2019.06.06 董潇 郭静荷
2019年6月1日,全国信息安全标准化技术委员会发布非强制性技术性文件《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》(以下简称“《规范》”)。《规范》主要依据《网络安全法》及国家标准《个人信息安全规范》中规定的个人信息收集、使用的最少够用(必要)原则,围绕地图导航、网络约车、即时通讯、社区社交、网络支付、网上购物、餐饮外卖等16类移动互联网应用(以下简称“App”)的基本功能,梳理了保障其正常运行所需收集的个人信息的具体类型及使用要求。
2019年1月25日,中央网信办、工信部、公安部、市场监管总局四部委联合发布了《关于开展App违法违规收集使用个人信息专项治理的公告》。3月1日,App专项治理工作组编制并发布了《App违法违规收集使用个人信息自评估指南》。在对App加强监管的背景下,《指南》进一步丰富了在不同类型的互联网应用场景下的合规及执法参考体系。《规范》值得关注的重点内容介绍简要总结如下。
一、最少够用原则要求
最少够用原则要求不收集与其提供的服务无关的个人信息,不申请打开可收集无关个人信息的权限。只收集满足业务功能所必须的最少类型和数量的个人信息,自动收集个人信息的频率不超过业务功能实际所需的频率。
二、App基本业务功能必要信息范围
必要信息主要包括基本业务功能相关必要信息和通用功能相关必要信息。《规范》梳理了16类App的基本业务功能,基本业务功能的必要信息、及相关使用要求。例如对于地图导航功能这一基本工功能,App收集的必要信息为位置信息,包括精准定位信息及行踪轨迹信息。精准定位信息仅用于确定用户位置,进行地图搜索展示和导航服务。行踪轨迹仅用于在导航服务中判断实时路况及重新规划导航路线。
三、 App通用功能相关必要信息
《规范》梳理了App因通用性业务功能需求或法律法规要求而收集的必要信息。(1)对于网络访问功能,仅可收集网络访问日志信息用于满足法律法规要求及网络安全保障要求;(2)安全风控功能,仅可收集设备信息用于保障业务安全风控,应对反作弊、反欺诈、违法不良信息管控等安全风险;(3)对于客户服务功能,仅可收集客服场景下的通话记录和内容用于客服处理用户纠纷。
四、上网记录的收集及使用
收集个人上网记录需考虑的要求:(1)收集“收藏、评论、发布、举报”等用户主动操作日志记录是否必要需结合这些用户操作的必要性进行判断;(2)浏览、搜索、点击等操作记录通常为非必要信息,收集需告知并征得用户同意;(3)保存和使用上网记录时需进行去标志化处理;(4)用于用户画像进行个性化展示和推荐时应告知用户并提供退出定向推送模式选项。
五、我们的观察
尽管从性质而言,《指南》仅属于技术性文件而不具有强制效力,但是《指南》可能在实践中被作为监管、执法、评估中落实最少够用原则的重要参考。相较《网络安全法》实施后发布的相关配套性法规及国家标准,《指南》提供的指引更为场景化、具体化。特别是,《指南》为识别相关APP服务的基本业务功能及必要信息提供了共识基础。如果超出《指南》范围收集个人信息,APP服务提供者可能需对其必要性提供合理解释,并尊重用户提供自由选择的权利。