标准应用 | GB/T 42574中告知的适用情形相关条款技术解析

前  言

在如今的快节奏生活方式下，移动应用让生活变得便捷且丰富多彩，越来越多的人在移动应用上完成娱乐、沟通、购物等活动，这也使得很多厂家都纷纷开发属于自己的移动应用以便于在市场占得一席之地。但是开发移动应用时，需要尊重用户隐私，确保用户对自己隐私有最大的知情权和决定权，那么移动应用开发者应该如何为用户的知情权提供保障呢？其中GB/T 42574就对需要告知用户的情形进行了分类说明，为移动应用的开发工作做出了指导。本文将围绕GB/T 42574中“5.告知的适用情形”，分析需要告知用户的情形，并结合《个人信息保护法》和GB/T 35273-2020《信息安全技术 个人信息规范》分析具体需要告知的内容，并进行举例说明。

一、针对42574中对告知情形的相关条款解读

5.告知的适用情形
5.1收集个人信息	条款内容： 个人信息处理者收集个人信息包括但不限于以下情形： a) 通过个人填写、勾选、上传等方式收集个人信息； b) 通过软件程序或硬件设备等自动采集个人信息； c) 与个人交互并记录个人的行为； d) 从第三方间接获取个人信息； e) 从非完全公开渠道获取个人信息； f) 从与个人相关的他人账号收集个人信息； g) 使用大数据、人工智能等技术分析、关联或生成个人信息。 条款解析： 收集个人信息的途径存在多样性，但无论通过以上任何途径收集到的个人信息均需告知用户收集的目的、方式和范围等。其中需要注意的有几点： “b”情形中的“自动采集”主要指软件程序或硬件设备通过 SDK、API、浏览器以及调用智能终端、传感器、权限等收集到的个人信息； “c”情形中的“交互记录”主要指记录个人浏览、交易、客服咨询、使用服务等行为； “e”情形中的“非完全公开”主要指个人披露信息，但信息无法被任意人员通过互联网直接访问的状态，如设置了账户登录、 关注、安装客户端、开通代理等条件。
5.2提供、公开个人信息	条款内容： 个人信息处理者提供、公开个人信息包括但不限于以下情形： a) 向其他个人信息处理者提供个人信息； b) 向境外提供个人信息； c) 在一定范围内或向不特定范围公开个人信息； d) 因合并、分立、解散、被宣告破产等原因转移个人信息。 条款解析： 该情形主要适用于增加或变更可查看用户个人信息的范围主体，以及将个人信息传输至境外的情况。
5.3处理活动等发生变更	条款内容： 处理活动等发生变更包括但不限于以下情形： a) 个人信息的处理目的、处理方式发生变更； b) 处理的个人信息种类发生变更； c) 因合并、分立、解散、被宣告破产等原因转移个人信息，接收方变更原先的处理目的、处理方式的； d) 向其他个人信息处理者提供其处理的个人信息，接收方变更原先的处理目的、处理方式的； e) 公开的范围发生变更，如从一定范围内公开变为向不特定范围公开； f) 个人信息的保存期限延长； g) 个人信息处理者的名称或者姓名和联系方式发生变更； h) 个人行使其权利的方式和程序发生变更。 条款解析： 每一款App都会针对自身对个人信息的收集处理情况制定专属的隐私政策，而该场景可以概括的表示为：隐私政策的任一章节发生实质性变化（关键信息变化）时，均需要告知用户。在以上情形中需要注意几点： “a”场景中“处理目的、方式的变更”通常指个人信息处理者超出与收集个人信息时所告知的目的、方式具有直接或合理关联的范围处理个人信息；将不同产品或服务所收集的个人信息进行汇聚融合通常属于处理方式的变更； “b”场景中“处理的个人信息种类的变更”通常指：现有业务功能处理个人信息种类增加、新增业务功能处理额外个人信息种类、向其他个人信息处理者提供个人信息种类增加； “d、g”场景中的个人信息处理者包含了5.2中提及的第三方个人信息处理者以及境外个人信息处理者。

二、告知的内容（合规思路）

仅了解需要告知的场景还不足以帮助我们规范的完成“告知”这一合规要求，接下来我们结合《个人信息保护法》和GB/T 35273-2020《信息安全技术 个人信息规范》继续分析，深入了解每个场景需要告知用户的具体内容，以合规的思路落实告知工作。

（一）收集个人信息需告知的内容

对于收集的个人信息，有一个总的告知思路：均需告知用户收集个人信息的目的、方式和范围，其中“目的”是指收集个人信息的原因，“方式”是指如何收集个人信息（如本地自动采集、用户表单填写等），“范围”则是指收集的个人信息的种类，以上三要素是收集任何个人信息均需告知的。

合规示例1

而其中还有些需要额外告知或注意的，具体可分为以下几项：

1. 通过第三方SDK采集的：需额外告知第三方SDK的主体名称，以及其处理个人信息的规则；

合规示例2

2. 通过可收集个人信息权限采集的：除在隐私政策中声明外，还需在首次调用权限时，通过弹窗或其他明显形式告知当前申请权限的具体目的；

合规示例3

3. 间接获取的：当开展业务所需进行的个人信息处理活动超出已获得的授权同意范围的，应在获取个人信息后的合理期限内或处理个人信息前，告知现有范围并征得个人信息主体的明示同意，或通过个人信息提供方征得个人信息主体的明示同意；

4. 收集个人敏感信息的：收集页面需告知用户收集目的，且需在隐私政策内告知处理个人敏感信息的必要性和对个人权益的影响（如敏感信息泄露会对个人造成的影响）；

合规示例4

5. 收集生物识别信息的：收集时需向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围，以及存储时间等规则，并征得个人信息主体的明示同意；（注:个人生物识别信息包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等。）

合规示例5

6. 收集未满14周岁未成年人的个人信息的：应征得未成年人或其父母、监护人的明示同意，不满14周岁的，应征得其父母、监护人的明示同意（短信验证码、第三方应用二维校验等方式）；还需在隐私政策内制定未成年人专属的隐私政策说明其个人信息的收集、处理方式；

合规示例6

（二）提供、公开个人信息需告知的内容

提供、公开的情况较多，每种情况下需要告知的内容相似却不相同，需要仔细区分，下面我们来分类对比：

1. 共享、转让：需告知共享、转让个人信息的目的、数据接收方的类型以及可能产生的后果；涉及敏感信息时，还应额外告知涉及的个人敏感信息类型、数据接收方的身份和数据安全能力；

合规示例7

2. 公开披露：需公开披露的个人信息的目的、类型；涉及敏感信息时，还应额外告知涉及的个人敏感信息类型；

合规示例8

（未实际发生时，可在隐私政策中承诺会进行告知）

3. 因合并、分立、解散、被宣告破产等原因需要转移个人信息：需告知接收方的名称或者姓名和联系方式；

合规示例9

（未实际发生时，可在隐私政策中承诺会进行告知）

4. 向其他个人信息处理者提供：需告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类；

5. 向境外提供：需告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使《个人信息保护法》规定权利的方式和程序等事项；

（三）处理活动等发生变更需告知的内容

对于处理活动等发生变更的告知内容就比较好理解了，原则是变更了什么内容，就告知用户什么内容，这里的变更不止是由A变成B，也包括内容的增加及减少。该部分的内容都是需要写在隐私政策内的内容，故发生变更时，可直接通过提示用户阅读新版隐私政策，并在提示框或新版隐私政策上方明显处写明发生变更的章节，告知用户并再次征求其同意。

三、结语

知情权是社会公正的基石，是公民自我保护的利器，只有充分保障用户的知情权，才能让用户放心的使用移动应用。开发者要坚定的践行GB/T 42574-2023《信息安全技术 个人信息处理中告知和同意的实施指南》中“告知和同意”的实施指南，做到“内不欺己，外不瞒人”才能开发出用户信赖的产品。

（本文作者：北京梆梆安全科技有限公司 何盈、鲍佳）

原文始发于微信公众号（CCIA数据安全工作委员会）：标准应用 | GB/T 42574中“告知的适用情形”相关条款技术解析