引言

随着数字化时代的到来，用户对收集个人信息的合理性和必要性给予了极高的关注。在GB/T 35273-2020《信息安全技术 个人信息安全规范》的5.2章节中，对收集个人信息的最小必要性给予了特别的重视。本文将基于《GB/T 35273》的要求，结合《信息安全技术 移动互联网应用程序（App）个人信息安全测评规范（送审稿）》，通过实例分析，阐述如何判定收集个人信息是合理、必要且最小化的。

检测思路

5.2-a）收集的个人信息的类型应与实现产品或服务的业务功能有直接关联

具体可分为以下三个方面：

1、App必须收集的个人信息应是保障其基本业务功能正常运行最少够用的个人信息。

2、安装并运行App，检查实现基本业务功能过程中，是否存在强制收集必要个人信息范围外的其他个人信息或强制用户打开非必要权限。

3、服务类型正常运行最少够用的个人信息及相关要求见GB/T 41391-2022《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》附录A，给出了常见39类服务类型App的基本业务功能和必要个人信息范围，以及必要个人信息的使用要求。

举例：

【远程会议类App】

首次安装使用App“音视频会议”基本业务功能过程中，用户需提供手机号用于注册，除此之外，不强制要求用户提供其他个人信息，则为合规。

【短视频类App】

首次安装运行App，若用户可以在不提供任何个人信息的情况下使用“播放、搜索短视频”基本业务功能，则为合规。

【在线问诊类App】

使用App在线问诊功能时，用户必须填写咨询人的“真实姓名”和“身份证号”才能提交咨询请求，依据《GB/T 41391》在线问诊的必要个人信息范围仅为手机号和病情描述，App强制收集非必要个人信息，为不合规。

5.2-b）自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率

通过技术检测，查看App及其嵌入的第三方 SDK在前台、后台和静默运行时自动收集个人信息的频率，结合隐私政策相应场景下采集频度的相关说明，从而判断是否超出业务功能所必需的最低频率。

App 自动收集个人信息的频率参考其调用可读取个人信息的 API的频率或发送包含个人信息的网络数据包的频率。

不同场景下App采集个人信息的合理频率和相应的检测环境可参考《测评规范》附录D。

举例：

1、某智控家居App，用户在添加附近设备功能中同意位置权限后，即使退出添加设备功能，在其他无业务场景的页面上静置期间（如“我的”页面），仍存在高频获取已配对蓝牙设备MAC地址的行为，未遵循最小必要原则，为不合规。

2、在使用App业务功能约20分钟，通过技术手段检测到，App获取已配对蓝牙设备MAC地址共13173次，最高一分钟采集4978次，自动采集的频度过高，为不合规。

3、使用一段时间后，将App置于手机后台时，通过技术手段检测发现存在某第三方sdk在定频采集ip地址，但隐私政策未对此后台行为进行说明，疑似超出业务功能实际需要，未遵循最小必要原则，为不合规。

5.2-c）查看间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量

何为“间接获取”？

由《GB/T 35273》中对“收集”一词的解释可知，收集是获得个人信息的控制权的行为，通过获得方式可以分为直接收集和间接收集两个方面：

1、直接收集——由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集行为。

2、间接收集——通过共享、转让、搜集公开信息等间接获取个人信息等行为。

如：第三方账号登陆时获取用户的昵称、头像，内嵌第三方购物平台时聚合展示用户在不同第三方购物平台的订单信息，获取用户的第三方信用评分，获取用户的第三方用户画像等。

查看App的隐私政策和业务功能，确定是否存在间接获取个人信息的行为，若存在，App需检查：

1、间接获取的个人信息的数量是否是实现 App 业务功能所必需的最少数量；

2、在间接获取的场景下是否有获取个人信息的协议，协议中是否规定获取个人信息的类型、数据量以及与业务功能的关联关系。

总结

综合来看，App收集个人信息要想满足“最小必要”原则，开发者在设计开发阶段一定要明确两个问题：

1、为什么要收集？——即收集个人信息的相关性。如果当前业务场景存在合理的业务目的，则可以向用户收集。

2、是否必须要收集？——即收集个人信息的必要性。如果存在合法合理的必要性，才可以强制收集（“强制收集”指用户不提供个人信息，则业务功能无法实现）。

我们深入探讨了《GB/T 35273》的5.2章节检测方法，君子之求利而略，其远害也早，希望App开发者可以自查自纠，这不仅是为了监管合规，更是维护了隐私合规的大数据环境。我们呼吁所有信息控制者，以保障用户隐私为首要任务，通过遵循相关标准和最佳实践，共同努力构建一个值得用户信赖的数字社会。

本文地址： http://www.goggeous.com/20241214/1/600353

文章来源：天狐定制

版权声明：除非特别标注，否则均为本站原创文章，转载时请以链接形式注明文章出处。