《常见类型移动互联网应用程序必要个人信息范围规定》(下称“规定”)是由国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅以及国家市场监督管理总局办公厅联合发布的文件,因此该文件不属于部门规章级别的文件。该文件的效力与四部委在2019年11月发布的《App违法违规收集使用个人信息行为认定方法》(下称“认定方法”)一致。
该规定的发布主要对以下法律法规以及标准文件中“最小必要”进行了定义:
1、《中华人民共合国网络安全法》第四十一条 “网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则…..”,该规定描述了移动互联网应用程序的运营者在开发、运营移动应用程序时,收集个人信息的最小必要;
2、《认定方法》第四项“违反必要原则,收集与其提供的服务无关的个人信息”中第二点“因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能”,该规定描述了39种常见类型的移动应用程序最少必要信息有哪些;
3、对工信部《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》(下称“164号文”)中第2点“超范围收集个人信息”中“重点整治APP、SDK非服务所必需或无合理应用场景…”所描述的“非服务所必需”进行了描述;
4、《信息安全技术 个人信息安全规范》(下称“个人信息安全规范”)第4章节基本原则中的“最小必要”原则,第5.2章节“收集个人信息的最小必要”,第11.4章节“开展个人信息安全影响评估”等章节中对于最小必要的要求,该规定向需要开展满足《信息安全技术 个人信息安全规范》的移动互联网应用程序运营者提供了“最小必要”的定义,同时对于需要开展App安全认证技术测评工作的测评机构也提供了对于“最小必要”的判断依据;
5、《中华人民共合国个人信息保护法(草案)》第十三条中第二项“为订立或履行个人作为一方当事人的合同所必需”,在移动互联网应用程序的运营场景下,该规定对草案中的“合同所必需”做出了细化规则。
根据该规定中第二条“移动智能终端上运行的App存在收集用户个人信息行为的,应当遵守本规定…..App包括移动智能终端预置、下载安装的应用软件,基于应用软件开放平台接口开发的、用户无需安装即可使用的小程序。” 的定义,该规定主要适用于存在收集使用个人信息的移动智能终端中运行的应用软件,以及诸如微信小程序、支付宝小程序、今日头条小程序等快应用程序。
根据该规定的第六条中“任何组织和个人发现违反本规定行为的,可以向相关部门举报。相关部门收到举报后,应当依法予以处理。”中的描述,该规定将会被用于监管部门针对App违法违规收集使用个人信息的监管检测、通报、下架等处置的依据。
由于该规定所描述的39类移动应用程序涉及各行各业,不同的行业会有不同的要求及规定,若存在该规定所描述的最小必要信息与行业要求或法律法规存在冲突,则可根据该规定的第二条“法律、行政法规、部门规章和规范性文件另有规定的,依照其规定。”中所定义的,应优先满足法律、行政法规、部门规章以及规范性文件中所要求提供或收集的个人信息。
该规定发布后,众多梆梆安全服务的客户为了避免出现合规问题针对该规定中的描述不太理解的内容提出了一些疑问,我们也对这些问题进行了总结,并给出了合规建议:
1、该规定中描述的必要个人信息类型与行业要求企业上报、收集、留存的个人信息类型有冲突,行业强制要求提供的个人信息类型超过了该规定中所描述的最小必要个人信息类型,应该如和处理?
建议:对于法律、行政法规、部门规章以及规范性文件中要求企业收集的个人信息与该规定发生冲突的,建议在隐私政策中明确说明由于哪部法律、行政法规、部门规章或规范性文件中的哪条要求收集哪些类型的个人信息;若这些信息涉及敏感权限的,则建议在申请权限前通过界面向用户告知由于什么文件要求,需要收集什么信息,用于什么目的。
2、App所提供的业务功能涉及该规定中的多个分类,应该如何处理?
建议:首先建议企业将当前运营的App所提供的各项业务功能进行基本业务功能和扩展业务功能的划分,“基本功能服务”可根据《信息安全技术 个人信息安全规范》中附录C中的定义,“应根据个人信息主体选择、使用所提供产品或服务的根本期待和最主要的需求,划定产品或服务的基本业务功能”,“ 个人信息主体之所以识别或挑选某项产品或服务,主要依据个人信息控制者对所提供产品或服务开展的市场推广和商业定位、产品或服务本身的名称、在应用商店中的描述、所属的应用类型等因素。因此,个人信息控制者应根据一般个人信息主体对上述因素的最可能的认识和理解,而非自身想法来确定个人信息主体的主要需求和期待来划定基本业务功能。一般来说,如果产品或服务不提供基本业务功能,个人信息主体将不会选择使用该产品或服务。”
一般来说,一个App对应一类基本业务功能,例如:手机银行类应用中可能会向用户提供除了手机银行类的网络支付、网络社区、网上购物等多类功能服务,但是基于普通用户对此应用的理解和认知,“通过手机等移动智能终端设备进行银行账户管理、信息查询、转账汇款等服务”是手机银行类应用的基本功能,因此此类应用需要满足该规定中第二十四项对手机银行类的应用所提出的最小必要要求。
对于同一个App中非基本业务功能所需要收集的个人信息,当用户拒绝提供时,应该只影响该非基本业务功能的正常使用。
该规定的出台,说明国家对于个人信息的保护势在必行,对企业所提出的保护要求愈发细致,随着该规定发布并实施,势必对移动应用程序开发运营企业造成巨大的影响,企业也势必需要花费更多的精力来降低旗下App中可能存在的合规风险。
针对企业所面临的个人信息保护压力,建议企业开展如下工作来持续应对当前监管部门提出的合规要求:
提高对个人信息保护的重视,成立专职的个人信息保护部门或将个人信息保护工作责任明确到某一具体部门,同时企业的高层领导需要对个人信息保护工作直接负责;
对当前企业所运营的涉及收集和使用个人信息的App、信息系统进行排查,摸清家底,对于不再运营的App或系统进行及时下线、下架处理,防止由于此类应用出现合规问题被监管部门通报而影响企业声誉;
根据认定方法、164号文、337号令等标规定文件对所有正在运营的App进行全面检测和排查,排查当前企业所运营的App是否存在合规风险;
根据《个人信息安全规范》、《个人信息安全影响评估指南》等标准文件的要求,在企业内部建立个人信息保护制度、流程、规范,并认真落地执行;
定期对涉及收集合使用个人信息的业务系统开展个人信息安全影响评估工作,防止由于信息系统或App的更新迭代引入新的合规风险。