相比于身份证号码、电话号码、位置信息等传统个人信息,由于移动应用程序(APP)获取应用安装列表、设备标识符及基础设备信息等设备信息的行为具有隐蔽性、不可预知性等特征,普通用户常常难以察觉。但在网络空间的某些场景下,如跨平台广告归因、用户精准画像等,设备信息往往扮演着比身份证号码等传统个人信息更加重要的角色,也是某些黑灰产行业的重要生产物料。
对此,工业和信息化部于近期制定了通信行业标准《移动互联网应用程序(APP)收集使用个人信息最小必要评估规范 第 5 部分:设备信息》(以下简称“设备信息最小必要规范”),并明确了重点场景收集设备信息的最小必要评估规范,对产品开发、业务运营及相关测评活动均有一定的参考价值。
制定及归口单位:中国通信标准化协会
标准编号:YD/T 4177.5-2022(报批稿)
标准属性:通信行业标准
发布日期:2022 年 8 月 22 日
标准体系
早在团体标准层面,电信终端产业协会已制定相关最小必要评估规范系列标准,此次由工业和信息化部进一步制修订并上升为通信行业标准,主要依据相关法规及政策,明确主要场景下收集相关信息的最小必要范围。
该系列标准共包括第 1 部分-总则、第 2 部分-位置信息、第 3 部分-图片信息、第 4 部分-终端通讯录、第 5 部分-设备信息、第 6 部分-软件列表、第 7 部分-人脸信息、第 8 部分-录像信息、第 9 部分-录音信息、第 10 部分-通话记录、第 11 部分-短信信息、第 12 部分-好友列表、第 13 部分-传感器信息、第 14 部分-应用日志信息、第 15 部分-身份信息、第 16 部分-剪切板信息,目前已经发布的标准包括总则、位置信息、图片信息、设备信息(报批稿)、录像信息(报批稿)、通话记录(报批稿)及短信信息等,本文主要结合第 5 部分-设备信息进行解读分享。
主要内容
1.设备信息类型
《设备信息最小必要评估规范》针对设备信息的分类与此前的团体标准保持一致,主要将设备信息划分为不可变设备标识、可变设备标识及基本设备信息,同时明确最小必要信息评估仅包括不可变设备标识和可变设备标识,而因为基本设备信息无法单独直接标识用户,故不针对基本设备信息开展最小必要评估。
这对企业来说具有较大的指导意义,在开展 APP 收集使用个人信息的最小必要范围评估时,应重点关注不可变及可变的设备标识信息,此类信息也是监管部门及相关测评机构开展相关治理行动或专项测评中的重点评估信息类型。参考《信息安全技术 移动互联网应用程序(APP)收集使用个人信息基本要求》,最小必要主要是从收集个人信息的类型、频率、数量和精度等维度进行评估。
但需要注意的是,最小必要评估仅是违法违规收集使用个人信息评估中的一个部分,《设备信息最小必要评估规范》中也仅指出基本设备信息无法单独直接标识用户,但实际上仍可以通过汇聚融合等技术手段补充其他信息进而标识用户或生成用户画像,故收集基本设备信息是否需要告知同意,仍有待进一步明确,我们更倾向个人信息处理者应当基于告知同意或其他合法性事由进行收集。
该标准的设备信息分类表列举的设备信息相较于之前的团体标准增加了 PEI (5G 系统)、MAC 地址、固定蓝牙地址、CAID(广告标识)等信息,但实际上该表格仅是部分列举,需要监管部门或企业根据相关设备信息的特性进行完善。
2.告知同意
《设备信息最小必要评估规范》对告知同意环节进行单列,并进一步细化了个人信息处理者在收集设备信息前的告知同意要求,明确了应当在APP收集设备信息前完成告知同意,列举了弹窗提示、提醒勾选、突出链接等告知方式。
除此之外,《设备信息最小必要评估规范》也明确在个人信息保护政策(隐私政策)中应清晰描述收集、使用设备信息的目的、方式和范围。我们提醒开发者,目前根据相关标准和趋势要求,设备厂商均在逐步完善开发者收集相关设备信息的系统提示要求,针对已纳入系统权限控制要求的设备信息,应当结合系统特性,落实同步告知相关目的的要求,针对仍未纳入系统权限控制的设备信息,也应当制定个人信息收集清单并通过首次运行弹窗链接等方式,落实告知同意的要求。
3.最小必要
权限申请最小化:针对系统要求收集相关设备信息(如IMSI、IMEI)需提示申请权限的,用户拒绝权限申请后,除业务功能所需且用户主动使用该功能触发权限申请外,48 小时内不应当再次申请。
频率最小化
针对设备信息的收集频率,目前并未有相关明确的标准,仍应当结合具体的业务场景需要进行评估而定,如非业务功能需要,不得每次点击重复获取、未经告知,不得后台以固定频率获取设备信息等。
类型最小化
《设备信息最小必要评估规范》与此前的相关标准保持一致,将典型的应用场景划分为基本功能与拓展功能,参考《信息安全技术 移动互联网应用程序(APP)收集使用个人信息基本要求》,基本功能所对应的是该类功能或产品实现业务功能所必需的设备信息类型(用户不同意收集可拒绝提供服务),拓展业务功能对应的是非必要个人信息(用户可选择退出,不影响使用基本业务功能)。
具体典型应用场景如下:
且上述分类进行除权限申请、频率及类型最小化之外,该标准还提出应尽量本地化处理,实践中针对不可变标识符的本地化处理,已有相关技术方案并得到应用。
值得注意的是,该标准还要求 APP 为实现相关功能或服务,需收集设备标识时,应单独征得用户同意并为用户提供有效的开关选项,但并未明确“相关功能或服务”具体包括哪些应用场景,有待观察监管部门后续的具体要求。
合规建议
在业务场景下,设备信息,尤其是设备标识信息,在很多场景下的应用能给用户带来很多个性化、智能化功能体验,也提高了企业的运营效率。但同样也带来了很多弊端,通过设备标识信息,能够直接或间接追踪用户,且部分信息无法变更和抹除。所以除监管和标准要求之外,也一直是各应用市场和系统厂商的管理重点和趋势,如在Android系统获取设备标识信息愈来愈困难、IOS 推行的的 ATT 政策,这都给企业顺利获取相关信息和业务运营带来了阻碍,但这均代表了合规趋势,一定程度上也与标准要求相契合。故除了应对监管,及时落实标准要求,也能帮助企业保障业务的稳定开展。
在监管场景下,设备信息一直是 APP 专项治理中测评和企业整改的重难点,代码环境和 APP 运行环境复杂,第三方收集行为不可控,相关标准也不明确,监管和标准要求存在部分脱节。在此背景下,《设备信息最小必要评估规范》的发布对 APP、SDK等移动应用开发均有较大的合规参考意义。
尤其明确各类应用场景最小必要收集信息字段,相关业务功能类型划分虽不能完全覆盖所有场景,但相对此前的团体标准,具有较大创新,更加清晰具体。针对《设备信息最小必要评估规范》已划分的应用场景类型,企业应当参考评估,积极整改落实。万事均无法一蹴而就,针对未明确的部分问题,仍要进一步完善,需共同期待。