还在见招拆招?先看懂 APP 个人信息保护治理机制

你的支持对我意义重大!

Hi,我是旭锐。本文已收录到 GitHub · Android-NoteBook 中。这里有 Android 进阶成长路线笔记 & 博客,有志同道合的朋友,欢迎跟着我一起成长。(联系方式 & 入群方式在 GitHub)

前言

  • 近几年(特别是近半年)我们可以非常明显地感受到 国家相关主管部门对于 APP 个人信息保护的重视。事实上,目前国内整体的 APP 个人信息保护合规性还很不理想,特别是与史上 “最严” 的欧盟《通用数据保护条例》还有很大的差距。为了与国际发展趋势接轨,也难怪国家会如此大力推动;
  • 那么,作为 APP 开发者的我们,如果只是一味等待国家主管部门的整改通知,难免会打乱既定的业务节奏(想象一下,发版本的晚上收到整改通知)。我们应该 化 “被动整改” 为 “主动发现”。

目录


1. 个人信息保护相关概念

为了让帮助你理解个人信息保护,我先帮你总结一些相关的基础概念。

1.1 相关单位

目前,我国与个人信息保护相关的部门主要有:

  • 全国人大常委
  • 公安机关(公安部)
  • 监管总局(国家市场监督管理总局)
  • 网信部门(中央网信办)
  • 工信部(工业和信息化部)

1.2 五类规范主体

APP 个人信息保护治理工作重点规范的五类主体:

  • 1、APP 开发运营者: 如抖音、微信等;
  • 2、APP 分发平台: 如应用宝,应用商城;
  • 3、APP 第三方服务提供者: 如各种 SDK 提供方;
  • 4、网络接入服务提供者: 如移动、联通等运营商;
  • 5、移动智能终端生产企业: 如小米、OPPO 等厂商。

1.3 个人信息的定义(重点)

根据《个人信息保护法》第四条规定:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。 法律条文对我们来说太抽象,这里引用 @首都网警 在抖音上公布的解释:

个人信息类别 描述
基本信息 姓名、性别、年龄、身份证号码、电话号码、家庭住址、婚姻、职业、收入等
设备信息 移动或固定终端设备的位置信息、MAC 地址、SD 卡等
账户信息 网银、第三方支付、社交软件、邮箱账号、密码等
隐私信息 通讯录信息、通话短信记录、个人聊天记录、视频、照片等
社会关系信息 好友关系、家庭成员关系、工作单位信息等

场景举例:家庭空调的使用记录算不算用户个人信息?
如果家庭空调仅有一个人使用,司法解释很大概率认为属于用户个人信息;如果家庭空调由多人使用,司法解释一般不认为属于用户个人信息(这是公司法务举出的案例)。

1.4 两项重要原则(重要)

  • 1、知情同意原则: 应当以清晰易懂的语言告知用户个人信息处理规则,由用户在充分知情的前提下,作出自愿、明确的意思表示;
  • 2、最小必要原则: 应当具有明确、合理的目的,不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动。

2. 治理三板斧

2.1 依法治理 —— 顶层设计

今年来,国家陆续出来了多部关于个人信息保护的法律法规,为治理工作提供了法律层面的依据。从 2012 年 12 月 28 日全国人大常委首次从立法层面提及个人信息保护开始,我统计了近 10 年出台的相关法律 / 法规:

法律 / 法规 发布单位 发布时间 实施时间
《全国人民代表大会常务委员会关于加强网络信息保护的决定》 全国人大常委 2012/12/28 2012/12/28
《电信和互联网用户个人信息保护规定》 工信部 2013/7/19 2013/9/1
《中华人民共和国网络安全法》 全国人大常委 2016/11/8 2017/6/1
《移动智能终端应用软件预置和分发管理暂行规定》 工信部 2016/12/16 2017/7/1
《儿童个人信息网络保护规定》 国家网信办 2019/8/22 2019/10/1
《常见类型移动互联网应用程序必要个人信息范围规定》 网信办、工信部、公安部、监管总局 2021/3/22 2021/5/1
《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》 工信部 2021/4/26 2021/4/26
《中华人民共和国数据安全法》 全国人大常委 2021/6/10 2021/9/1
《深圳经济特区数据条例》 深圳人大常委 2021/6/29 2022/1/1
《中华人民共和国个人信息保护法》 全国人大常委 2021/8/20 2021/11/1

2.2 标准指引 —— 量化

光有 “法律” 还不够,国家还需要制定相关的 “标准” 来保证法律顺利落地。这是因为法律只是从顶层设计对个人信息保护做出规范,在实际落地过程中,需要依赖更细化、更量化的标准才能顺利推行。

举个例子,《个人信息保护法》要求 APP 收集个人信息时应当遵循 “最小必要” 原则。那么,“最小必要” 通过什么标准来衡量呢?外卖预定 APP 和配送员 APP 对于位置权限的最小必要标准是一样的吗?获取位置信息和获取个人信息的最小必要标准又是一样的吗? 显然,这些问题只依靠法律无法回答,还需要通过标准来量化。我统计了近年出台的相关国家标准 / 团体标准:

标准 发布单位 最新版本 / 发布时间 实施时间
国家标准《信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)》 全国信息安全标准化技术委员会 2019/8/8 2019/8/8
国家标准《信息安全技术 个人信息安全规范》 国家标准化管理委员会 GB/T 35273-2020 2020/10/1
团体标准《APP用户权益保护测评规范》共10项 电信终端产业协会 T/TAF 078-2020 2020/11/26
团体标准《APP收集使用个人信息最小必要评估规范》共17项 电信终端产业协会 T/TAF 077-2020 2020/11/26
团体标准《移动智能终端个人信息保护指南(征求意见稿)》 中国网络空间安全协会 2021/11/3 2021/11/3
团体标准《应用商店App个人信息收集使用上架审核和管理规范(征求意见稿)》 中国网络空间安全协会 2021/11/3 2021/11/3

2.3 专项整改 —— 抓重点

法律和标准构成了 APP 个人信息保护治理的基本依据,但是涉及的合规问题实在太多了。为了尽快整治用户感知最明显的重点问题,国家主管部门会公布专项整改通知。

一般来说,专项整治行动会先从头部互联网企业开始,再逐步应用到整体应用市场。例如最近的专项整改《关于开展信息通信服务感知提升行动的通知》的整改对象就仅限制在首批 40 家企业。我统计了近年发布的专项整改行动:

专项整治 发布单位 发布时间
《关于开展App违法违规收集使用个人信息专项治理的公告》 网信办、工信部、公安部、监管总局 2019/1/23
《关于开展App违法违规收集使用个人信息专项治理的公告》解读 网信办、工信部、公安部、监管总局 2019/11/6
《App违法违规收集使用个人信息行为认定方法》 网信办、工信部、公安部、监管总局 2019/12/30
《App 违法违规收集使用个人信息自评估指南》 App 专项治理工作组 2019/3/1
《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》 工信部 2019/10/31
《关于开展纵深推进APP侵害用户权益专项整治行动的通知》 工信部 2020/7/22
《工业和信息化部严厉查处“3·15”晚会曝光“诱导老年人下载APP”“APP违规收集老年人个人信息”等违规行为》 工信部 2021/3/16
《工信部大力推进APP开屏弹窗信息骚扰用户问题整治》 工信部 2021/7/8
《关于开展信息通信服务感知提升行动的通知》 工信部 2021/11/1
《关于开展信息通信服务感知提升行动的通知》解读 工信部 2021/11/5

法律、法规和标准的简单区别:

  • 法律: 享有立法权的立法机关的产物,由国家强制力保证实施,具有最高效力;
  • 法规: 权力机构的产物,由国家强制力保证实施;
  • 标准: 公认机构的产物,比法律法规更细致量化。

2.4 应用市场整改指南

除了国家治理工作的 “三板斧”,有些应用市场也会公布隐私整改指南。但应用市场不会凭空定义规范,因此整改指南的信息口径依然是基于上述 “三板斧” 。我整理了一些应用市场的整改指南如下:

  • 华为
  • 小米
  • VIVO
  • OPPO
  • 应用宝
  • Apple Store

3. 总结

到这里,我们就讲完了国家 APP 个人信息保护的治理机制:法律法规从立法层面对个人信息保护做出规范,而标准则对个人信息保护指定了更细致可量化的规范。重点问题国家主管部门会进行专项整改。 对 APP 开发者来说,《个人信息保护法》使我们合规道路上的圭臬,但我们更要重点系统化解读和排查国家的专项整治行动和国家标准。另外,记得关注 微信公众号 @APP个人信息保护治理,关注国家部门的最新动态。


参考资料

  • 《移动互联网应用程序(APP)个人信息保护治理白皮书》

最近,我建了一个 Android 交流群,希望大家可以一起讨论技术,找到志同道合的朋友,需要的可以扫码进群!

你可能感兴趣的:(还在见招拆招?先看懂 APP 个人信息保护治理机制)