一、前 文
二、条款解析
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
三、合规思路
明确SDK个人信息处理规则和保护责任是确保用户知情权的基础,只有让用户清楚地知道自己的哪些信息被收集、为何被收集以及如何被收集,才能建立起信任的基石。
SDK应制定个人信息保护政策并明示该政策,保证内容完整,覆盖1)~7)条的内容。
(一)
SDK开发者/运营者在制定隐私政策时可参考以下原则。
-
通过调用敏感权限(如位置信息、相机拍摄的生物识别信息、通过麦克风采集的声纹); -
通过功能页面表单要求用户主动填写(如住址、职业、身份证件号码); -
通过其他途径,如函数、环境参数/接口等(如MAC地址、IP、粗略定位); -
借助第三方(如通过SDK获取本身就是一种方式,或者通过Android类库)。
隐私政策列举收集使用个人信息目的、方式、范围时,应采用具体的描述,避免使用举例性描述(如“如”、“例如”、“包括但不限于”、“等”)和概括性描述(如“身份识别信息”、“网络识别信息”、“设备信息”)。
(二)
明确权限类别与目的,确保申请目的与功能紧密相关,不能将获取的权限用于其他未告知的目的。
SDK 可能会申请多种系统权限,权限类型也因手机系统不同而存在区别。如安卓系统中有拨打电话权限(CALL_PHONE),而ios系统不存在该权限。权限类别可参考“GBT 41391-2022 信息安全技术 移动互联网应用程序(App)收集个人信息基本要求”的附录D。
SDK 申请系统权限的目的必须与自身的功能紧密相关。例如:用于人脸识别的SDK申请相机权限是合理的。但新闻阅读类SDK申请相机权限,其中却未涉及与拍摄相关的业务功能,则不符合该要求。
(三)
应基于实现业务目的所需的合理时长来确定SDK 收集的个人信息保存期限,并明确告知存储期限。一旦业务功能相关处理已完成且无其他合法留存理由,如法定留存义务或纠纷处理需求等,就应及时删除或匿名化处理,以最大程度降低信息泄露风险与保护用户隐私,且向用户明确告知处理过程与方式。
-
基本原则:一般情况下,个人信息的保存期限应当为实现处理目的所必要的最短时间。这是为了最大程度地保护用户的个人信息安全,避免信息被不必要地长时间存储而增加泄露或被不当使用的风险。
-
目的限制原则:存储的个人信息必须与SDK明确告知用户的处理目的直接相关。例如:金融支付SDK收集用户身份信息用于实名认证和风险评估,这两个目的虽有关联但不同,需分别界定各自所需信息及保存时长,认证完成后部分信息可按规定期限删除,风险评估相关信息则根据金融监管要求保存适当时间。
-
必要性原则:需要根据具体的业务场景和需求来确定保存期限的必要性。例如:某些金融类SDK可能需要根据相关金融监管法规的要求,保存用户的交易记录等信息一定的时间,以满足合规性检查等需求,这种情况下的保存期限就是具有必要性的。
-
参考因素:除了上述原则,确定保存期限时还可以考虑个人信息的特点与属性(如敏感信息可能需要更严格的保存期限控制)、个人信息的处理方式(如加密处理的信息可能在保存期限上有不同要求)以及对各方利益可能产生的影响等。另外,部门规章、行业规范等有关保存期限的规定也可以作为参考。
-
特殊情况的规定:如果法律、行政法规对某些类型的个人信息保存期限有明确规定,则必须遵循这些规定。例如:《网络安全法》规定网络日志留存不少于六个月;《征信业管理条例》规定个人不良信息的保存期限自不良行为或者事件终止之日起为 5 年,超过 5 年的应当予以删除等。
-
停止处理活动:当SDK被停止嵌入后,原则上应立即停止对相关个人信息的一切处理活动,除了法律规定或合同约定的必要情形。如果存在未解决的法律纠纷,可能需要在一定期限内保留相关个人信息作为证据,但除此之外不应再有其他处理行为。
-
信息的安全防护:对于已经收集但尚未处理完成或仍需暂时保存的个人信息,SDK 开发者仍需承担安全防护责任,采取必要的技术和管理措施,确保信息的保密性、完整性和可用性。如加强对信息存储系统的访问控制、加密传输等安全防护手段,防止信息被未经授权的访问、篡改或泄露。
-
信息的转移或删除:如果不再有继续保存个人信息的必要,SDK 开发者应根据相关法律法规及与用户的约定,及时对个人信息进行删除或匿名化处理。在进行信息转移时,必须确保接收方具备足够的安全保护能力,并遵循合法的程序和要求。同时,无论采取删除还是转移方式,都应向用户明确告知处理过程与结果,保障用户的知情权和控制权。
声明保存期限和超期处理方式如图3。
图3:保存期限和超期处理方式
(四)
SDK开发者应详细阐述所采用的技术手段,像加密技术的运用层级、访问控制的具体规则,以及管理机制如员工信息安全培训体系、应急响应预案的启动流程等,让用户能够了解到 SDK开发者为保护其个人信息在技术、管理等多方面所做出的努力与安排,从而增强用户对 SDK开发者处理个人信息的信任度,也便于用户监督 SDK开发者是否切实履行了相关责任与措施,在出现问题时能有据可依地维护自身权益。
-
加密技术:采用加密算法对个人信息进行加密处理,无论是在传输过程中还是在存储过程中,确保个人信息的保密性和完整性。如使用 SSL/TLS 协议对网络传输中的个人信息进行加密,或者对存储在数据库中的个人信息进行加密存储。
-
访问控制:可以通过身份认证、授权机制等方式实现,设置严格的访问权限控制。如使用用户名和密码、数字证书等进行身份认证,根据用户的角色和权限分配不同的访问权限。
-
数据脱敏:对于一些敏感的个人信息,在不影响业务需求的情况下进行脱敏处理。如对用户的身份证号码、银行卡号等进行部分隐藏或替换,以降低信息泄露的风险。
-
安全审计:建立安全审计机制,对处理个人信息的操作及安全情况进行定期审计,以便及时发现和追踪异常行为。
-
安全管理制度:SDK 开发者和应用开发者应建立完善的内部个人信息保护管理制度,包括制定隐私政策、规范操作流程、定期进行安全培训等。如制定详细的个人信息处理流程,明确各个环节的责任人和操作规范。
-
人员管理:对涉及个人信息处理的人员进行严格的管理,包括背景调查、签订保密协议、定期进行安全意识培训等。确保这些人员了解个人信息保护的重要性,遵守相关的规定和制度。
-
应急响应机制:制定应急响应预案,在发生个人信息安全事件时能够及时响应,采取有效的措施降低损失,并及时向用户和相关部门报告。如在发现个人信息泄露事件后,立即启动应急预案,对泄露的信息进行封堵、追踪,并通知受影响的用户。
(五)
声明自启动/关联启动如图5。
(六)
-
若不涉及,应明确指出SDK不会向境外提供个人信息。
-
若涉及,应参考个保法第三十九条,向个人告知境外接收方的名称或姓名、联系方式、处理目的、处理方式、个人信息种类及个人向境外接收方行使个保法规定权利的方式和程序等事项,并取得个人的单独同意。
声明向境外提供情况如图6。
(七)
声明响应用户个人信息权利请求的措施如图7。
四、总 结
(本文作者:北京梆梆安全科技有限公司 陈琳达、马婷婷)
原文始发于微信公众号(CCIA数据安全工作委员会):标准应用 | GB/T 43435中“SDK运营者应明确个人信息处理规则和保护责任”解读
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论