标准应用 | 收集个人信息合法性的测试技术解析与实践
个人信息收集的合法性是近年来监管部门关注的重点内容,国家标准GB/T 35273-2020 《信息安全技术 个人信息安全规范》 中明确提出了关于收集个人信息合法性的具体要求,本文从标准应用角度出发,详解对于标准相关内容进行测试的具体技术思路,供参考:
01 条款解读
5.1收集个人信息的合法性 | a)不应以欺诈、诱骗、误导的方式收集个人信息。 |
重点解析/检测思路:
查看功能界面是否有收集与声明不相符的个人信息(包括欺骗用户访问、误导用户点击等行为)。 | |
b)不应隐瞒产品或服务所具有的收集个人信息的功能。 | |
重点解析/检测思路:
1.已有隐私政策,用户尚未明确同意隐私政策前,是否存在个人信息收集或相关权限的使用(包括设备信息等个人信息、敏感权限、应用列表、剪切板行为等); 2.同意隐私政策后,App置于后台有采集个人信息或者调用敏感权限的行为,但未在隐私政策中说明该种场景; 3.同意隐私政策后,遍历App功能界面,查看个人信息收集或相关权限的使用在隐私政策中是否有说明。 | |
c)不应从非法渠道获取个人信息。 | |
重点解析/检测思路:
查看功能界面关于个人信息安全相关的管理制度和用户协议、隐私政策等文件,是否有明确要求不得从非法渠道获取个人信息。 |
“5.1收集个人信息的合法性”可以分成关于App隐私政策、App功能测试、App行为测试三个方面的检测。其中条款:b)、c)重点以隐私政策和App功能测试、App行为测试为主,a)以App行为测试为主,测试对使用App过程中采集个人信息或者调用用户敏感权限进行分析,存在一定技术难度。在实际App案例中,经常出现隐瞒产品或服务所具有的收集个人信息的功能,该问题的重点在于App是否存在未明示且无合理应用场景收集个人信息的情形。主要现象如下:
1、静默状态下,即用户未同意隐私政策前,若App存在收集任何个人信息或调用敏感权限的行为,将可能被判定App隐瞒服务所具有的收集个人信息功能收集个人信息。其中个人信息种类可详见GB/T 35273-2020 《信息安全技术 个人信息安全规范》附录A,敏感权限详见TC260-PG-202009 《移动互联网应用程序(App)系统权限申请使用指南》附录A。
2、后台状态下,若App在隐私政策中无特殊说明App、SDK将在后台运行状态下(如:运行期间将持续收集或者标明后台状态下)收集某类个人信息/调用敏感权限,则App存在隐瞒服务所具有的收集个人信息功能收集个人信息的情形。此处的个人信息和敏感权限可参考上文提及的规范和指南。
3、在遍历App所有业务功能时,首先需判断当前应用类型属于什么行业类型,再根据“四部门联合印发《常见类型移动互联网应用程序必要个人信息范围规定》(国信办秘字〔2021〕14号)”、“《信息安全技术 移动互联网应用(App)收集个人信息基本规范”(制定中)》确定当前App的最小必要权限及最小必要个人信息,例如App的行业类型属于地图导航,则最小必要权限为位置权限,最小必要个人信息为位置信息、出发地、到达地。紧接着需要判断App当前业务场景收集的个人信息或调用的权限是否在隐私政策说明其收集的行为,若隐私政策未提及当前业务场景会收集个人信息,则App隐瞒服务所具有的收集个人信息功能收集个人信息;若隐私政策说明了当前业务场景会收集个人信息,则需要判断当前收集的频率是否有超出实际业务场景的合理频率,App不同业务场景合理频率可参考“《信息安全技术 移动互联网应用程序(App)个人信息安全测评规范”(制定中)》附录D。
02 实践案例
近几年,国家层面针对App违法违规收集个人信息行为进行专项治理。工信部及各地通管局等监管部门均在严抓App违法违规收集个人信息的行为,整治力度强且多家App厂商积极配合,App违法违规的行为逐渐减少。但仍有部分App存在“隐瞒产品或服务所具有的收集个人信息的功能”的行为,主要体现在以下三方面:
1) 静默状态下,即用户未同意隐私政策前,App收集个人信息或调用敏感权限,其中收集的个人信息有以下种类,其中最为常见的个人信息有:姓名,手机号,性别,出生日期,身份证号码等。
举例说明如下图,用户还未阅读隐私政策,就弹窗申请权限,并把隐私政策的正文内容遮挡,此时App申请的权限也属于隐瞒收集个人信息的行为。
2) 后台状态下,若App在隐私政策中无特殊说明App或者SDK将在后台运行状态下(如:后台运行期间将持续收集)收集个人信息或者调用敏感权限,则认定为隐瞒收集个人信息的行为。
大部分App厂家及SDK厂家都未在自身的隐私政策中说明其后台的收集行为,或将后台状态下收集的行为与在遍历期间收集的行为混为一谈,未单独在隐私政策中列明其后台状态,也属于App后台隐瞒收集个人信息行为,此类违规行为最为常见。如下图,此为某App运行过程中App本身和集成的SDK收集的个人信息和调用的权限。App在后台收集时应说明后台的业务合理性,若无合理业务场景下,App和SDK都不应隐瞒收集个人信息和权限。
3) 遍历App所有业务功能时,查看各业务场景收集的个人信息和调用的权限是否有超出用户授权范围。检测步骤如下:
首先,需要判断当前应用类型属于什么行业类型,再根据“四部门联合印发《常见类型移动互联网应用程序必要个人信息范围规定》(国信办秘字〔2021〕14号)”、“信息安全技术 移动互联网应用(App)收集个人信息基本规范”(制定中)确定当前应用的最小必要权限及最小必要个人信息。例如某App的行业类型属于“地图导航”,则最小必要权限为位置权限,最小必要个人信息为位置信息、出发地、到达地。
其次,需要判断App当前业务场景收集的个人信息或调用的权限是否在隐私政策说明收集的行为,如果隐私政策没有提及当前业务会收集,则是隐瞒产品具有的收集个人信息行为;
最后,若隐私政策说明了当前业务场景会收集,则需要判断当前收集的频率是否有超出实际业务场景的合理频率,如:地图导航类App在实时的位置追踪情况下,可以每秒访问一次位置信息。App不同业务场景合理频率可参考“信息安全技术 移动互联网应用程序(App)个人信息安全测评规范”(制定中)附录D。
03 合规建议
综上所述,针对“不应隐瞒产品或服务所具有的收集个人信息的功能”的合规要求建议如下:
1、知情同意,即在用户知情的情况下,才收集用户个人信息。包括但不限于:静默状态、遍历状态及后台状态。
2、合理频率,即运行过程中收集的个人信息或调用权限,满足当前业务场景的合理频率。
“大厦之成非一木之材,大海之阔非一流之归”,对于“收集个人信息的合法性”治理,需要多方参与,共筑合力。对此,需要呼吁各App厂家,在面对App收集个人信息这一问题时,要严格遵守知情同意、合理收集两大原则,更需要政府加强引导,工信部和通管局致力严抓严惩各类App违规收集个人信息的行为。“行稳致远,进而有为”让我们共同期待未来的App更加完善。
(文章来源:
)