貸交易記錄等七項。其中“緊急聯繫人信息” 僅限兩人,用於逾期不還情況下進行催款,且應允許手動輸入,而非強制讀取通訊錄。
針對這一要求,麻策解釋說,在金融類業務場景中,基於還款催收等核心業務功能,App可以直接向借款人催收,而基於貸款業務場景中失信人慣於“玩消失”的行業特色,允許App適當通過其它聯繫人瞭解情況也是符合行業習慣的。
但他強調,借款人通訊錄中的其他所有用戶,除非基於擔保等法定情形,並無接收任何催收信息的義務,故強制讀取通訊錄的做法不符合最小化收集的原則,此類催收不被法律所允許。
如果確實需要超出必要信息範疇收集個人信息,企業怎樣做才算合規?
“不論是否為核心業務功能,App都只能收集業務功能所必要的用戶信息。”麻策分析說,當某項業務屬於App的核心功能時,用戶若拒絕提供必要信息,App可以拒絕向用戶提供服務(例如強制退出);非核心業務功能收集個人信息時,用戶有權拒絕其收集但仍可正常使用核心業務功能。
他舉例說,用戶拒絕向地圖類App提供地理位置信息時,App可以直接拒絕提供導航服務,但App中若有用戶評論這一擴展功能,App就不能因為用戶拒絕提供評論相關的個人信息而拒絕提供導航服務這一核心功能。
何延哲也表示,不是說App完全不能超出必要性範疇收集信息,但是必須得有充分的理由,或者額外的規定,比如國家的法律法規或行業管理要求等等,並且允許用戶自主選擇同意。
採寫:南都記者蔣琳 李玲
相關推薦
