公安部第三研究所研究员张艳博士分享如何做好个人信息安全保护要求

【安全法规】2019-10-18

分享到

上周，杭州市网络安全协会举办的“App个人信息安全保护要求”培训会，在网易总部顺利举行。

在本次分享会上，公安部第三研究所检测中心·智能互联安全测评实验室主任、研究员张艳博士，做了关于《App个人信息安全保护要求》的主题分享，来自于杭州市近90多家互联网企业代表150余人参加了本次培训会议。

张艳博士主要从事信息安全专用产品、信息技术产品、信息系统的安全性测试评估方法、标准和工具的研究以及相关测评业务的开展等。作为知名的网络安全专家，张艳博士针对社会各界广泛关注的App违法违规现象，就App个人信息保护的背景及必要性、个人信息安全规范解读、应用必要信息介绍和App违法违规认定方法等四个板块，为在场的互联网企业代表做了详细的介绍和精彩的阐述。

App个人信息安全保护的背景

张艳博士表示，当下有许多App违规收集、使用个人信息的案例，比如说Facebook用户数据泄露、3.15曝光的“社保掌上通”和“714高炮”、WiFi探针盒子非法获取用户隐私+大数据分析营销。

与此同时，全球107个国家均制定数据安全和隐私保护的立法，尤其是GDPR正式实施， 2018年也被认为是数据安全保护元年。

张艳博士指出，国内的App普遍存在过度收集个人信息的情况，包括针对移动App强制授权、过度索权、超范围收集个人信息、违法违规使用个人信息等问题。最近几年，在个人信息安全保护方面，我国监管部门和相关法律法规也逐渐完善起来。

她说，《网络安全法》等法律法规明确规定了责任主体以及相关原则，规范App个人信息收集；今年年初，四部委也开展了App违法违规收集使用个人信息的专项治理。

“专项治理获得了阶段性成效，一个是出台了一系列App个人信息保护相关技术规范和政策文件，比如《App违法违规收集使用个人信息行为认定方法》、《数据安全管理办法》、《个人信息出境安全评估办法》、《移动互联网应用(App)收集个人信息基本规范》；另外个是建立了App违法违规收集使用个人信息举报渠道，目前已收到9000多条举报信息，涉及2000多款App，其中600多款纳入评估，督促整改。

个人信息安全规范解读

接着，张艳博士对个人信息安全规范做了解读。通常认为数据安全=保密性+完整性+可用性。由此延伸，她解读《网络安全法》关于个人层面的信息保护要求，应该做到数据安全+个人的信息控制权利+网络运营者等相关方尊重个人控制权利的义务，而国家层面的数据安全则要做到数据安全+重要数据的支配权+防止重要数据遭恶意使用对国家安全的威胁。

个人信息安全规范是将网安法中对于数据安全保护的基本原则和要求转变成落地可操作的技术标准，明确数据全生命周期的保护要求。

那么，个人信息都包括哪些？张艳博士现场给出了相关示例，包括：个人基本资料、个人身份信息、个人生物识别信息、网络身份标识信息、个人健康生理信息、个人财产信息、个人通信信息、联系人信息、个人上网记录、个人常用设备信息、个人位置信息等；并给出了个人敏感信息的判定方法。

在个人信息控制者开展个人信息处理活动层面，张艳博士称，应该遵循权责一致、目的明确、选择同意、最少够用、公开透明、确保安全、主体参与原则：

权责一致原则：对其个人信息处理活动对个人信息主体合法权益造成的损害承担责任;
目的明确原则：具有合法、正当、必要、明确的个人信息处理目的;
选择同意原卿：向个人信息主体明示个人信息处理目的、方式、范围、规则等，征求其授权同意;
最少够用原则：除与个人信息主体另有约定外，只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后，应及时根据约定删除个人信息;
公开透明原则：以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等，并接受外部监督;
确保安全原赃：具备与所面临的安全风险相匹配的安全能力，并采取足够的管理措施和技术手段，保护个人信息的保密性、完整性、可用性;
主体参与原则：向个人信息主体提供能够访问、更正、删除其个人信息，以及撤回同意、注销账户等方法。

张艳博士指出，需要在个人信息的收集、保存、使用，以及个人信息的委托处理、共享、转让、公开披露、安全事件处置、组织的管理要求等方面遵循以上要求。

应用必要信息有哪些？

移动互联网应用（App）收集个人信息基本规范（征求意见稿）中，罗列了包括地图导航、网络约车、及时通讯、博客论坛、网络支付、新闻资讯、网上购物等在内的常用服务类型，并明确了业务功能收集的两类最少信息：实现服务所需个人信息和法律法规要求的个人信息。

张艳博士介绍App收集个人信息基本要求，主要包括两大类，一类是管理要求，另外一类是技术要求，具体见如下：

管理要求：

a）App运营者应履行个人信息保护义务，采取必要安全措施，保障用户个人信息安全。

b）当用户同意App收集某服务类型的最少信息时，App不得因用户拒绝提供最少信息之外的个人信息而拒绝提供该类型服务。

c）App不得收集与所提供的服务无关的个人信息。

d）对外共享、转让个人信息前，App应事先征得用户明示同意。当用户不同意，则不得对外共享、转让用户个人信息。

e）App不得收集不可变更的设备唯一标识（如IMEI号、MAC地址等），用于保障网络安全或运营安全的除外。

f）用户明确拒绝使用某服务类型后，App不得频繁（如每48小时超过一次）征求用户同意使用该类型服务，并保证其他服务类型正常使用。

g）App应对其使用的第三方代码、插件的个人信息收集行为负责。第三方代码、插件收集个人信息视同App收集，App应防止第三方代码、插件收集无关的个人信息。

技术要求：

a）当收集的个人信息超出服务类型的最少信息时，超出部分的个人信息，App应逐项征得用户明示同意。

b）当同一App有2种或2种以上服务类型时，App应允许用户逐项开启和退出服务类型，开启或退出的方式应易于操作。

c）当用户退出某服务类型后，App应终止该服务类型收集个人信息的活动，并对仅用于该服务的个人信息进行删除或匿名化处理。

d）当申请个人信息相关权限或要求用户输入个人信息时，App应向用户同步明示申请权限或收集信息的目的。

e）App应向用户提供实时查询已收集个人信息类型的功能；查询结果应以独立界面展示，且查询方式应易于操作。

f）存在对外共享、转让个人信息的，App应向用户提供查询数据接收方身份的功能；查询结果应以独立界面展示，且查询方式应易于操作。

g）在技术可行且不影响终端和服务正常的情况下，App应优先在用户终端中存储、使用所收集的个人信息。

h）App应以实现服务所必需的最低合理频率向后台服务器发送个人信息。

App违法违规认定方法

在介绍完常见App业务功能相关必要信息后，张艳博士解读了App违法违规收集使用个人信息行为认定方法（征求意见稿）。

张艳博士称，不同于以往的App自身安全漏洞被利用而引发的风险问题，App个人信息安全保护方面的违法违规行为是一种主动的恶意行为，包括个人信息数据的采集违规和个人信息数据的使用违规。

在APP违法违规收集使用个人信息行为违规认定上，主要关注七个方面。一是，是否未公开收集使用个人信息的规则；二是，是否明示使用个人信息的目的、方式和范围；三是，是否未经同意收集使用个人信息；四是，是否违反必要性原则，收集与其提供的服务无关的个人信息；五是，是否未经同意向他人提供个人信息；六是，是否未按法律规定提供删除或更正个人信息功能；七是，是否侵犯未成年人在网络空间合法权益。