个人信息收集相关的法律法规、国家标准和标准相关的技术文件已经日渐完善,但个人信息收集者在撰写隐私政策的收集告知章节,或就特定收集事项在界面或公告进行告知时,经常感到很难准确地列举出具体信息项并进而制定收集方案。为此,笔者结合在具体场景中曾与收集者们讨论的问题及解决方案,整理形成本文,希望在确定收集的信息项和组合收集方案方面能够提供一些实操层面的参考建议。
一、确定个人信息收集的准确信息项
个人信息收集者确定收集方案的第一步应是明确信息项的准确名称,并确保自身在各场景中使用的名称一致,如涉及与第三方的委托处理、共同处理的,也应保障一致性,或至少通过协议及其履行文件来明确不同名称定义体系之间的对应关系。
信息项、信息类型的名称用语可参考GB/T35273-2020《信息安全技术个人信息安全规范》,权限名称则可以参考全国信息安全标准化和技术委员会的TC260-PG-20204A《移动互联网应用程序(App)系统权限申请使用指南》等文件。如果在前述文件中未能找到有助于进一步划分的依据,部分团体标准在此基础上有更细化的分类可供补充参考,比如电信终端产业协会发布的TTAF 050—2022《移动智能终端及应用软件用户个人信息保护实施指南 第2部分:个人信息分类分级》中可供参考信息分类、信息项名称。
<图例1>
此外,如果同一业务功能允许通过不同方式收集同一项信息,比如允许用户自行填写也可以打开权限后识别填写,那么也应注意分别澄清。如何捋顺获取信息的权限名称、信息与权限的对应逻辑、一般权限与特殊敏感权限等问题,可参考文章《App如何通过权限收集个人信息》[1],也可进一步参考团体标准TTAF 051-2021《移动智能终端及应用软件用户个人信息保护实施指南第5部分:终端权限管理》,其中对权限名称、权限敏感度,以及权限与信息的对应关系也有较为详细的介绍。
<图例2>
......
二、个人信息、敏感个人信息在识别时应考虑信息组合识别
法律法规要求收集者对信息的告知不得采取一揽子告知的方式,应逐项告知,但在判定个人信息、敏感个人信息时,却需要注意不能完全依单项判定。某些信息项单独出现时,按通常理解很难认定它足以识别到特定个人,但一旦组合识别是可以判定的,当然也不乏兼顾“关联说”对个人信息范围判定的影响,实践中很多平台将这类信息作为个人身份信息的一部分处理,如证件类型与有效期、特定验证码、操作记录等等。若该项信息可能导致收集的信息组合提升敏感度成为敏感个人信息,还应一并遵守对敏感个人信息的收集要求。
• <例1>淘宝网《隐私政策》[2]对于操作记录、搜索记录、购物车加购记录,按照个人信息的标准进行了收集前告知,并告知了实现控制的路径。
二、信息收集及使用……
(一)帮助您成为我们的会员及账户管理……
(二)向您展示商品或服务信息
1. 浏览
当您浏览淘宝网时,您可以选择对感兴趣的商品、店铺、频道、直播间、内容(及内容创作者进行收藏/订阅/添加/关注/分享/点赞操作,我们会收集您的操作记录用于实现前述功能及其他我们明确告知的目的。
您可以通过“我的淘宝”—“收藏”/“订阅店铺”/“足迹”/“关注”等查看及管理您的操作记录信息。
2. 搜索
当您使用搜索功能(包括图片、语音搜索)时,我们会收集您的搜索记录,包括搜索内容(搜索词、图片、语音信息)、浏览记录/时间、搜索时间/次数,并根据您所使用功能的必需,申请麦克风权限或相机、相册权限。
为了提供高效的搜索服务,部分前述信息会暂时存储在您的本地设备端,并向您展示搜索历史记录。
请您理解,单独的搜索词语信息无法识别您的个人身份,其不属于您的个人信息,因此我们有权以其他的目的对其进行合理使用。
(三)帮助您完成交易
1. 购物车
当您使用购物车功能时,我们会收集您对商品的加购信息,并会使用您的订单信息以优化您的购物体验(如进行降价/优惠提醒、常购商品的筛选、特定购物车分享链接的推荐等)。
• <例2>渣打银行《个人网上银行隐私政策》[3],对证件有效期按照个人敏感信息的要求进行字体加粗体的显著提示。
一、我们如何收集和使用您的个人信息……
(一)我们如何收集您的个人信息
在您使用本网银服务的过程中,为了依法合规地向您提供相应产品及服务、提升改善我们的服务质量、保障您的账户安全及资金安全以及履行法定义务,我们会在下述情况下,按照合法、正当、必要的原则收集您在使用服务过程中主动输入或因使用服务而产生的信息:
1. 如您为本行借记卡用户,当您注册本网银账户时,我们首先会验证您在我行登记的用于接受短信验证码的手机号、借记卡号及其交易密码(您找回网银用户名及密码时亦须提交上述信息)以及网银初始用户名及网银初始密码,之后您需要自行设置新的网银用户名及密码完成网银注册;我们收集这些个人信息以完成身份验证、用户注册以及法律法规要求的反洗钱义务。
如您开立本行II/III类账户并注册本行网银,根据我国法律法规关于实名认证的相关要求,我们须收集您的姓名、证件号码、性别、民族、生日、地址、证件有效期、证件正反面照片、人像信息,并将您的姓名、证件号码与人像信息发送至合法的第三方机构验证您的身份,验证完成后自动完成审核。
• <例3>中国人寿《中国人寿集团互联网平台用户隐私保护政策》[4],对证件类型、证件有效期按照个人敏感信息的要求进行字体加粗体的显著提示。
1. 我们可能收集的信息
……
1.2 您在中国人寿综合金融 APP使用我们的服务时主动提供的信息:……
1.2.6 如您使用快捷开户时,您需要提供以下个人信息:中文姓名、证件类型、证件有效期、证件号码、出生日期、性别、国籍、职业、预留信息、交易密码、联系方式(电子邮箱、手机号码、通讯地址、邮政编码)、税收身份、推荐人。
《个人金融信息保护规范JR/T0171-2020》(简称“《金融信息保护规范》”)在一定程度上也支持了对信息组合按整体去考虑敏感度的观点,如其在“4.2 个人金融信息类别”部分也提到:“两种或两种以上的低敏感程度类别信息经过组合、关联和分析后可能产生高敏感程度的信息。同一信息在不同的服务场景中可能处于不同的类别,应依据服务场景以及该信息在其中的作用对信息的类别进行识别,并实施针对性的保护措施。”
我们可以通过以下收集示例的对比来分析信息组合及其对敏感度判定的影响(X代表有具体内容占位,*代表内容由信息主体或控制者以掩码方式提供)。
三、收集阶段对“识别”的把握,不必要求已经准确识别到个人身份
《个人信息保护法》第4条以扩张解释的方法理解“识别”概念,在“识别说”的基础上加上了“关联说”的标准,一定程度上扩张了个人信息的范围,没有实质性改变识别说[5]。而对于“识别”标准,不能僵化地理解,个人信息收集者在收集前确认收集的信息项、收集方案时,对于个人信息、个人敏感信息的识别,应理解为“可识别性”、“识别可能性”。司法实践中法院基本均引入了场景理论,在具体的处理情景中评价个人信息[6]。在前期处理规则的文本设计阶段,我们可以这样考虑识别的可能性,比如在未披露国籍情况下,仅凭护照号存在识别到个人的较高可能性,但想要准确确认个人身份,还需要匹配国籍排除不同国籍人员号码重复、姓名重复的低概率情况。此种情况下,不包含国籍的信息项仍可以构成个人信息,并不要求识别结果必须是准确、唯一的。从逻辑上,收集者对于当前是否在收集个人信息、告知什么内容、怎样取得同意、采取何种方式保护等等,都是在收集前确定并进行准备,而非收集到确认个人身份后验证确属个人信息,再告知并取得同意。当然,对于识别可能性的判断要考虑信息处理者的识别成本,在不计成本的极端识别假设下去讨论,将没有实际意义[7]。
确认敏感个人信息,也是同理。作为收集者,从逻辑上不能实际收集到信息并准确判定敏感度后再决定是否采用敏感个人信息的特殊收集流程和“告知-同意”方式,所以建议也采用前述思路进行组合式的判定。凡讨论场景中被收集的信息组合具有被识别为敏感个人信息的可能,那么前期处理规则的文本设计阶段该个人信息组合即应被判定为“敏感”,对这一组合进行收集时应采取对敏感个人信息的特殊收集方式。
四、实例分析信息项组合收集方案的选择
我们可以结合实际场景来进一步讨论如何通过信息项的组合来设计和选取不同的收集方案,以个人信息收集者拟通过银联验证用户身份为例,该场景所需处理的信息项主要包括姓名、证件类型、证件号码、银联卡号、预留手机号、动态码。
收集者收集后提供给银联进行验证的收集方案可以划分为以下三类(X代表有具体内容占位,*代表内容以掩码方式展示*部分无需个人信息主体提供):
实务中,上述三个方案提供的信息实际都能够获取到银联方“验证通过”或“验证不通过”的结果,但不同方案的信息收集者在收集以及后续提供给银联的这一过程中,对于告知、取得同意、提供方式、信息处理协议、保护能力审查等方面需要遵守不同的规则。方案一收集后提供的信息组合为个人信息,且为敏感个人信息;方案二、方案三提供的信息为个人信息,但综合判定不应构成敏感个人信息,注意方案二的风险,如果提供方的基础业务功能不应收集银行卡号等信息的,选用方案二将可能导致在收集阶段不满足“最小必要原则”。方案三需与银联方建立特定的合作模式配合,由个人信息主体在银联界面直接提供或验证银联现存的姓名、银行卡号、动态码进行验证,也可以取得“验证通过”、“验证不通过”的结果。假设未能与银联等验证类合作方成功建立最优于己方的合作模式的,那么退而选取方案二进行合作,同时注意向用户同步提供其他可供验证的途径,即将方案二作为用户的可选方案,相应信息项作为用户可选的信息项,在一定程度上有利于个人信息收集的合规化判断。
五、确定个人信息组合收集方案应当考虑自身业务功能
信息项及组合收集方案应当满足最小必要原则,个人信息收集者应当结合自身业务功能考虑方案收集信息项的最小、必要范围。对此,可以参考国家互联网信息办公室、工业和信息化部,公安部,国家市场监督管理总局发布的国信办秘字〔2021〕14号《常见类型移动互联网应用程序必要个人信息范围规定》第五条规定的常见的39类App的基本功能服务和必要的个人信息类别。
规则与实操总存有一定差距,希望通过不断总结与分享能够争取缩短差距,帮助个人信息收集者正确理解规则,进而结合规则与自身业务情况,有效识别个人信息,合理配置信息项、收集方案,最终实现对个人信息利用和保护的平衡。
[1] 《App如何通过权限收集个人信息》,李佳慧,兰台数据合规事务公众号2022-11-30发布,收录于网络安全与数据合规合集,网址https://mp.weixin.qq.com/s/xUudd_v_MINY-Pzk1us2Yg。
[2] 更新日期:2022年12月9日,网址https://terms.alicdn.com/legal-agreement/terms/suit_bu1_taobao/suit_bu1_taobao201703241622_61002.html,访问时间2023年4月10日。
[3] 本版隐私政策生效日期:2023年03月 01日,发布日期:2023年02月28日,网址https://www.sc.com/cn/bank-with-us/e-banking-terms-conditions/sc-online-privacy-policy/,访问时间2023年4月10日。
[4] 更新日期:2022年9月5日,网址http://www.chinalife.com.cn/chinalife/xytk/yhysbhzc/,访问时间2023年4月10日。
[5] 《论<个人信息保护法>的亮点、特色与适用》,王利明、丁晓东,法学家杂志公众号2021-11-6发布,收录于2021年第6期合集,网址https://mp.weixin.qq.com/s?__biz=MzU0MTQ0NDQ0NQ==&mid=2247486068&idx=1&sn=d87ae31122bc4404b17054e0900ed6ac&chksm=fb289a46cc5f1350ccfb04a493b2d8ae91e45a5685dd8b3e63cd57a6ccb2e35fd1af064c05a6&scene=178&cur_album_id=2136862339504062467#rd,访问时间2023年4月11日。
[6] 《个人信息的界定》,网络法研究,知乎,网址https://zhuanlan.zhihu.com/p/520241517,访问时间2023年4月11日。
[7] 同上。
[8] 需区分粗略位置和精确位置,按照GB/T 35273-2020附录B,精确位置属于敏感个人信息,需要遵循敏感个人信息的处理要求;而综合参考《GB/T41391-2022》附录C.7对于个人信息收集者应考虑操作系统是否允许选择使用应用是允许、单次允许、禁止获取等;以及如果粗略位置信息即可实现功能不应申请访问精确位置信息。
个人信息收集:如何配置信息项和收集方案
作者:李佳慧来源:兰台律师事务所

个人信息收集相关的法律法规、国家标准和标准相关的技术文件已经日渐完善,但个人信息收集者在撰写隐私政策的收集告知章节,或就特定收集事项在界面或公告进行告知时,经常感到很难准确地列举出具体信息项并进而制定