《个人信息安全规范》在 OTA 企业中的实践
2020年3月9日,国家市场监督管理总局、国家标准化管理委员会发布中华人民共和国国家标准公告(2020年第1号),全国信息安全标准化技术委员会归口的国家标准GB/T 35273-2020《信息安全技术 个人信息安全规范》完成修订,正式发布,实施日期为2020年10月1日。
在线旅游行业(简称“OTA”)客户个人信息数据敏感度高,会员信息、出行和住宿记录都是公民个人敏感信息;个人信息数据只收集产生到下游的使用,涉及链条长,涉及供应商、在线平台、分销商、保险公司等不同主体,数据泄露事件频发且难以追溯。因此,客户个人信息保护工作的开展存在较大的困难和挑战。《个人信息安全规范》的正式发布,给了企业和旅游生态环境一个权威的指导,也形成了一个良好的契机,可以帮助OTA企业和供应链的各环节组织对个人信息保护达成统一的共识,促进旅游生态共建公民个人信息保护体系。在《个人信息安全规范》的实践落地中,就积累的经验和心得体会,在此和大家分享。
一、用户知情权保护
《个人信息安全规范》在信息收集方面对用户的知情权有一系列详细的要求,即数据类型、使用、共享、转让等情况都应该明确告知用户,并得到用户的明确授权,这也是《网络安全法》中第四十一条的规定,《个人信息安全规范》中给出了根据具体要求。标准落地关键点有两个,第一是用户隐私政策中告知用户相关信息,第二是APP等应用中实现用户授权,信息处理等选项,提供用户自行选择权。举例如下:
(一)隐私政策
1.隐私政策的编制
在《个人信息安全规范》“5.5个人信息保护政策”中,非常详细的规定了隐私政策的编制要求,其中A项实际提出了隐私政策的基本内容,也就指导我们搭建了隐私政策的整体架构。
虽然在《个人信息安全规范》中并没有明确规定隐私政策文件的形式,但依据最佳实践通用做法,《隐私政策》首先需要是独立的文件,这也是为了方便用户阅读和授权操作。
隐私政策在App中查阅一般使用统一个页面链接(一般是H5页面)、网站、App端、小程序等从事相同业务的系统可以调用同一个隐私政策页面,可以统一各个应用中政策的版本,并降低修订难度。
在修订隐私政策后,应注意更新隐私政策修订及生效时间,并通知用户。一般采用短信,邮件,系统消息等方式,确保将通知提前送达给用户。
隐私政策的位置要比较明显便于查阅,应该让用户在4次点击操作内可查看到。例如,点击“我的——设置——关于——隐私政策”,即为4次查阅到隐私政策。
2.收集个人信息声明
在《个人信息安全规范》“5.2 收集个人信息的最小必要”中,指出“收集的个人信息的类型应与实现产品或服务的业务功能有直接关联”,所以在隐私政策中告知用户收集信息的内容,目的,使用等信息时需要以业务功能为核心,如地图导航、网上购物、即时通讯、网络支付等,分别列举每个功能需要收集的个人信息。
(1)收集个人信息的业务功能逐项列举
这里核心问题是如何划分业务功能:对于业务功能的划分,一般有两种划分方法,这两种划分通常会结合使用,所以业务功能不一定在同一个维度。
基本划分原则:
按App的业务功能图标划分,这些功能是显而易见的,就是用户使用App中使用最频繁的功能项,这类其实就是所谓的1个图标算是1个业务功能
按独立的功能模块划分,这类功能不是一个显性的功能,甚至可能并没有在前端页面体现,但是由于其独立运行并收集了用户的个人信息,就必须列出来。例如基础功能中注册、实名认证,支付等功能
(2)每个业务功能收集的个人信息类型说明
每个业务功能要分别明示其收集的个人信息的类型、目的,即用途说明。用途说明,可以对收集的每种个人信息分别说明使用用途,也可以几个信息为同一用途。
但是,对每个业务功能都应说明其所收集的个人信息类型,不应出现多个业务功能对应一类个人信息的情况。 很好理解,业务功能项与收集的个人信息必须是1对1或1对多的关系,不能将多个业务功能合并在一起说明。这里面“不能合并”也有一定的尺度,连续的一组操作动作的功能可以作为一个功能项进行说明,比如注册的时候就要求实名,那么注册和实名是可以一起说明。再或者登录时候的验证码也可以作为登录功能项的一部分。
在《个人信息安全规范》“5.5个人信息保护政策”中也提到“收集、使用个人信息的业务功能,以及各业务功能分别收集的个人信息类型。涉及个人敏感信息的,需明确标识或突出显示”
个人敏感信息类型进行显著标识。文字颜色一般为黑色,特别注意不能使用灰,浅黄等不明显的颜色。对强调文字需要加粗,斜体,下划线等重点标识,比如个人敏感信息。注意重点标识仅对如身份证、账号等具体字样,不能加粗整句。
还有一点需要注意,业务功能和收集的个人信息类型都不能使用“等”这类字样;也就是说必须明确到底有多少功能,到底收集多少类信息。因此,在实践中,APP隐私政策要明确列出收集的信息;在实际的合规检查中,在收集信息方面一般是不应该有“等”这样的字样出现,否则不符合标准的要求。
(二)用户授权
在《个人信息安全规范》“5.4 收集个人信息时的授权同意”中要求“获得个人信息主体的授权同意”,我们理解分为两个方面,一个是隐私政策授权,一个是系统权限授权。
1. 隐私政策授权
隐私政策授权即表示用户同意隐私政策中的条款内容,所以上文中收集信息类型就非常重要,用户没有同意收集的信息是不能收集的。隐私政策中的内容可以说是App说有功能能否执行的前提,所以在用户首次启动App时就要对隐私政策进行授权。
隐私政策授权应在App运行之初进行提示隐私政策,这个提示中应该有3个元素:隐私条款内容的重点介绍;隐私政策文件访问链接;用户是否同意隐私政策的选项。
隐私提示是对条款的概要,内容简练,突出重点:
第一,要说明为了提供服务,我们需要收集和使用个人信息;
第二,要说明我们主要会使用哪些系统权限,如位置,照相机等;
第三,要说明用户的权利,如撤销授权等。
一般注册时应当要设计隐私授权的单选框,不可以默认同意。提供匿名状态访问的App,匿名状态用户无需同意全部的隐私条款,即App只能收集少量匿名访问必要的信息,此时如果用户要进行下单、登录等操作将退出匿名状态,App需要对其进一步收集信息,比如订单、登录凭证等,此时用户就要授权全部隐私条款。
(1)基本情况解析
App的隐私提示是在App启动时进行的,也就是说用户App选择同意隐私政策前,我们和用户都没有达成该协议,所以在此前不应该存在任何收集个人信息的行为。
特别注意,App收集信息一般有通过App程序自动收集、通过系统权限收集、用户录入或触发收集,这三种情况都不应该出现在用户授权隐私政策前。市场经常遇到的情况:
在隐私政策授权前,申请系统权限如位置权限,存储权限等;
在隐私政策授权前,App后台已经收集了手机号,设备信息等。
(2)不可重复提醒
App的隐私提示在App首次启动进行弹窗,当用户同意或拒绝后都不应该再次频繁弹窗。这里推荐的方案和原则如下:
仅在第一次启动App时进行弹窗;
如果,用户拒绝隐私政策且不能为用户提供服务(App必须关闭)的情况,在用户下次启动App时还可以进行弹窗。
(3)隐私提示同意和拒绝的处理方式
隐私政策需要用户明确同意该协议后方可生效,但不可以强迫用户签订。所以通常必须为用户提供同意和拒绝两个选项。
要求中也有规定不可以有暗示或者倾向性的提示,所以两个选项需要是均等的排列,也就是不可以默认同意,不可以存在一个按钮很难发现另一个按钮。
用户点击“同意”后,视为隐私政策生效,可以正常进入App,并按照政策内容对个人信息进行收集和使用。
用户点击“拒绝”后,提示用户如果仅浏览必须提供哪些信息,再次拒绝就退出App。
2.系统功能开启
部分个人信息是通过系统功能获取的,如位置信息,通讯录等等。业务功能需要使用某个系统功能时,就需要用户进行授权了。在《个人信息安全规范》“5.3多项业务功能的自主选择”中提到“不应通过捆绑产品或服务各项业务功能的方式,要求个人信息主体一次性接受并授权同意各项业务功能收集个人信息的请求;”其实这里也是一样,不能一次授权所有权限,需要“一事一议”。
Andriod和IOS系统都会有系统权限提示,所以用户同意和拒绝可以使用系统弹窗的方式。
(1) App启动时弹窗的原则
如果App启动时必须要获取的权限,可以在App启动时进行获取,但要注意的是:
系统功能开启的弹窗要在隐私政策弹窗后
App弹窗说明使用目的,需要在系统的弹窗之前
为避免用户开启弹出太多弹窗,可以将系统功能授权说明在一个页面统一说明,但是必须逐个授权
主流程如下:
App启动->隐私政策弹窗->系统功能授权提示(App弹窗)->系统功能弹窗(系统弹窗)
用户全部选择“同意”:申请权限开启,下次启动不会再次弹窗;
用户部分选择“同意”,部分选择“禁止”,勾选不再提示:同意的权限开启,下次启动不会再次弹窗;
用户全部选择“禁止”:不开启任何权限,下次启动也不会弹出窗口;
用户部分选择“同意”,部分选择“禁止”:同意的权限开启,下次启动时仍需要再次弹窗。
【注】这里更好的做法是,为每个系统功能再制作一个单独弹窗,下次启动App时,对选择“禁止”的功能单独弹窗。这样相当于每个系统功能关联了一个App的提示窗口,如果系统功能弹窗不再弹出,App的提示窗口也不会再弹。等于App首次启动做了1次特殊的弹窗处理,后续无论是App启动时,还是在用户使用某些功能时的系统功能调用都使用同一个逻辑判断。
(2) App使用功能时的弹窗
系统功能的申请应该是完成某个业务场景需要的功能,所以大多数系统功能的申请应该在App某项业务功能启动时再申请。如识别身份证需要启动拍照功能,语音搜索会启动录音功能,上传照片会启动存储功能等。
(3)IOS更简化的方案
IOS系统由于可以修改系统功能弹窗的文案,所以可以不需要提示弹窗,也就可以减少一次弹窗,也就提高了用户体验。例如修改通讯录权限的,
Key为NSContactsUsageDescription(或 Privacy - Contacts Usage Description),<string></string>标签中写入你想要添加的文案就可以了。
二、对企业要求和企业应尽义务
在《个人信息安全规范》的第六章以后,重点强调的是企业内部对个人信息数据的管理和保护方面的要求。就OTA行业来讲,整体的数据流转使用链条比较长,供应商的种类也比较多,对保护个人信息来说是一个比较大的挑战。
(一) 数据存储的保护方法
(1) 数据存储地域和存储期限
在《个人信息安全规范》“个人信息保存时间最小化”原则中,要设立数据的保存期限,并对超期的数据进行删除或匿名化处理。
目前存储期限的具体时间没有统一的明确标准,目前信息存储时间主要考虑到两个方面一个是用户体验,比如用户查询历史数据的需要,二是大数据时代,历史数据对企业自身也存在较大价值,如用户喜好,购买倾向等分析,我们针对行业特点认为:
在OTA明确的存储期限为10年-20年,是一个相对较长的周期,因为旅游自身为低频消费场景,很多用户可能每年的订单记录也就1-2条,周期太短会严重影响用户查询历史信息的便利性。
(2) 个人信息存储安全
在《个人信息安全规范》“6.3个人敏感信息的传输和存储”中,规定了“传输和存储个人敏感信息时,应采用加密等安全措施” ,在数据安全领域中加密,匿名化等技术措施也是数据保障的基础能力。
数据传输加密:对于web端通常会使用HTTPS等安全协议进行传输。
数据存储加密:线上数据加密一般会对结构化数据的某几个敏感字段加密,比如含有个人隐私信息的字段。数据库存储加密的三种方式:
开源的加密组件,如Key Management Service(KMS),通过开发SDK或集成至数据库中间层实现自动加解密。
数据库自身功能,如Mysql加密解密函数AES_ENCRYPT(),AES_DECRYPT();SQL Server加解密函数dbo.EncryptByPassPhrasePwd,dbo.DecryptByPassPhrasePwd。
商业数据加解密产品,有需要的可以自行了解一下,但是注意一定要使用国密算法。
数据匿名化处理一般用于用户注销账户,删除数据时后台历史数据的处理,因为这些数据可能与企业其他数据存在关联,或后续用户经营统计不能直接删除;还有一种场景是在线数据导入大数据平台进行离线分析和操作时,应将数据进行匿名化。
收集个人信息后,建议将数据匿名化或去标识化,并将该信息与可用于恢复识别个人的信息分开存储(一般存储至大数据平台)。数据加工时,优先使用匿名化的数据,并加强对个人信息的访问控制,这样可以很好的控制个人隐私泄露的场景。
(二) 个人信息使用
(1) 数据安全访问控制,权限分离
*在《个人信息安全规范》“7.1 个人信息访问控制措施”中,对访问进行了非常详细的要求,我们总结其关键点就是权限控制。 *我们在实践中主要是针对企业内部的数据访问机制,需要遵循最小权限原则,即用最少的人访问最少的数据。
常见的场景:
后台系统访问和获取数据的权限控制措施,系统统一认证鉴权
应用系统之间数据接口的权限管控,尤其是跨业务线,跨项目的情况
数据提取和拷贝机制
大数据平台,在线数据分析
办公网数据管控(桌管,零信任,线上文档编辑工具)
兜底方案:DLP,数字水印,数据染色,日志审计系统等
(2) 数据显示脱敏
在《个人信息安全规范》“7.2个人信息的展示限制”中规定“个人信息控制者宜对需展示的个人信息采取去标识化处理等措施”。
一般永久性脱敏显示,在用户端查看身份证,手机号等敏感信息时,可以隐去中间几位,避免由于账号丢失造成的泄露。
数据遮罩也是一种展示限制措施,主要用于系统后台,一般工作人员需要查看相关信息的情况,通过埋点日志可以记录所有查看过个人数据的行为,用于审计和溯源。
(3) 个性化展示
在《个人信息安全规范》“7.5个性化展示的使用”中规定在个性化展示的同时,“应当同时向该消费者提供不针对其个人特征的选项”。首先个性化展示和广告推送是指根据用户个人信息,偏好等为其推送的有个人倾向的信息,在OTA行业中,根据用户的出行偏好推荐可以极大的为用户提供搜索便利。主要分为推送、展示信息和广告类信息。
在App的设计上,应提供此类功能的开启和关闭功能,个性化推送应该包括收集个人信息的广告推送、通知、活动提醒等功能。这也就设计了一个“通用产品展示”规则,当用户关闭个性化推荐功能时,一律为用户展示“通用产品”,这是在功能设计之初就应该提前注意的地方。
新版《个人信息安全规范》还是沿用权责一致原则、目的明确原则、选择同意原则、最少够用原则、公开透明原则、确保安全原则、主体参与原则,保障公民的合法权益,在标准落地方面做了很多改进,并更加场景化和具体化。在OTA行业中,由于上下游链条的太长,各主体的安全标准和落地要求难以统一;《个人信息安全规范》的实施也是从国家层面对行业个人信息保护标准的一个整合和促进,能够推进行业建立生态安全体系,最终保障用户和企业的合法权益。
