對移動設備ID標識合規要求的梳理與思考 - 網安 - 專業的網絡安全產業、社區、知識平臺

移動設備ID標識符的體系龐雜多樣且迭代快速，MAC、IMEI、Android ID、IDFA、OAID、GAID、UUID、UDID等琳瑯滿目，而各類設備ID與業務實現邏輯又結合緊密。本文主要對與移動設備ID相關的數據合規法律要求、應用商店規則以及業界實踐進行總結分析，也對國內外對移動設備ID的合規要求進行對比。

一

points

移動設備ID標識符分類與特性

筆者參考電信終端產業協會發布的《T/TAF 095-2021 安卓系統補充設備標識技術規范》將標識符分成四類，將工作中常見的設備ID歸類到不同目錄，同時整理了對應的標識符特性。

注：分類方式參考《T/TAF 095-2021 安卓系統補充設備標識技術規范》

二

points

設備ID與個人信息的關系判定

我國與美國、歐盟對于設備ID的定義稱謂略有不同，中國“設備信息”，美國‘Unique identifier’，歐盟 ‘an online identifier’，但其定義下所指代的標識符是相同的，且各法域下也均有相關定義，無論從中國、美國還是歐盟，設備ID均屬于個人信息。

我國

《個人信息安全規范》的“個人信息舉例”中包括了個人常用設備信息，有：硬件序列號、設備MAC地址、軟件列表唯一設備識別碼（如 IMEI / Android ID / IDFA / OpenUDID / GUID / SIM卡 / IIMSI信息）等在內的描述個人常用設備基本情況的信息。

參考來源：《個人信息安全規范》附錄A

美國

“Personal information” (A) Identifiers such as a real name, alias, postal address, unique personal identifier, online identifier Internet Protocol address, email address, account name, social security number, driver’s license number, passport number, or other similar identifiers.

(X) “Unique identifier” or “Unique personal identifier” means a persistent identifier that can be used to recognize a consumer, a family, or a device that is linked to a consumer or family, over time and across different services, including, but not limited to, a device identifier; an Internet Protocol address; cookies, beacons, pixel tags, mobile ad identifiers, or similar technology; customer number, unique pseudonym, or user alias; telephone numbers, or other forms of persistent or probabilistic identifiers that can be used to identify a particular consumer or device. For purposes of this subdivision, “family” means a custodial parent or guardian and any minor children over which the parent or guardian has custody.

參考來源：CCPA 1798.140 – Definitions

歐盟

‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;

參考來源：GDPR Art.4 Definitions

“Natural persons may be associated with online identifiers provided by their devices, applications, tools and protocols, such as internet protocol addresses, cookie identifiers or other identifiers such as radio frequency identification tags. This may leave traces which, in particular when combined with unique identifiers and other information received by the servers, may be used to create profiles of the natural persons and identify them.”

參考來源：GDPR Recital 30 of the Regulation

三

points

我國移動設備ID合規要點梳理

1、重點合規要求匯總

2、合規工作啟示

筆者結合國內重點針對移動設備ID要求的相關合規要點進行了一些整理與思考，認為移動ID合規工作的關注點需要有效分配到數據全生命周期。

數據采集

產品采集設備ID時，合規工作關注：

A、必要性與最小化原則評估，典型的場景

a.基于安全目的，例如業務風控、網絡安全場景，原則上可以采集不可變特性的設備ID，但仍應結合其策略與邏輯來進行必要性判斷；

b.基于業務目的，例如廣告營銷、定向推送、用戶畫像場景，則應采集可變更特性的設備ID，且不可將其與身份信息或不可變更的標識碼關聯；

c.最小化判斷，包括設備ID的采集類型、數量、頻率以及時間節點。

B、明確告知。產品上需要對采集字段的目的、類型、用途等進行梳理和告知，同時需要注意APP自身與SDK均可能采集相關Device信息，典型的營銷類、歸因類SDK

C、征得同意。產品上需要征得用戶同意后對數據進行收集。而落實到實現中的邏輯，則需要注意用戶在同意隱私政策前不能采集用戶個人信息。開發層面，同樣需注意從APP和SDK兩個數據采集來源進行限制。

a.對于APP自身，需要在API傳參前做好相應字段的梳理，過濾相關的Device ID字段。但值得注意，可能存在一些情況，諸如APP請求《隱私協議》之前需要觸發，定位用戶設備唯一值的API初始化工作，那么無法避免在同意《隱私政策》前取得一個設備級的唯一參數。對于此類，需要企業考慮更改產品請求《隱私協議》的邏輯或設計采用非原生態設備ID值來進行整改優化；

b.對于三方SDK，通常較難做到自定義的字段級過濾，那么對此的處理方式則需延遲特定SDK的初始化時間，直至用戶執行同意操作后。

數據存儲

該階段更多關注數據安全問題，主要包括數據存儲加密以及存儲脫敏，而實現該類方案的完整性和難易度，也較多依賴企業數據治理成熟度的高低。

加密存儲

數據加密是保護數據因外部惡意入侵或內部非密鑰持有人員盜取情況下，不被明文泄露的有效緩解方法。但實踐中，數據加密的難易程度與可行性和企業中的數據存儲分布、調用頻率與使用方式息息相關。同時結合泄露后影響的大小、可操作性、投入和維護成本來進行決策，如僅根據不同特性的設備ID相比較，加密不可變特性的唯一設備標識符通常具備更多現實意義。而有關加密方案、加密算法以及加密產品的科普介紹，筆者后續將嘗試整理《國內外去標識化合規要點及技術方案》的主題文章，在此不過多陳述。

脫敏存儲

個人信息脫敏存儲并非法律要求，數據脫敏存儲并非普適性的數據保護方案，而數據安全解決方案多伴隨企業業務架構和技術架構的不同而不同。多數情況，設備ID的內部使用場景并非需要其原始數值，但仍需要借助其唯一性的特征，那么對設備ID進行哈希是一個常見的處置方式。與之類似，企業在其它必要情境下的個人信息治理中，也可選擇鏡像一份脫敏庫，以解決對原始個人信息的高頻訪問、權限粒度分配不均、動態脫敏成本高等情況。有關脫敏方案、算法的科普介紹，筆者后續將嘗試整理《國內外去標識化合規要點及技術方案》的主題文章，在此不過多陳述。

數據使用

A、數據內部使用。例如，企業內部的管理看板、業務后臺、審核后臺等，合規工作注意。

a.對各場景、系統頁面展示用戶設備 ID的情況做必要性判斷；

b.對不同崗位、不同級別做對應的權限分級與控制；

c.特定用戶設備 ID字段進行必要去標識化工作后展示。

B、數據外部傳輸。例如，企業內部的管理看板、業務后臺、審核后臺等，合規工作注意。

a.合法性基礎、必要性與最小原則的判斷，典型場景可參考本章節數據采集階段介紹、本章節下方的要點梳理表，以及“四、應用商店合規注意要點”；

b.合同與保密協議，明確雙方數據安全保護責任與義務；

c.告知與征得同意，滿足“雙清單”要求；

d.拒絕或聯合刪除，特定情形下，在用戶進行Opt-out或申請注銷等情形下，應約束數據接受方做到聯動刪除或做出相應處置；

e.數據出境，如三方SDK、數據合作商或基礎服務等需要關注是否將數據傳輸或解析至境外，尤其需要結合數據類型、數量、實體性質等相關要素判斷處置方式。筆者后續也將嘗試整理《國內外數據跨境合規要點及技術監測方案》的主題文章；

f.傳輸安全，因不同目的進行外傳數據的形式可能復雜多樣，包括不限于HTTP、SDK、API、FTP、網盤甚至線下等，對此可優先建立統一的流程體系，再拆解不同方式下對應的安全防護、數據防泄露以及審計溯源的不同維度措施。

C、用戶權利響應。獲取個人信息副本是數據使用過程中典型的用戶權益響應項，無論個保法、個人信息安全規范等要求均有明確陳述，我們在此不多做法律要求分析。筆者嘗試在這個話題上，從行業慣例與訴訟案例上進行對比分享，以供各位看官參考。

a.行業慣例。行業慣例來看，筆者查詢在個人信息副本的In-app功能上，多數企業提供的副本數據類型中并不包含設備ID信息；

b.司法案例。關于唯品會與周某的個人信息保護糾紛案件也于近日有了二審裁決結果。其中，周某訴請披露的字段中，設備信息包括設備名稱、設備型號、操作系統和應用程序版本、語言設置、移動應用列表、唯一設備標識符、運營商網絡類型等軟硬件特征信息，而從唯品會案的一、二審結果來看，法院均判定本案中應提供用以查詢復制的個人信息類型中包含設備信息，且具體字段包括設備型號、操作系統版本、唯一設備標識符。

綜上，在自動化響應的個人信息副本下載功能中，較多APP并不直接提供設備ID信息，但訴訟案例中，存在個人信息查詢、復制、副本下載應包含設備ID信息的判決，且行業慣例與實現成本高低無法作為法定的免責事由的審判結果。

D、安全審計與日志記錄。注意對于設備ID的數據增刪改、訪問、下載的記錄，以及用戶的同意、撤回和權利響應的記錄，從而確保數據處理可審計、可追溯。

數據銷毀

數據到期

合規工作在制定服務協議、數據保存政策等需要關注特定場景或條件下設備ID類型數據的存儲時限。

用戶注銷

在用戶提交注銷申請后，對于設備ID應進行刪除或匿名化操作，相關操作日志記錄可以保存不少于6個月。而現實中不乏遇到出于特定原因需要留存一些特定設備ID的情況，那么需要判斷是否屬于法律另有規定的情形，或考慮是否可進行匿名化處理后實現目的，嚴格杜絕拉活或再次使用注銷數據的產品行為。

3、典型規范中涉及設備ID的合規點梳理

參考《個人信息安全規范》因ID標識符屬于個人信息，故原則上合規注意事項應與個人信息等同。以下主要梳理了國內典型的專門針對設備ID提出要求的規范條目。

四

points

國內外應用商店規則要點梳理

各大型平臺作為“守門人”角色，也同樣具備一些對于生態內部的治理規則和要求。部分數據合規工作的職責范圍，在關注法律合規的同時也對大型平臺規則有所延展。筆者試圖整理了國內外典型的應用商店中針對設備ID的規則要求并做了些許對比分析。

A、海外應用商店規則

針對不同設備ID類型進行了其機制和特性的細分與深入延展，更具自主性風格，發現部分規則的門檻明顯細于或高于法律要求，重點如下：

a.對于設備唯一硬件標識符，明確要求在大多數情況下，避免使用MAC、Android ID等設備ID；

b.對于匿名設備標識符（廣告標識符），明確不得與不可變的設備唯一硬件標識進行關聯，并約束了用戶在選擇拒絕或退出后的行為關聯限制；

c.對于其它方面。除了反欺詐和電話服務相關業務，明確建議所有情況下均使用Instance ID和GUID。

B、國內應用商店規則

針對不同設備ID類型，進行了使用場景下的區分與延展，相關要求均有據可依，積極落實國家要求，重點如下：

a.對于設備唯一硬件標識符，需要在用戶明確許可的前提下，使用或關聯使用該類設備ID；

b.對于匿名設備標識符（廣告標識符），分別從用戶明確許可、退出、重置、共享等條件下進行了限制。

參考Google、Apple 開發者指引與HUAWEI、VIVO應用商店審核指南，我們進行了以下部分規則要點的梳理，統計時間截止至2022年4月。

五

points

合規建設中的主要問題

1、合規工作中，碰到移動設備ID標識符的合規評估，怎么辦？

從法律合規要求、應用商店規則兩個方面進行，兩者的要點可分別參考本文三、四章節。

2、合規工作中，遇到超出本文的不認識的設備標識符，怎么辦？

化繁為簡，以不變應萬變。移動設備ID體系龐雜多樣，更新迭代飛速，合規工作本就難以窮盡各種可能，但思考立法態度與商店規則，我們需要關注的是設備ID的基本特征和跨APP屬性，無論怎樣的ID，先歸類它的根本屬性再進一步判斷其合法性與合理性。

3、ATT導致IDFA斷崖式下滑，IOS歸因怎么辦？

對于歸因問題，國內與海外生態略有不同。國內多由廣告主自主歸因，海外基本依賴第三方歸因鏈路，IOS的ATT機制導致IDFA的授權率斷崖式下滑，與此同時繞過設備ID的廣告歸因方案也受到了Apple的限制，后續IOS也提出了SKAN的方案并逐步迭代版本，筆者后續將嘗試分享《IOS在后IDFA時代下的SKAN歸因方案》的科普學習類文章。另外有關廣告生態下的延展，筆者有幸參與過早期國內DSP、SSP與DMP不同領域獨角獸的安全審計，也經歷了廣告從長媒體到短視頻一路演變發展，直至大型平臺筑起自己的私域花園，對該產業的機制和生態機制頗具興趣，后續也嘗試整理和分享《廣告營銷生態鏈的趣味科普與個人信息保護》的主題文章。