《个人信息保护法》背景下 谈谈如何识别App个人数据采集行为
在信息化进程不断深入的当下,一些企业、机构甚至个人,从商业利益出发,随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题十分突出。在此背景下《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)于11月1日正式施行,在开头便明确“根据宪法,制定本法”,强调了《个人信息保护法》的立法基础,体现了公民基本权利的法制化。
《个人信息保护法》分别从个人信息处理规则、个人信息跨境提供的规则、个人的权利、个人信息处理者的义务、履行个人信息保护职责的部门、法律责任等多个角度规定了个人、个人信息处理者、管理部门在处理个人信息方面的权利与义务。在《个人信息保护法》中明确规定个人信息的收集、存储、使用、加工、传输、提供、公开、删除等均应符合规定。
作为个人信息处理的首要环节,“收集”是个人信息保护治理的关键,此处摘出《个人信息保护法》中部分有关个人信息收集的相关规定:
· 第六条 收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息
· 第十条 任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息
· 第二十六条 所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
· 第四十条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。
以上4条法则可以看出个人信息的收集遵循“最小范围”原则,即应当基于业务的处理目的收集必要信息,不得过度收集个人信息。但从当前个人信息的采集使用情况看,运行于移动终端的应用App是个人信息违规处理的重灾区,信息超采、权限滥用、数据外传等问题屡见不鲜。
针对App的违规收集个人信息的情况,相关部门陆续发布了《App违法违规收集使用个人信息行为认定方法》、《App违法违规收集使用个人信息自评估指南》、《常见类型移动互联网应用程序必要个人信息范围规定》等相关规定,已经对App信息处理行为有了明确的要求。
而如何识别App的数据采集行为则成了急需解决的技术问题。安恒明鉴移动应用App检测评估工具支持对移动终端App中个人信息采集使用情况进行全面监控,从动态、静态两大维度实现App的行为分析,帮助用户完成对App的合规情况检测。
产品咨询及试用申请,收到后我们将于1~2个工作日联系您