GB/T 44588-2024《数据安全技术 互联网平台及产品服务个人信息处理规则》(以下简称“GB/T 44588”)已于2024年9月29日正式发布,标准目前为即将实施状态,将在2025年4月1日正式开始实施。
GB/T 44588规定了互联网平台及产品服务个人信息处理规则(以下简称“隐私政策”)的基本要求、编制程序、规则内容和发布形式等要求。本文将从标准的条款出发,详细解读“8.4.1个人信息的收集使用规则”小节,一起探讨企业如何做好隐私政策“个人信息的收集使用规则”内容的合规思路。
一、合规思路
为保证App隐私合规的长久稳定,企业应秉持“正本澄源”的态度,彻底厘清App所存在的个人信息处理情况。结合GB/T 44588中对“个人信息处理规则的编制程序”的要求,建议做到“四步走”,作为编制个人信息处理规则的基础:
- 第一步:彻底厘清App面向用户提供的服务类型,以及各服务类型中涵盖的业务功能。
- 第二步:针对不同的业务功能,描述个人信息处理情况——处理的个人信息种类、目的或必要性、方式,保存方式、保存期限、流转需求、安全措施等(可为表格形式,以下称为“描述表”)。
- 第三步:对描述表进行分析——判断处理个人信息的必要性、识别其中的敏感个人信息等。
- 第四步:若App版本更新或App功能存在迭代,应同步更新描述表内容。
如果企业可以参照如上步骤梳理出一份《各业务功能的个人信息处理情况描述表》,那么祝贺您,履行接下来的编制隐私政策的要求将事半功倍。
二、具体要求
a)明确列举涉及处理个人信息的各个业务功能;
条款解析:涉及收集使用个人信息的业务功能,需在隐私政策中逐一列举。
企业应做好前文中的“第一步”——根据App实际情况,梳理App提供的服务类型及各服务类型的基本业务功能和扩展业务功能。并在隐私政策中逐一列举涉及收集使用个人信息的业务功能(建议按照App功能模块的顺序及大多用户的理解习惯对业务功能名称进行列举)。
不同服务类型对基本业务功能的识别可参考GB/T 41391-2022《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》(以下简称“GB/T 41391”)的附录A。
例:某证券App,依据GB/T 41391判断其服务类型为投资理财类,则基本业务功能为股票、期货、基金、债券等相关投资理财服务。其隐私政策已明示其App类型及基本业务功能,并按照各业务功能的维度分别列明个人信息收集使用情况。
图:隐私政策逐一列举业务功能的合规示例
图:GB/T 41391中规定了常见39类App的基本业务功能的部分类型示例
若App面向用户提供多种服务类型,且能够清晰划分的,可在隐私政策中先按照服务类型划分,再分别列举各类型所包括的业务功能,及不同业务功能的个人信息处理情况。
b)分别列出各业务功能所收集的必要个人信息种类和非必要个人信息种类、目的或必要性、方式(如用户填写、系统权限调用、第三方获取等),并以“个人信息收集清单”的形式统一集中展示;
条款解析:1、对各业务功能收集的个人信息,进行必要个人信息和非必要个人信息的区分列举;
企业需按照收集的“必要性”区分必要个人信息和非必要个人信息(可参考GB/T41391-2022的附录A)。保障App基本业务功能正常运行所必需的个人信息为必要个人信息,与App所提供的服务直接相关但可选收集的个人信息为非必要个人信息。
在列举个人信息时应注意个人信息种类逐一列举,不使用概括性语言综述所收集个人信息,如“身份信息”、“设备信息”、“个人财产信息”。
图:某网络约车类App隐私政策示例图片
图:GB/T 41391中对网络约车类App的必要个人信息范围及使用要求
图:某App对于注册、登录功能的必要个人信息和非必要个人信息的说明示例
条款解析:2、分别说明各业务功能收集个人信息的目的或必要性、方式;
目的——why——为何收集
例:第三方账号登录功能收集微信昵称、头像,用于将微信账号与手机号相绑定,下次可使用微信授权登录进行快速登录账号。
必要性——why must——为何强制收集
例:寄递快递前必须进行实名认证,收集姓名和身份证号,用于满足快递行业进行快递寄件的实名制要求。
方式——how——如何收集
例:用户填写、系统权限调用、第三方获取等。
条款解析:3、提供“个人信息收集清单”,对业务功能收集个人信息情况进行集中展示。
本标准所提到的“个人信息收集清单”与其他的标准/发文所要求过的“已收集个人信息清单”有所不同。本标准的“个人信息收集清单”可以理解为隐私政策“我们如何您的个人信息收集”章节的清单版,为静态清单,目的在于简洁、清晰、统一、集中的展示出App各业务功能收集个人信息情况。
若企业做好前文中的“第二步”,梳理出“描述表”,则只需稍加修改就可形成“个人信息收集清单”。
c)如涉及敏感个人信息,详细说明敏感个人信息种类、目的、处理敏感个人信息的必要性和规则,并说明对个人信息主体权益的影响;
条款解析:识别敏感个人信息,隐私政策需详细说明收集敏感个人信息的类型、目的、必要性和处理规则,以及对个人信息主体权益的影响。
对敏感个人信息的识别可参考GB/T 35273-2020《信息安全技术 个人信息安全规范》(以下简称“GB/T 35273”)的附录B以及《TC260-PG-20244A 网络安全标准实践指南-敏感个人信息识别指南》(以下简称“TC260-PG-20244A”)。
图:TC260-PG-20244A 附录A 常见敏感个人信息类别示例
图:某App隐私政策对“精确地理位置”敏感个人信息的说明示例
依据GB/T 35273的5.5a)章节的要求,隐私政策涉及敏感个人信息类型的,需明确标识或突出显示。可使用字体加粗、红色字体、加下划线等方式进行突出标识,以达到专门提醒用户关注敏感个人信息相关内容的效果。
d)在“个人信息收集清单”中列明个人信息被处理的方式,以及拒绝对个人信息的处理可能对产品或服务使用的影响
条款解析:“个人信息收集清单”还需列明个人信息被处理的方式,以及拒绝处理可能对产品或服务使用的影响。
例:个人信息被处理的方式——单次读取、本地存储、上传到www.***.com域名服务器等;拒绝处理可能对产品或服务使用的影响——拒绝授权则无法使用该业务功能,但不影响您使用与该权限无关的其他业务功能。
图:合规示例
e)统一集中展示服务或产品中所嵌入的各第三方代码或插件(如 SDK)的名称,并列明各个第三方代码或插件在App中实际所对应收集的全部个人信息种类,以及所处理个人信息的目的、方式、频次或时机等
条款解析:可建立“第三方SDK清单”,逐一展示第三方SDK的名称,收集个人信息的类型、目的、方式、频次或时机等。
如App嵌入的SDK较多,直接在隐私政策中展示篇幅过长,可以建立“第三方SDK清单”嵌在隐私政策中,并对清单链接进行突出标识(如彩色字体、下划线)。
图:某App的第三方SDK清单示例
对于企业来说,梳理出“第三方SDK清单”并在隐私政策中展示是十分必要的。
2024年4月25日发布的、2024年11月1日开始实施的GB/T 43739-2024《数据安全技术 应用商店的移动互联网应用程序(App)个人信息处理规范性审核与管理指南》(以下简称“GB/T 43739”)中明确要求:应用商店运营者在受理App进入应用商店的申请时,对App运营者所提交的App相关信息进行审核。对于未完整提交信息的,应用商店运营者应拒绝App上架。
而要求提交的信息中就包括“涉及收集个人信息的第三方SDK信息”——名称、包名、SDK运营者名称、嵌入目的、SDK收集的个人信息类型、SDK使用的系统敏感权限。
图:GB/T 43739 附录A.5 App内嵌第三方SDK详情表(提交审核版)
f)说明个人信息存储的地域(通常为省级行政区域);如个人信息存在跨境传输情况,应对个人信息境外存储的地域(通常为国家或地区)单独列出或重点标识。
若APP收集的个人信息存储在中华人民共和国境内的,需在隐私政策中说明具体的存储地域,存储地域通常为省级行政区域。
图:个人信息存储地域说明的合规示例
如APP收集的个人信息存在跨境传输情况的,需单独说明个人信息境外存储的地域,并对境外存储地域进行重点标识(加粗、下划线等)。
g)根据个人信息的使用情况,注明不同类型个人信息预计的保存时间或个人信息存储期限的确定方法(如:自收集日期开始5年内)以及删除或销毁的截止日期(如:2019年12月31日或个人信息主体注销账户时)。
企业需根据国家相关法律法规对个人信息存储期限的规定,说明不同类型的个人信息的存储期限以及超过存储期限的处理方式,如《电子商务法》第二章第三十一条规定:商品和服务信息、交易信息保存时间自交易完成之日起不少于三年。
图:个人信息存储期限的合规示例
h)确需改变个人信息收集和使用的目的、方式、种类的,在以同意为个人信息处理的合法性基础的情况下,明确会重新征得个人信息主体的同意。
APP收集和使用个人信息的目的、方式、种类等规则可能发生变更,APP的隐私政策也需随之更新,隐私政策更新后需以显著方式告知用户,并再次征得个人信息主体的同意。隐私政策更新后的告知方式需再隐私政策中明示。
图:某APP的隐私政策如何更新示例
i)说明是否需要对外提供(例如共享或转让)个人信息,并详细描述需要对外提供的个人信息种类和原因、个人信息的接收方身份、接收方使用个人信息的目的、个人信息对外提供过程中的安全措施,以及对外提供个人信息是否对个人信息主体带来风险,并将以上内容形成“个人信息对外提供清单”。
企业首先要确定APP是否涉及需要对外提供(共享或转让)个人信息的情况。如不涉及或不会无条件对外提供个人信息的,可在隐私政策中明确不会对外提供用户的个人信息或明确说明可能对外提供个人信息的条件,如发生合并、收购、资产转让或政府主管部门强制要求等。
图:不涉及对外提供说明的合规示例
如APP业务需要对外提供个人信息的,隐私政策中需说明对外提供个人信息的情况,若内容较长,可形成“个人信息对外提供清单”,嵌在隐私政策中。
图:对外提供个人信息说明的合规示例
j)说明是否需要公开披露个人信息,并详细描述需要公开披露的个人信息种类、原因、是否对个人信息主体带来风险。
企业首先要确定APP是否涉及需要公开披露个人信息的情况。如不涉及公开披露个人信息或不会无条件公开披露个人信息的,可在隐私政策中明确不会公开披露用户的个人信息或明确说明可能公开个人信息的条件,如获得个人信息主体明确同意、法律法规或政府主管部门强制要求等。
图:个人信息公开披露说明的合规示例
如APP涉及公开披露个人信息情况的,隐私政策中需说明公开披露个人信息的情况:包括公开披露的个人信息类型、公开披露的原因或目的以及对个人信息主体带来风险的或影响。
图:个人信息公开披露说明的合规示例
k)说明何种情况下个人信息处理者会不经过个人信息主体同意,对外提供和公开披露个人信息,如响应执法机关和政府机构的要求、保护个人信息主体的生命安全和重大财产利益。
“征得授权同意的例外”可参考GB/T 35273-2020《信息安全技术 个人信息安全规范》的5.6和9.5章节。
图:收集、使用个人信息征得授权同意的例外
图:共享、转让、公开披露个人信息时事先征得授权同意的例外
l)收集不满十四周岁未成年人个人信息的,单独描述个人信息处理规则
企业首先要明确APP使用的目标人群,明确是否面向未满十四周岁未成年人提供服务。
如APP的目标人群不是不满 14 周岁的未成年人的,如金融理财、房屋交易、求职招聘等产品或服务,可在个人信息保护政策、用户服务协议等文本中告知或在服务页面声明:如用户不满14周岁的,需在取得监护人同意后才可使用相关产品或服务,或直接拒绝不满14周岁的用户注册使用。
图:某APP的隐私政策示例
如果APP面向十四周岁以下未成年人或不限制此年龄段用户使用,则需要提供针对十四周岁以下未成年人的个人信息处理规则。如未成年人个人信息处理规则篇幅较长,为方便展示可将其作为超链接嵌入APP的隐私政策中。
图:某APP的《儿童个人信息保护规则》示例
依据GB/T 41391-2022《信息安全技术 移动互联网应用程序(APP)收集个人信息基本要求》,制定专门的未成年人个人信息处理规则,内容应包括但不限于:
1)APP运营者的名称或者姓名和联系方式;
2)未成年人个人信息的处理目的、处理方式;
3)处理的未成年人个人信息种类、保存期限;
4)用户行使个人信息权利的方式和程序;
5)处理未成年人个人信息的必要性;
6)对未成年人个人权益的影响。
三、结 语
《个人信息保护法》的第四十四条中明确规定个人对其个人信息的处理享有知情权、决定权。而“隐私政策”的存在也是为了保障用户对App处理其个人信息的知情权,保证用户是在充分“知情”的情况下自主做出“决定”。因此各企业应着手于隐私政策的细节,努力保护用户的合法权益。
《GB/T 44588—2024》旨在规范互联网平台及产品服务隐私政策适用的编制程序、具体内容和发布形式,隐私政策的具体内容的编写还是应以APP实际的个人信息安全管理体系、服务类型、业务功能以及处理个人信息的情况为主。互联网产品不断更新迭代,业务功能也不断发生变化,个人信息处理者应及时梳理变更的内容并更新到隐私政策中去,以保障用户的合法权益。
有数治Pro在手,高效落政策、学法规、用标准、推业务、促客户、助招投,近期标准应用详解:
- 个人信息安全规范的“最小必要”标准条款应用解析
以保障用户隐私为首要任务,本文从GB/T 35273《信息安全技术 个人信息安全规范》的要求出发,举例分析,如何判定收集个人信息是合理、必要、最小化的。 - 数治入门 | 个人信息查阅、复制、转移权的实践应用
《个人信息保护法》是保护个人信息权益的强有力法制保障,本文从第四十五条要求出发,探讨个人信息处理者在处理 APP 查阅、复制、转移个人信息时应注意的要求。
来源:CCIA数据安全工作委员会,作者:北京梆梆安全科技有限公司 杨桃 吴飏
在此声明以上观点和内容,仅代表原作者和出处,与数治网DTZed 无关,如有出错或侵害到相关合法权益,请通过电邮与我们联系:cs@dtzed.com。
-228x171.jpg)
