IMEI是个人数据吗?
在《信息安全技术个人信息安全规范》中提出“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息”并在附录中举例个人信息包括网络身份标识信息,例如“系统账号、IP 地址、邮箱地址及与前述有关的密码、口令、口令保护答案、用户个人数字证书等”。个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。在附录B中举例网络身份标识信息包括“个人信息主体账号、邮箱地址及与前述有关的密码、口令、口令保护答案、网络身份标识信息、用户个人数字证书等的组合”。
但在一家知名网站的隐私政策中说到“设备信息:我们会根据您在软件安装及使用中授予的具体权限,接收并记录您所使用的设备相关信息(例如设备型号、操作系统版本、设备设置、唯一设备标识符、设备环境等软硬件特征信息)、设备所在位置相关信息(例如IP 地址、GPS位置以及能够提供相关信息的WLAN接入点、蓝牙和基站等传感器信息)及您所授予的设备权限使用所获信息(例如:为丰富用户使用体验,聚划算APP在部分苹果设备上基于TrueDepth APIs通过相机权限获取您面部在世界坐标系的位置,用于实时计算眼睛所注视设备屏幕的位置信息并应用于互动反馈)。如果您在安装及/或使用过程中拒绝授予我们相应权限的,我们并不会记录您上述对应的信息。”并进一步指出“请您理解,单独的设备信息、日志信息等是无法识别特定自然人身份的信息。除非将这类非个人信息与其他信息结合用于识别特定自然人身份,或者将其与个人信息结合使用,则在结合使用期间,这类非个人信息将被视为个人信息,我们会将该类个人信息做匿名化、去标识化处理(取得您授权或法律法规另有规定的情况除外)。”从上面描述可以看出,该网站认为单独的设备信息无法识别特定自然人身份的信息,指这种情况下不被认为是个人信息。
那么,具体到手机, IMEI是不是个人信息呢?它是规范中的网络身份标识信息还是无法识别特定自然人身份的信息?
什么是IMEI?
IMEI是国际移动设备识别码(International Mobile Equipment Identity)的缩写,即通常所说的手机序列号、手机“串号”。IMEI在移动电话网络中用于识别每一部独立的手机等移动通信设备,相当于移动电话的身份证。序列号共有15~17位数字,前8位(TAC)是型号核准号码(早期为6位),是区分手机品牌和型号的编码。接着2位(FAC)是最后装配号(仅在早期机型中存在),代表最终装配地代码。后6位(SNR)是串号,代表生产顺序号。最后1位(SP)一般为0,是检验码,备用。国际移动设备识别码一般贴于机身背面与外包装上,同时也存在于手机存储器中,通过输入*#06#即可查询。从上面的描述可以看出,IMEI具有唯一性,和每台手机之间关联。其中包括了手机设品牌和型号,生产序号等信息。从这段描述看起来,这是手机的标识,与使用手机的人没有什么关系,是不是可以认为这不是个人信息了呢?
IMEI可以做什么?
对于移动运营商来说,IMEI码大有用途,可以分辨用户设备,追踪用户地理位置,记录用户拨打电话、发送短信、上网等行为。从移动运营商的角度,通过IMEI就可以对持有拥有这个IMEI号码的手机的人进行追踪了。
但绝大部分用户都不是移动运营商,没有这样的网络优势,他们会采集IMEI号干什么呢?下面是几种情况:
1,IMEI码是手机的唯一代码,可以用来识别用户是否更换手机登录账号。
2,是想让应用绑定手机。例如,一个app想做一个领奖的活动,每个用户只能领一次,如果用账号判断是不是一个用户,一个人可能注册多个账号领取,但如果用IMEI判断,每个手机就只能领取一次了。
3,统计用户数量
4,精准广告,一旦知道了你的IMEI,凡是本机上网的行为被上传到该网站,那么这部手机是喜欢购物还是上网银,或者是看新闻、炒基金、贵金属等,都会被网站知道,然后对你精准的投放某些信息或者是广告。
从上面的描述可以看出,通过IMEI,至少APP可以将获取的操作信息和手机关联。
如何获取IMEI信息?
获取IMEI是一件非常简单地工作,是一个标准的功能。
在Android中的步骤如下:
1、在AndroidManifest.xml中增加访问设备状态的权限:
2、通过上下文设备获取到TelephonyManager实例,调用getDeviceId方法获取IMEI:
import android.telephony.*;
……
TelephonyManager telephonyManager=(TelephonyManager)
this.getSystemService(Context.TELEPHONY_SERVICE);
String imei=telephonyManager.getDeviceId();
除此之外, 另外,TelephonyManager类还提供了获取手机其他信息的方法,如:
getLine1Number():获取到手机号码;
getDeviceSoftwareVersion:获取到Android操作系统的版本;
getSimSerialNumber:获取到SIM卡唯一编号ID;
getSubscriberId:获取到客户ID,即IMSI;
在苹果手机中,iOS 2.0版本以后UIDevice提供一个获取设备唯一标识符的方法uniqueIdentifier,通过该方法可以获取设备的序列号,这个也是目前为止唯一可以确认唯一的标示符。好景不长,因为该唯一标识符与手机一一对应,所以在iOS5之后该方法就被废弃掉了,因此iOS5以后不能获取手机IMEI,但是也是可以通过私有API获取手机的IMEI号的,但是通过苹果私有API获取IMEI号,上架苹果商店会被拒掉的。 从上面的描述发现一件有趣的事情,为什么苹果禁止提供IMEI的API呢?是不是因为可能会泄露用户隐私?
可以通过IMEI关联到个人吗?
前面的分析说明,APP有理由获取IMEI同时获取IMEI是一件简单地事情。但IMEI可以关联到个人吗? 对于IMEI而言,是与手机一一对应的。很少有人会把手机给他人使用,尤其是安装APP。因此,手机与使用者是一个1:m的关系,即一部手机只有一个使用者,而一个使用者可能有多部手机。从这个角度,手机和使用者是对应的。
从国内的操作来看,目前都需要用户实名认证。实名认证就是把虚拟世界的账户和实体世界的人进行对应,例如使用手机号码,微信账户等等。因此,如果应用APP采集了IMEI,通过IMEI和账户的对应,就可与实体世界的人关联,即IMEI-手机号一一对应。
即使用户没有实名认证,但大部分APP的找回密码都是通过手机验证码或邮箱方式进行,意味着存在APP账户与手机号的对应关系,因此可以通过IMEI-账户-手机号进行对应。
事实上,APP收集IMEI是一个普遍现象。在我使用的手机上就有206个APP在收集手机识别信息,也就是我们说的IMEI。从这个角度来看,IMEI与手机或实体世界的人的关联是普遍存在的。
什么是可识别数据?
从GDPR第四条的规定,“个人数据”是指与一个确定的或可识别的自然人相关的任何信息(数据对象)。可识别的自然人指可以直接或间接识别的人,特别是通过参考诸如姓名、身份证号码、位置数据、在线身份识别等标识符,或参考与该自然人的身体、生理、遗传、心理、经济、文化或社会身份有关的一个或多个因素。因为这部分与Directive 一致,因此WP29的Opinion 4/2007仍然适用。
根据Opinion 4/2007,个人数据的一个要件是已识别或可识别(identified or identifiable’)。已识别指在一个群体中可以区分出来,而可识别指虽然没有被区分,但有方法可以区分。在WP136中进一步指出,识别可以是直接的或间接的,直接的可能是通过姓名,间接的可以是手机号,车牌,社会保险号,护照号等,或者通过对一些条件的组合缩小所在群体的范围。从上面的解释可以看出,可识别的条件并不是说仅需要该数据就可以识别,而是只要有这个可能可以存在“唯一地组合”即可。
从上面的分析,IMEI是可以间接的识别个人,从某种程度上,IMEI和车牌具有同类性质,因此毫无疑问是个人数据。 不能认为只有在与其他信息组合才可以认为IMEI是个人数据,这种唯一性我们已经证明了。