梆梆资讯

梆梆资讯

标准应用 | GB/T 35273中“收集个人信息的最小必要”相关条款技术解析

2024-05-22

随着数字化时代的发展,收集个人信息的合理性及必要性被用户尤为看重。在GB/T 35273-2020《信息安全技术 个人信息安全规范》(以下简称《GB/T 35273》)的5.2章节特别关注了收集个人信息的最小必要性。故本文将从《GB/T 35273》的要求出发,结合《信息安全技术 移动互联网应用程序(App)个人信息安全测评规范(送审稿)》(以下简称《测评规范》),举例分析,如何判定收集个人信息是合理、必要、最小化的。

检测思路

 

5.2-a)收集的个人信息的类型应与实现产品或服务的业务功能有直接关联

具体可分为以下三个方面:

1、App 必须收集的个人信息应是保障其基本业务功能正常运行最少够用的个人信息;

安装并运行App,检查实现基本业务功能过程中,是否存在强制收集必要个人信息范围外的其他个人信息或强制用户打开非必要权限。

注:服务类型正常运行最少够用的个人信息及相关要求见GB/T 41391-2022《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》(以下简称《GB/T 41391》)附录A,给出了常见39类服务类型App的基本业务功能和必要个人信息范围,以及必要个人信息的使用要求。

举例:

2、App 收集的个人信息的类型应与实现其业务功能有直接关联;

注:直接关联是指没有该个人信息的参与,与之相对应的服务功能无法实现。

具体方法如下——

● 查看隐私政策,描述的App收集的个人信息是否与业务功能相关。

● 遍历业务功能,查看App实际收集的个人信息及申请的敏感权限,再结合目的告知、隐私政策及实际业务功能情况,判断是否均与业务功能有直接关联。

● 通过技术手段,査看App在配置文件中声明的权限是否与业务功能有直接关联。

3、用户未使用App特定功能时,不应提前要求用户授权该功能需要的权限或要求用户填写该功能需要的个人信息。

遍历App,检查App申请打开敏感权限及要求用户填写个人信息的时机,是否为用户主动触发、当前业务场景所需申请/收集的,是否存在提前索权的行为。

举例:

5.2-b)自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率

通过技术检测,查看App及其嵌入的第三方 SDK在前台、后台和静默运行时自动收集个人信息的频率,结合隐私政策相应场景下采集频度的相关说明,从而判断是否超出业务功能所必需的最低频率。

App 自动收集个人信息的频率参考其调用可读取个人信息的 API的频率或发送包含个人信息的网络数据包的频率。

不同场景下App采集个人信息的合理频率和相应的检测环境可参考《测评规范》附录D。

查看App的隐私政策和业务功能,确定是否存在间接获取个人信息的行为,若存在,App需检查:

①间接获取的个人信息的数量是否是实现 App 业务功能所必需的最少数量;

②在间接获取的场景下是否有获取个人信息的协议,协议中是否规定获取个人信息的类型、数据量以及与业务功能的关联关系。总  结

 

综合来看,App收集个人信息要想满足“最小必要”原则,开发者在设计开发阶段一定要明确两个问题:

● 为什么要收集?

——即收集个人信息的相关性。如果当前业务场景存在合理的业务目的,则可以向用户收集。

● 是否必须要收集?

——即收集个人信息的必要性。如果存在合法合理的必要性,才可以强制收集(“强制收集”指用户不提供个人信息,则业务功能无法实现)。

我们深入探讨了《GB/T 35273》的5.2章节检测方法,君子之求利而略,其远害也早,希望App开发者可以自查自纠,这不仅是为了监管合规,更是维护了隐私合规的大数据环境。我们呼吁所有信息控制者,以保障用户隐私为首要任务,通过遵循相关标准和最佳实践,共同努力构建一个值得用户信赖的数字社会。

 

(本文作者:北京梆梆安全科技有限公司  郭子汇、吴飏)

友情链接:

京公网安备 11010802024511号

Copyright ©2022. All Rights Reserved 京ICP证160618号  京ICP备11006574号-1