App个人信息收集规范更新修改网络支付类最小必要信息
10月25日,《信息安全技术移动互联网应用程序(App)收集个人信息基本规范》(下文简称《规范》)征求意见稿经过优化、更新后再次对外发布。据移动支付网了解,《规范》于今年8月公开向社会征求意见。
官方介绍此次优化、更新设计三个方面,下面移动支付网将为大家仔细讲解两版《草案》之间的不同。
新增“弹窗”要求
《规范》最大的变化在第四章:App收集个人信息基本要求当中。在第一版《规范》中,第四章App个人信息基本要求分为“管理要求”和“技术要求”两类,在最新版《规范》中,两类要求合二为一,不再进行特别区分。
合二为一之后,第四章App个人信息基本要求内容没有发生大的变化。不得收集不可变更的设备唯一标识、应对其使用的第三方代码、插件的个人信息收集行为负责和应提供实时查询已收集个人信息类型功能等内容依旧存在,没有删减。
除了原有的内容之前,《规范》新增“弹窗”要求:App在首次运行时通过弹窗等明显方式告知收集规则,如隐私政策的核心内容,且运营者不应在征得意见之前进行个人信息的收集。
网络支付、金融借贷最小必要信息增加
《规范》主要内容为第四部分App个人信息基本要求和两个规范性附录。常用服务类型的最少信息(附录A)和服务类型最小权限范围列表(附录B)两个规范性附录占据了主要篇幅,是草案非常重要的一部分。
在附录A中,规定了地图导航、网络约车、即时通讯、博客论坛、网络支付、新闻资讯、网上购物等21种常用服务类型可收集的最少信息。其中网络支付和金融借贷服务类型可收集的最少信息表发生了变化。
在网络支付可收集的最少信息类型中增加了身份基本信息,其中包括国籍、性别、职业等信息,依据为《支付机构反洗钱和反恐怖融资管理办法》。对于内容,没有发生其他变化。
网络借贷可收集的最少信息类型也增加了新的内容。与旧版《规范》相比,新版《规范》增加了偿付能力和贷款用途两项内容。其他内容,比如个人信用信息、紧急联系人信息等没有发生任何变化。
删去多余表述、用词进行优化
《规范》在其他方面没有进行大的改动,只是进行了一些优化。比如在第四部分删去了“不得收集与所提供服务无关的个人信息”这一要求,因为该条文与后续众多条款产生了不必要的重复。
新版《规范》将部分条款中“App”修改为“App运营者”增加了条款的准确性。另外,新版《规范》对内容进行了细化,例如在规范性引用文件处增加了“个人信息安全规范”、修改了术语与定义中的表述,使其更加完善。
《规范》的优化、再公告意味着规范不断在完善,距离推出相信不会太远。目前,对于App过度收集个人信息、违规收集个人信息问题的关注度已经达到史上最高点,工信部在《电信和互联网行业提升网络数据安全保护能力专项行动方案》中明确要求在今年10月底前完成全部基础电信企业(含专业公司)、50家重点互联网企业以及200款主流App的数据安全检查。
在检查和《规范》出台进度不断推进的同时,其他部门对于App合规也做出了自己的要求。北京墨迹风云科技股份有限公司就因为App数据收集、使用问题影响了IPO,证监会要求其就数据合规问题进行回应。
在各行各业当中,金融支付行业对于数据合规的需求更为急迫。
北京移动金融产业联盟、移动支付网将于11月5日在深圳举办2019第四届中国移动金融安全大会,齐聚产业链各方,共同探讨金融信息收集、数据安全、个人信息保护等问题。会上,App专项治理工作组专家何延哲将分享《金融App个人信息保护的痛点、难点和着力点》,介绍App违法违规收集使用个人信息专项治理进展情况、给出金融类App个人信息保护方面值得高度关注的合规着力点,以及如何长期合规的策略建议。
何延哲,App专项治理工作组专家。就职于中国电子技术标准化研究院信息安全研究中心,任审查部总监,长期从事个人信息保护、云计算安全、网络安全标准与合规方面的研究工作,是云计算、大数据、个人信息保护等领域国家标准的主要编制人。长期以专家身份配合有关部门和新闻媒体进行热点事件的研判,2019年,受邀参加央视“3.15”晚会直播现场进行消费预警环节的讲解和演示。