导读
根据《个人信息保护法》第六条明确规定,个人信息处理应遵循目的限制与最小必要原则。其中,最小必要原则要求个人信息处理应限于实现相关业务功能目的所必需的最小数量、类型、频率、精度等。
为推动落实上述个人信息处理最小必要原则,宣传推广行业先进经验和做法,中国信息通信研究院于2023年7月启动个人信息处理“最小必要”优秀案例征集活动,并于近日召专家评审会。会上,专家结合专业研究及经验将饿了么、科大讯飞、唯品会、猿辅导、小米、腾讯、百度、梆梆、YY、抖音、海云安、携程、粉笔、荣耀、中国电信、拼多多、爱奇艺、每日互动等18家企业申报案例评选为优秀案例。
本文现就上述优秀案例中的个人信息处理“最小必要”落地方案梳理总结如下,供相关企业进行行业实践水位的参考:
1. SDK安全管理
基于内嵌第三方软件开发工具包(SDK)的隐蔽性及广泛应用于各类移动互联网应用程序等特性,较易引发个人信息违法违规收集等合规风险,因而也使其逐渐成为监管对于个人信息治理工作的重点之一。本次评选出的优秀案例有不少体现了相关企业为落实最小必要原则而对于SDK展开安全管控的示范性做法。
区分基本业务功能与扩展业务功能
以每日互动的“个验·一键认证”产品为例,该产品通过“基本业务功能与扩展业务功能划分、拓展业务便捷可选”的方式,为个人信息处理最小必要的落地提供了一种可供参考的思路。我们建议相关企业可以在产品设计和研发阶段就对其基本和扩展业务功能进行区分,并明确其基本业务功能下收集个人信息的最小必要范围。具体可以参考《GB/T41391-2022信息安全技术移动互联网应用程序(App)收集个人信息基本要求》中对于“基本业务功能”、“扩展业务功能”、“必要个人信息”、“非必要但有关联的个人信息”等概念的细化规定。对扩展业务功能所需个人信息的处理,应当在向用户充分履行告知义务的基础上,设置便捷同意/拒绝的选择,且该等同意不应以若拒绝则无法使用基本业务功能的方式获取。
个人信息保护“双清单”及拦截“超范围收集”
除了区分基本业务功能与扩展业务功能之外,部分企业选择通过落实个人信息保护“双清单”或拦截SDK超范围收集个人信息的方式来落实最小必要原则。举例来讲,百度已就相关产品落实APP“双清单”自动化生成,即已收集个人信息清单(包含SDK收集个人信息情况)和与第三方共享个人信息清单;而携程则在APP上线后实施24小时不间断动态监测以及拦截第三方SDK对于用户个人信息的额外收集。
2. 技术升级优化
在上述优秀案例中,还有不少企业积极采取升级和优化自身技术的方式以实现个人信息处理“最小必要”落地。具体而言,唯品会为保障对外合作过程中用户个人信息的最小必要传输,对与合作方数据共享环节进行了技术方面的改造升级;荣耀对于拟提供的位置信息进行了泛化技术处理,以减少暴露精确位置信息;抖音则通过配置多元技术能力,落实服务端最小处理,反向推进客户端采集最小化收敛。
3. 内部管理制度建设
部分企业的个人信息处理“最小必要”落地方案侧重于内部管理制度建设。以腾讯为例,其着力于充分管控产品上线、更新等关键环节,通过丰富多样的宣导及培训,使得一线开发人员充分理解并落实最小必要合规要求;建立事前要求明确、事中精确管控、事后追责到人的全链路治理。类似地,拼多多也在组织、制度、人员等层面积极贯彻最小必要原则,完成部署访问控制机制,以实现个人数据最小限度访问。
个人信息处理“最小必要”优秀案例评选结果



根据《个人信息保护法》第六条明确规定,个人信息处理应遵循目的限制与最小必要原则。其中,最小必要原则要求个人信息处理应限于实现相关业务功能目的所必需的最小数量、类型、频率、精度等。
为推动落实上述个人信息处理最小必要原则,宣传推广行业先进经验和做法,中国信息通信研究院于2023年7月启动个人信息处理“最小必要”优秀案例征集活动,并于近日召专家评审会。会上,专家结合专业研究及经验将饿了么、科大讯飞、唯品会、猿辅导、小米、腾讯、百度、梆梆、YY、抖音、海云安、携程、粉笔、荣耀、中国电信、拼多多、爱奇艺、每日互动等18家企业申报案例评选为优秀案例。
本文现就上述优秀案例中的个人信息处理“最小必要”落地方案梳理总结如下,供相关企业进行行业实践水位的参考:
1. SDK安全管理
基于内嵌第三方软件开发工具包(SDK)的隐蔽性及广泛应用于各类移动互联网应用程序等特性,较易引发个人信息违法违规收集等合规风险,因而也使其逐渐成为监管对于个人信息治理工作的重点之一。本次评选出的优秀案例有不少体现了相关企业为落实最小必要原则而对于SDK展开安全管控的示范性做法。
区分基本业务功能与扩展业务功能
以每日互动的“个验·一键认证”产品为例,该产品通过“基本业务功能与扩展业务功能划分、拓展业务便捷可选”的方式,为个人信息处理最小必要的落地提供了一种可供参考的思路。我们建议相关企业可以在产品设计和研发阶段就对其基本和扩展业务功能进行区分,并明确其基本业务功能下收集个人信息的最小必要范围。具体可以参考《GB/T41391-2022信息安全技术移动互联网应用程序(App)收集个人信息基本要求》中对于“基本业务功能”、“扩展业务功能”、“必要个人信息”、“非必要但有关联的个人信息”等概念的细化规定。对扩展业务功能所需个人信息的处理,应当在向用户充分履行告知义务的基础上,设置便捷同意/拒绝的选择,且该等同意不应以若拒绝则无法使用基本业务功能的方式获取。
个人信息保护“双清单”及拦截“超范围收集”
除了区分基本业务功能与扩展业务功能之外,部分企业选择通过落实个人信息保护“双清单”或拦截SDK超范围收集个人信息的方式来落实最小必要原则。举例来讲,百度已就相关产品落实APP“双清单”自动化生成,即已收集个人信息清单(包含SDK收集个人信息情况)和与第三方共享个人信息清单;而携程则在APP上线后实施24小时不间断动态监测以及拦截第三方SDK对于用户个人信息的额外收集。
2. 技术升级优化
在上述优秀案例中,还有不少企业积极采取升级和优化自身技术的方式以实现个人信息处理“最小必要”落地。具体而言,唯品会为保障对外合作过程中用户个人信息的最小必要传输,对与合作方数据共享环节进行了技术方面的改造升级;荣耀对于拟提供的位置信息进行了泛化技术处理,以减少暴露精确位置信息;抖音则通过配置多元技术能力,落实服务端最小处理,反向推进客户端采集最小化收敛。
3. 内部管理制度建设
部分企业的个人信息处理“最小必要”落地方案侧重于内部管理制度建设。以腾讯为例,其着力于充分管控产品上线、更新等关键环节,通过丰富多样的宣导及培训,使得一线开发人员充分理解并落实最小必要合规要求;建立事前要求明确、事中精确管控、事后追责到人的全链路治理。类似地,拼多多也在组织、制度、人员等层面积极贯彻最小必要原则,完成部署访问控制机制,以实现个人数据最小限度访问。
个人信息处理“最小必要”优秀案例评选结果



