《個人信息安全規范》在 OTA 企業中的實踐
2020年3月9日,國家市場監督管理總局、國家標準化管理委員會發布中華人民共和國國家標準公告(2020年第1號),全國信息安全標準化技術委員會歸口的國家標準GB/T 35273-2020《信息安全技術 個人信息安全規范》完成修訂,正式發布,實施日期為2020年10月1日。
在線旅游行業(簡稱“OTA”)客戶個人信息數據敏感度高,會員信息、出行和住宿記錄都是公民個人敏感信息;個人信息數據只收集產生到下游的使用,涉及鏈條長,涉及供應商、在線平臺、分銷商、保險公司等不同主體,數據泄露事件頻發且難以追溯。因此,客戶個人信息保護工作的開展存在較大的困難和挑戰。《個人信息安全規范》的正式發布,給了企業和旅游生態環境一個權威的指導,也形成了一個良好的契機,可以幫助OTA企業和供應鏈的各環節組織對個人信息保護達成統一的共識,促進旅游生態共建公民個人信息保護體系。在《個人信息安全規范》的實踐落地中,就積累的經驗和心得體會,在此和大家分享。
一、用戶知情權保護
《個人信息安全規范》在信息收集方面對用戶的知情權有一系列詳細的要求,即數據類型、使用、共享、轉讓等情況都應該明確告知用戶,并得到用戶的明確授權,這也是《網絡安全法》中第四十一條的規定,《個人信息安全規范》中給出了根據具體要求。標準落地關鍵點有兩個,第一是用戶隱私政策中告知用戶相關信息,第二是APP等應用中實現用戶授權,信息處理等選項,提供用戶自行選擇權。舉例如下:
(一)隱私政策
1.隱私政策的編制
在《個人信息安全規范》“5.5個人信息保護政策”中,非常詳細的規定了隱私政策的編制要求,其中A項實際提出了隱私政策的基本內容,也就指導我們搭建了隱私政策的整體架構。
雖然在《個人信息安全規范》中并沒有明確規定隱私政策文件的形式,但依據最佳實踐通用做法,《隱私政策》首先需要是獨立的文件,這也是為了方便用戶閱讀和授權操作。
隱私政策在App中查閱一般使用統一個頁面鏈接(一般是H5頁面)、網站、App端、小程序等從事相同業務的系統可以調用同一個隱私政策頁面,可以統一各個應用中政策的版本,并降低修訂難度。
在修訂隱私政策后,應注意更新隱私政策修訂及生效時間,并通知用戶。一般采用短信,郵件,系統消息等方式,確保將通知提前送達給用戶。
隱私政策的位置要比較明顯便于查閱,應該讓用戶在4次點擊操作內可查看到。例如,點擊“我的——設置——關于——隱私政策”,即為4次查閱到隱私政策。
2.收集個人信息聲明
在《個人信息安全規范》“5.2 收集個人信息的最小必要”中,指出“收集的個人信息的類型應與實現產品或服務的業務功能有直接關聯”,所以在隱私政策中告知用戶收集信息的內容,目的,使用等信息時需要以業務功能為核心,如地圖導航、網上購物、即時通訊、網絡支付等,分別列舉每個功能需要收集的個人信息。
(1)收集個人信息的業務功能逐項列舉
這里核心問題是如何劃分業務功能:對于業務功能的劃分,一般有兩種劃分方法,這兩種劃分通常會結合使用,所以業務功能不一定在同一個維度。
基本劃分原則:
按App的業務功能圖標劃分,這些功能是顯而易見的,就是用戶使用App中使用最頻繁的功能項,這類其實就是所謂的1個圖標算是1個業務功能
按獨立的功能模塊劃分,這類功能不是一個顯性的功能,甚至可能并沒有在前端頁面體現,但是由于其獨立運行并收集了用戶的個人信息,就必須列出來。例如基礎功能中注冊、實名認證,支付等功能
(2)每個業務功能收集的個人信息類型說明
每個業務功能要分別明示其收集的個人信息的類型、目的,即用途說明。用途說明,可以對收集的每種個人信息分別說明使用用途,也可以幾個信息為同一用途。
但是,對每個業務功能都應說明其所收集的個人信息類型,不應出現多個業務功能對應一類個人信息的情況。 很好理解,業務功能項與收集的個人信息必須是1對1或1對多的關系,不能將多個業務功能合并在一起說明。這里面“不能合并”也有一定的尺度,連續的一組操作動作的功能可以作為一個功能項進行說明,比如注冊的時候就要求實名,那么注冊和實名是可以一起說明。再或者登錄時候的驗證碼也可以作為登錄功能項的一部分。
在《個人信息安全規范》“5.5個人信息保護政策”中也提到“收集、使用個人信息的業務功能,以及各業務功能分別收集的個人信息類型。涉及個人敏感信息的,需明確標識或突出顯示”
個人敏感信息類型進行顯著標識。文字顏色一般為黑色,特別注意不能使用灰,淺黃等不明顯的顏色。對強調文字需要加粗,斜體,下劃線等重點標識,比如個人敏感信息。注意重點標識僅對如身份證、賬號等具體字樣,不能加粗整句。
還有一點需要注意,業務功能和收集的個人信息類型都不能使用“等”這類字樣;也就是說必須明確到底有多少功能,到底收集多少類信息。因此,在實踐中,APP隱私政策要明確列出收集的信息;在實際的合規檢查中,在收集信息方面一般是不應該有“等”這樣的字樣出現,否則不符合標準的要求。
(二)用戶授權
在《個人信息安全規范》“5.4 收集個人信息時的授權同意”中要求“獲得個人信息主體的授權同意”,我們理解分為兩個方面,一個是隱私政策授權,一個是系統權限授權。
1. 隱私政策授權
隱私政策授權即表示用戶同意隱私政策中的條款內容,所以上文中收集信息類型就非常重要,用戶沒有同意收集的信息是不能收集的。隱私政策中的內容可以說是App說有功能能否執行的前提,所以在用戶首次啟動App時就要對隱私政策進行授權。
隱私政策授權應在App運行之初進行提示隱私政策,這個提示中應該有3個元素:隱私條款內容的重點介紹;隱私政策文件訪問鏈接;用戶是否同意隱私政策的選項。
隱私提示是對條款的概要,內容簡練,突出重點:
第一,要說明為了提供服務,我們需要收集和使用個人信息;
第二,要說明我們主要會使用哪些系統權限,如位置,照相機等;
第三,要說明用戶的權利,如撤銷授權等。
一般注冊時應當要設計隱私授權的單選框,不可以默認同意。提供匿名狀態訪問的App,匿名狀態用戶無需同意全部的隱私條款,即App只能收集少量匿名訪問必要的信息,此時如果用戶要進行下單、登錄等操作將退出匿名狀態,App需要對其進一步收集信息,比如訂單、登錄憑證等,此時用戶就要授權全部隱私條款。
(1)基本情況解析
App的隱私提示是在App啟動時進行的,也就是說用戶App選擇同意隱私政策前,我們和用戶都沒有達成該協議,所以在此前不應該存在任何收集個人信息的行為。
特別注意,App收集信息一般有通過App程序自動收集、通過系統權限收集、用戶錄入或觸發收集,這三種情況都不應該出現在用戶授權隱私政策前。市場經常遇到的情況:
在隱私政策授權前,申請系統權限如位置權限,存儲權限等;
在隱私政策授權前,App后臺已經收集了手機號,設備信息等。
(2)不可重復提醒
App的隱私提示在App首次啟動進行彈窗,當用戶同意或拒絕后都不應該再次頻繁彈窗。這里推薦的方案和原則如下:
僅在第一次啟動App時進行彈窗;
如果,用戶拒絕隱私政策且不能為用戶提供服務(App必須關閉)的情況,在用戶下次啟動App時還可以進行彈窗。
(3)隱私提示同意和拒絕的處理方式
隱私政策需要用戶明確同意該協議后方可生效,但不可以強迫用戶簽訂。所以通常必須為用戶提供同意和拒絕兩個選項。
要求中也有規定不可以有暗示或者傾向性的提示,所以兩個選項需要是均等的排列,也就是不可以默認同意,不可以存在一個按鈕很難發現另一個按鈕。
用戶點擊“同意”后,視為隱私政策生效,可以正常進入App,并按照政策內容對個人信息進行收集和使用。
用戶點擊“拒絕”后,提示用戶如果僅瀏覽必須提供哪些信息,再次拒絕就退出App。
2.系統功能開啟
部分個人信息是通過系統功能獲取的,如位置信息,通訊錄等等。業務功能需要使用某個系統功能時,就需要用戶進行授權了。在《個人信息安全規范》“5.3多項業務功能的自主選擇”中提到“不應通過捆綁產品或服務各項業務功能的方式,要求個人信息主體一次性接受并授權同意各項業務功能收集個人信息的請求;”其實這里也是一樣,不能一次授權所有權限,需要“一事一議”。
Andriod和IOS系統都會有系統權限提示,所以用戶同意和拒絕可以使用系統彈窗的方式。
(1) App啟動時彈窗的原則
如果App啟動時必須要獲取的權限,可以在App啟動時進行獲取,但要注意的是:
系統功能開啟的彈窗要在隱私政策彈窗后
App彈窗說明使用目的,需要在系統的彈窗之前
為避免用戶開啟彈出太多彈窗,可以將系統功能授權說明在一個頁面統一說明,但是必須逐個授權
主流程如下:
App啟動->隱私政策彈窗->系統功能授權提示(App彈窗)->系統功能彈窗(系統彈窗)
用戶全部選擇“同意”:申請權限開啟,下次啟動不會再次彈窗;
用戶部分選擇“同意”,部分選擇“禁止”,勾選不再提示:同意的權限開啟,下次啟動不會再次彈窗;
用戶全部選擇“禁止”:不開啟任何權限,下次啟動也不會彈出窗口;
用戶部分選擇“同意”,部分選擇“禁止”:同意的權限開啟,下次啟動時仍需要再次彈窗。
【注】這里更好的做法是,為每個系統功能再制作一個單獨彈窗,下次啟動App時,對選擇“禁止”的功能單獨彈窗。這樣相當于每個系統功能關聯了一個App的提示窗口,如果系統功能彈窗不再彈出,App的提示窗口也不會再彈。等于App首次啟動做了1次特殊的彈窗處理,后續無論是App啟動時,還是在用戶使用某些功能時的系統功能調用都使用同一個邏輯判斷。
(2) App使用功能時的彈窗
系統功能的申請應該是完成某個業務場景需要的功能,所以大多數系統功能的申請應該在App某項業務功能啟動時再申請。如識別身份證需要啟動拍照功能,語音搜索會啟動錄音功能,上傳照片會啟動存儲功能等。
(3)IOS更簡化的方案
IOS系統由于可以修改系統功能彈窗的文案,所以可以不需要提示彈窗,也就可以減少一次彈窗,也就提高了用戶體驗。例如修改通訊錄權限的,
Key為NSContactsUsageDescription(或 Privacy - Contacts Usage Description),<string></string>標簽中寫入你想要添加的文案就可以了。
二、對企業要求和企業應盡義務
在《個人信息安全規范》的第六章以后,重點強調的是企業內部對個人信息數據的管理和保護方面的要求。就OTA行業來講,整體的數據流轉使用鏈條比較長,供應商的種類也比較多,對保護個人信息來說是一個比較大的挑戰。
(一) 數據存儲的保護方法
(1) 數據存儲地域和存儲期限
在《個人信息安全規范》“個人信息保存時間最小化”原則中,要設立數據的保存期限,并對超期的數據進行刪除或匿名化處理。
目前存儲期限的具體時間沒有統一的明確標準,目前信息存儲時間主要考慮到兩個方面一個是用戶體驗,比如用戶查詢歷史數據的需要,二是大數據時代,歷史數據對企業自身也存在較大價值,如用戶喜好,購買傾向等分析,我們針對行業特點認為:
在OTA明確的存儲期限為10年-20年,是一個相對較長的周期,因為旅游自身為低頻消費場景,很多用戶可能每年的訂單記錄也就1-2條,周期太短會嚴重影響用戶查詢歷史信息的便利性。
(2) 個人信息存儲安全
在《個人信息安全規范》“6.3個人敏感信息的傳輸和存儲”中,規定了“傳輸和存儲個人敏感信息時,應采用加密等安全措施” ,在數據安全領域中加密,匿名化等技術措施也是數據保障的基礎能力。
數據傳輸加密:對于web端通常會使用HTTPS等安全協議進行傳輸。
數據存儲加密:線上數據加密一般會對結構化數據的某幾個敏感字段加密,比如含有個人隱私信息的字段。數據庫存儲加密的三種方式:
開源的加密組件,如Key Management Service(KMS),通過開發SDK或集成至數據庫中間層實現自動加解密。
數據庫自身功能,如Mysql加密解密函數AES_ENCRYPT(),AES_DECRYPT();SQL Server加解密函數dbo.EncryptByPassPhrasePwd,dbo.DecryptByPassPhrasePwd。
商業數據加解密產品,有需要的可以自行了解一下,但是注意一定要使用國密算法。
數據匿名化處理一般用于用戶注銷賬戶,刪除數據時后臺歷史數據的處理,因為這些數據可能與企業其他數據存在關聯,或后續用戶經營統計不能直接刪除;還有一種場景是在線數據導入大數據平臺進行離線分析和操作時,應將數據進行匿名化。
收集個人信息后,建議將數據匿名化或去標識化,并將該信息與可用于恢復識別個人的信息分開存儲(一般存儲至大數據平臺)。數據加工時,優先使用匿名化的數據,并加強對個人信息的訪問控制,這樣可以很好的控制個人隱私泄露的場景。
(二) 個人信息使用
(1) 數據安全訪問控制,權限分離
*在《個人信息安全規范》“7.1 個人信息訪問控制措施”中,對訪問進行了非常詳細的要求,我們總結其關鍵點就是權限控制。 *我們在實踐中主要是針對企業內部的數據訪問機制,需要遵循最小權限原則,即用最少的人訪問最少的數據。
常見的場景:
后臺系統訪問和獲取數據的權限控制措施,系統統一認證鑒權
應用系統之間數據接口的權限管控,尤其是跨業務線,跨項目的情況
數據提取和拷貝機制
大數據平臺,在線數據分析
辦公網數據管控(桌管,零信任,線上文檔編輯工具)
兜底方案:DLP,數字水印,數據染色,日志審計系統等
(2) 數據顯示脫敏
在《個人信息安全規范》“7.2個人信息的展示限制”中規定“個人信息控制者宜對需展示的個人信息采取去標識化處理等措施”。
一般永久性脫敏顯示,在用戶端查看身份證,手機號等敏感信息時,可以隱去中間幾位,避免由于賬號丟失造成的泄露。
數據遮罩也是一種展示限制措施,主要用于系統后臺,一般工作人員需要查看相關信息的情況,通過埋點日志可以記錄所有查看過個人數據的行為,用于審計和溯源。
(3) 個性化展示
在《個人信息安全規范》“7.5個性化展示的使用”中規定在個性化展示的同時,“應當同時向該消費者提供不針對其個人特征的選項”。首先個性化展示和廣告推送是指根據用戶個人信息,偏好等為其推送的有個人傾向的信息,在OTA行業中,根據用戶的出行偏好推薦可以極大的為用戶提供搜索便利。主要分為推送、展示信息和廣告類信息。
在App的設計上,應提供此類功能的開啟和關閉功能,個性化推送應該包括收集個人信息的廣告推送、通知、活動提醒等功能。這也就設計了一個“通用產品展示”規則,當用戶關閉個性化推薦功能時,一律為用戶展示“通用產品”,這是在功能設計之初就應該提前注意的地方。
新版《個人信息安全規范》還是沿用權責一致原則、目的明確原則、選擇同意原則、最少夠用原則、公開透明原則、確保安全原則、主體參與原則,保障公民的合法權益,在標準落地方面做了很多改進,并更加場景化和具體化。在OTA行業中,由于上下游鏈條的太長,各主體的安全標準和落地要求難以統一;《個人信息安全規范》的實施也是從國家層面對行業個人信息保護標準的一個整合和促進,能夠推進行業建立生態安全體系,最終保障用戶和企業的合法權益。
