细心的用户可能会发现,在一些购物平台上传图片时,会提示“仅限于选定图片”。
近日,国家市场监督管理总局、国家标准化管理委员会发布了《信息安全技术移动互联网应用程序(App)收集个人信息基本要求》(以下简称《要求》)。在App收集个人信息基本要求方面,《要求》对最小必要原则、必要个人信息、特定类型个人信息、告知同意、拒绝或撤回同意、系统权限、第三方收集管理等方面作出了细化要求。
《要求》提出,如确需通过系统权限实现相关功能,应仅读取用户选取的特定照片;未经用户单独同意,不应分析提取相册照片视频中的生物识别信息,或用于分析挖掘用户的特定身份、兴趣爱好、健康状况等。
《要求》的发布,再次引发了互联网行业和用户的广泛关注。
细化最小必要原则
在某快递平台投诉后,用户被要求完善信息,其中一个便是人脸识别;乘坐地铁除测温外,一卡通也设立了很多刷脸进站站点;在购物平台完成支付后,总不忘问你一下是否开通人脸识别,并且设置了很容易点选的按钮……
商家收集人脸等生物识别信息,一方面是方便用户,另一方面更是由于自然人的生物识别信息有极大的商业价值。
“处理个人信息的最小必要原则,需要在目的明确、合理的基础上,把握实现目的所必需、最小范围收集以及最小影响个人权益的三大要点。”中国信息通信研究院云计算与大数据研究所人工智能部工程师呼娜英对记者说。“这在《个人信息保护法》《个人信息安全规范》中已有明确规定。而《要求》则对App的收集行为进行了细化,涉及收集个人信息的类型、频率、数量、精度等。”
“从用户角度,可以理解为应收集实现其功能最小范围的个人信息,如果有替代方案就用替代方案;如果收集一般个人信息即可,就不要收集敏感个人信息;如果可以在本地实现,就不要回传相关个人信息。即所收集的信息必须与产品功能、处理目的直接相关,且选择对用户权益影响最小的方式等。”《要求》起草人之一、北京同元法律咨询有限公司合规总监马可对记者说。“例如,电商类App并不必要在物流相关场景收集位置信息,完全可以以用户自己填写收货地址的方式,获取邮寄地址。这就是用替代方案的方式,实现了收集最小、必要的个人信息的形式。”
马可认为,用户可以通过查阅App的隐私政策、个人信息收集清单及App权限弹窗的内容,并结合该App在标准附录中的类型划分及必要个人信息列举,判断是否超出最小必要、是否与功能有关联性、是否给予用户充分选择权等。
“最直观的方式就是用常识和经验去判断。”马可说,“例如,资讯浏览App收集麦克风权限,其必要性显然需要画上问号。但什么情况下是合理必要的或与目的有关联的?如该资讯浏览类App提供了有声读物实时语音直播之类的功能,此时麦克风权限的申请与有声读物的实时直播属于资讯类App非必要但与功能有关联的情况,是具有合理性的。但同时要判断该App是否提供了用户拒绝使用该功能的选择,而非用户点击功能后不授权麦克风,基本的资讯都无法浏览了。”
明确特定类型个人信息收集要求
呼娜英表示,对于必要个人信息,2021年3月出台的《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称《规定》),对39类常见类型App的必要个人信息范围作出规定,《要求》及附录中的相关界定与《规定》是一致的。《规定》界定了12种特定类型的个人信息,明确了App通过申请特定权限,获取相应信息情形下的具体要求。
马可介绍说,对于特定类型个人信息,《要求》在附录C中采取列举方式,选取了一些常见的、具有一定敏感度的个人信息,帮助企业、用户进一步了解这些信息的收集处理要求。包括日历信息、应用程序列表、设备信息、短信信息、通话记录信息、通讯录信息、位置信息等。
马可表示,从《要求》来看,这些信息虽然特别但非绝对不能收集,每项信息都有具体的要求,满足要求的就可以开展。细化要求的基本原则,通俗讲就是能不收集就不收集,必须收集可以先看有没有替代方案,尤其其中比较敏感的个人信息,要做到充分告知并征得用户的单独同意。
两位专家指出,用户可以通过App的隐私政策、是否有弹窗说明和及时告知等进行判断。同时,可以在系统设置中查阅App所开启和关闭的权限,从而对应判断是否涉及特定类型个人信息,结合附录C进一步判断是否达到要求。
非必要但有关联个人信息不可强制收集
《要求》明确细化了必要个人信息、非必要但有关联个人信息、无关个人信息之间的关系。用户可选择、可拒绝,不可以强制收集“非必要但有关联个人信息”等如何实现呢?
“App基本业务功能中可选收集的个人信息,以及扩展业务功能收集的个人信息,构成‘非必要但有关联个人信息’。”呼娜英说,“比如一款运动健身类App开发的即时通信类功能,属于基本业务功能之外的扩展业务功能,其收集通信联系人账号列表的信息,就属于非必要但有关联的个人信息。对此,App需要提供灵活的方式保障用户可以选择、拒绝收集的权益。”
“《要求》给出的解决思路,首先需要App区分基本功能与扩展功能,以此界定‘非必要信息’和‘非必要但有关联的个人信息’。”马可说。
马可认为,从App角度,需要做好事先的功能划分,并在隐私政策中充分进行收集处理该个人信息的必要性说明。就基本功能必需之外的其他个人信息,均应给用户选择拒绝的权利,不应强制用户授权。
以导航类App为例,由于客观上需要实时位置信息才可实现基本功能,位置信息就属于基本功能所需的必要信息。即使用户上一秒已经拒绝过该权限,但用户只要点了实时导航相关功能,App就可触发申请位置权限。如果该App同时设置了附近好友之类的功能,则属于扩展功能,功能所需的添加好友联系方式、好友位置等,均为非必要信息,用户可以拒绝。拒绝后不得频繁向用户申请该信息。
读取应用程序列表信息应告知
当相关技术人士给出App频繁读取后台信息的证据后,一般用户都会感到恐慌。
App为什么要读取应用程序列表?一般认为,比如安全类App通过读取列表信息,可扫描用户是否安装下载了危险恶意应用程序。有的App则想进一步做用户画像,以便定向推送内容或广告。
马克指出,根据《要求》的细化,App应该仅在用户使用相应功能时,再申请使用列表信息并告知用户目的、取得用户同意。尤其在用于用户画像、定向推送等场景时,应采用增强告知或及时提示等方式,告知用户并获得用户同意;如果可在本地实现相应功能的,应仅在本地处理。
呼娜英认为,App读取应用程序列表可以分析、挖掘用户的偏好,进行用户画像,这种情况下,需要取得用户的明示同意。当前,App常见获取用户同意的方式,是通过弹窗告知用户收集事宜以及隐私保护政策,在用户勾选隐私保护政策后才可点击同意。实际上,获得有效知情同意必须以简洁、清晰、易懂的隐私保护政策为前提。
“从《要求》附录A中可以看到,应用程序列表并非常见服务类型App的必要个人信息,因此,如果App强制收集本项信息,不告知、不经同意,甚至拒绝后直接退出App的情况,都属于不符合要求的。”马可说,“用户可以从App隐私政策相关说明中,进一步判断收集应用列表信息的必要性与合理性。”
未经同意不得提取生物识别信息
仅读取用户选取的特定照片;未经单独同意,不应分析提取相册照片视频中的生物识别信息等。《要求》关于人脸信息等生物识别信息的细化规定备受关注。
“自中国信通院启动‘可信人脸应用守护计划’(以下简称护脸计划)以来,开展了数十例人脸信息合规相关测评,测评中发现App、人脸识别面板机、门禁闸机等应用或设备,在收集人脸信息时,存在未能够充分保障用户知情同意的情形。”呼娜英说,“知情同意原则是《个人信息保护法》最为重要的原则之一。”
据了解,收集相册信息的常见场景,如有功能涉及上传、分享图片,用户进行图片美化、制作视频等,都需要涉及相册相关权限。
马可说,根据细化要求,用户使用相应功能时才可申请相册权限,如涉及包含位置信息的,均应事前提示用户并征得用户同意。如果无需系统权限可以实现用户自主选取照片、处理照片的功能,应仅读取用户所选的特定照片。未经同意不得提取照片、视频中的生物识别信息,进一步分析用户喜好等。如涉及自动备份、云端识别照片等,必须事前告知用户备份、识别的目的、方式、范围频率等,且事前取得用户同意,同时应提供停止自动备份的功能。
马可表示,从用户角度看,相册等App第一次申请权限时,都会进行提示。用户需关注弹窗内容所声明的目的是否与相册信息具有关联性,是否可以自主选择同意及拒绝。拒绝后,在未使用相关功能时,App是否还会再次申请该权限,如果App仍多次申请该权限,说明其申请时机不合理,且涉及频繁申请权限,应继续拒绝。
根据《要求》,针对相册照片、视频中的生物识别信息的提取原则上应被禁止,当缺失合理场景、目的、未征得用户事先同意时,不得从事相关行为。
马可认为,这是因为该行为涉及到的生物识别信息是较为敏感的个人信息,甚至可能关系到用户的人身、财产安全问题,对用户权益影响产生较大影响。除非该行为具有较为合理的场景,必要且经过用户的明确同意、采用了增强式告知同意的方式,事前有严谨的个人信息保护影响评估或者是其他依法需要提取的才可以提取。
分析提取相关信息后用于挖掘用户特定身份、兴趣爱好、健康状况,同样可能涉及用户隐私。如无较强的必要性及合理场景,基于相册权限获知的照片、视频信息,均应在相关功能实现后及时删除。企业需要进一步做分析提取时,需要充分评估相关行为的合规性,及对用户权益的影响,并开展评估,均需事前明确告知用户相关行为的目的,甚至可能造成的影响。
用户拒绝撤回注销等权益如何实现
用户可以拒绝对自己合法权益有影响的个人信息处理活动,拒绝非必要的个人信息收集或权限申请行为,可以撤回自主做出的同意授权决定,可以方便地注销账号。《要求》对用户合法权益的实现进行了细化。
“用户的拒绝、撤回同意、注销账号的权益,均以App依照法律法规、国家标准等要求,积极落地和保障用户权益为基础。”马可说道。用户需要观察App是否存在过度收集个人信息、滥用个人信息、过度打扰自身安宁(如频繁索权)的行为等。观察App是否提供了拒绝、撤回同意、注销账号便利的实现途径。
用户可以在合理范围内拒绝部分或全部服务,拒绝App需要收集的非必要个人信息或权限,拒绝损害自身权益的个人信息处理行为。例如,用户可以拒绝个性化推荐广告,拒绝短信营销、电话营销等,观察App界面有无提供个性化广告的关闭按钮,营销短信中是否提供退订方式,电话营销明确拒绝后是否频繁呼入打扰;用户可以拒绝非必要的权限申请,观察相关弹窗界面有无同时提供拒绝选择;用户可以拒绝因自动化决策给自身权益带来较大影响的个人信息处理行为,如自动决策是否贷款,是否有投保资格,是否可以受教育,是否可以获得平等的工作机会等,观察App是否提供了申诉的机会,说明了申诉方式;用户甚至可以删除App来拒绝相关服务,但有的App甚至无法删除。
用户可以撤回曾经同意收集的个人信息、申请的权限等。需要观察App是否提供或者说明了撤回同意的方式,如App上有关闭权限的按钮,告知在哪里可以管理权限;告知除权限之外撤回其他个人信息同意的实现方式,如提供专门的联系方式。
App需要在交互界面为用户提供方便的注销途径,而非仅仅提供电话等,或者设置不合理的注销条件,例如要求用户提供远超使用服务所必需的个人信息,进行不必要的身份验证等。
相关技术手段也在帮助保护用户合法权益。呼娜英说,在中国信通院依托“护脸计划”开展的人脸信息合规相关测评中,就有一项内容,专门验证App等应用对于配置用户撤回同意、注销账户等功能,是否能够满足用户行使相关权益的可操作性、应用响应的时效性、有效性。