兰台商规 | 个人信息收集：如何配置信息项和收集方案

发布日期：

2023-04-23

个人信息收集相关的法律法规、国家标准和标准相关的技术文件已经日渐完善，但个人信息收集者在撰写隐私政策的收集告知章节，或就特定收集事项在界面或公告进行告知时，经常感到很难准确地列举出具体信息项并进而制定收集方案。为此，笔者结合在具体场景中曾与收集者们讨论的问题及解决方案，整理形成本文，希望在确定收集的信息项和组合收集方案方面能够提供一些实操层面的参考建议。

一、确定个人信息收集的准确信息项

个人信息收集者确定收集方案的第一步应是明确信息项的准确名称，并确保自身在各场景中使用的名称一致，如涉及与第三方的委托处理、共同处理的，也应保障一致性，或至少通过协议及其履行文件来明确不同名称定义体系之间的对应关系。

信息项、信息类型的名称用语可参考GB/T35273-2020《信息安全技术个人信息安全规范》，权限名称则可以参考全国信息安全标准化和技术委员会的TC260-PG-20204A《移动互联网应用程序（App）系统权限申请使用指南》等文件。如果在前述文件中未能找到有助于进一步划分的依据，部分团体标准在此基础上有更细化的分类可供补充参考，比如电信终端产业协会发布的TTAF 050—2022《移动智能终端及应用软件用户个人信息保护实施指南第2部分：个人信息分类分级》中可供参考信息分类、信息项名称。

<图例1>

兰台商规 | 个人信息收集：如何配置信息项和收集方案

此外，如果同一业务功能允许通过不同方式收集同一项信息，比如允许用户自行填写也可以打开权限后识别填写，那么也应注意分别澄清。如何捋顺获取信息的权限名称、信息与权限的对应逻辑、一般权限与特殊敏感权限等问题，可参考文章《App如何通过权限收集个人信息》[1]，也可进一步参考团体标准TTAF 051-2021《移动智能终端及应用软件用户个人信息保护实施指南第5部分：终端权限管理》，其中对权限名称、权限敏感度，以及权限与信息的对应关系也有较为详细的介绍。

<图例2>

兰台商规 | 个人信息收集：如何配置信息项和收集方案

......

兰台商规 | 个人信息收集：如何配置信息项和收集方案

二、个人信息、敏感个人信息在识别时应考虑信息组合识别

法律法规要求收集者对信息的告知不得采取一揽子告知的方式，应逐项告知，但在判定个人信息、敏感个人信息时，却需要注意不能完全依单项判定。某些信息项单独出现时，按通常理解很难认定它足以识别到特定个人，但一旦组合识别是可以判定的，当然也不乏兼顾“关联说”对个人信息范围判定的影响，实践中很多平台将这类信息作为个人身份信息的一部分处理，如证件类型与有效期、特定验证码、操作记录等等。若该项信息可能导致收集的信息组合提升敏感度成为敏感个人信息，还应一并遵守对敏感个人信息的收集要求。

• <例1>淘宝网《隐私政策》[2]对于操作记录、搜索记录、购物车加购记录，按照个人信息的标准进行了收集前告知，并告知了实现控制的路径。

二、信息收集及使用……

（一）帮助您成为我们的会员及账户管理……

（二）向您展示商品或服务信息

1. 浏览

当您浏览淘宝网时，您可以选择对感兴趣的商品、店铺、频道、直播间、内容（及内容创作者进行收藏/订阅/添加/关注/分享/点赞操作，我们会收集您的操作记录用于实现前述功能及其他我们明确告知的目的。

您可以通过“我的淘宝”—“收藏”/“订阅店铺”/“足迹”/“关注”等查看及管理您的操作记录信息。

2. 搜索

当您使用搜索功能（包括图片、语音搜索）时，我们会收集您的搜索记录，包括搜索内容（搜索词、图片、语音信息）、浏览记录/时间、搜索时间/次数，并根据您所使用功能的必需，申请麦克风权限或相机、相册权限。

为了提供高效的搜索服务，部分前述信息会暂时存储在您的本地设备端，并向您展示搜索历史记录。

请您理解，单独的搜索词语信息无法识别您的个人身份，其不属于您的个人信息，因此我们有权以其他的目的对其进行合理使用。

（三）帮助您完成交易

1. 购物车

当您使用购物车功能时，我们会收集您对商品的加购信息，并会使用您的订单信息以优化您的购物体验（如进行降价/优惠提醒、常购商品的筛选、特定购物车分享链接的推荐等）。

• <例2>渣打银行《个人网上银行隐私政策》[3]，对证件有效期按照个人敏感信息的要求进行字体加粗体的显著提示。

一、我们如何收集和使用您的个人信息……

（一）我们如何收集您的个人信息

在您使用本网银服务的过程中，为了依法合规地向您提供相应产品及服务、提升改善我们的服务质量、保障您的账户安全及资金安全以及履行法定义务，我们会在下述情况下，按照合法、正当、必要的原则收集您在使用服务过程中主动输入或因使用服务而产生的信息：

1. 如您为本行借记卡用户，当您注册本网银账户时，我们首先会验证您在我行登记的用于接受短信验证码的手机号、借记卡号及其交易密码（您找回网银用户名及密码时亦须提交上述信息）以及网银初始用户名及网银初始密码，之后您需要自行设置新的网银用户名及密码完成网银注册；我们收集这些个人信息以完成身份验证、用户注册以及法律法规要求的反洗钱义务。

如您开立本行II/III类账户并注册本行网银，根据我国法律法规关于实名认证的相关要求，我们须收集您的姓名、证件号码、性别、民族、生日、地址、证件有效期、证件正反面照片、人像信息，并将您的姓名、证件号码与人像信息发送至合法的第三方机构验证您的身份，验证完成后自动完成审核。

• <例3>中国人寿《中国人寿集团互联网平台用户隐私保护政策》[4]，对证件类型、证件有效期按照个人敏感信息的要求进行字体加粗体的显著提示。

1. 我们可能收集的信息

……

1.2 您在中国人寿综合金融 APP使用我们的服务时主动提供的信息：……

1.2.6 如您使用快捷开户时，您需要提供以下个人信息：中文姓名、证件类型、证件有效期、证件号码、出生日期、性别、国籍、职业、预留信息、交易密码、联系方式（电子邮箱、手机号码、通讯地址、邮政编码）、税收身份、推荐人。

《个人金融信息保护规范JR/T 0171-2020》（简称“《金融信息保护规范》”）在一定程度上也支持了对信息组合按整体去考虑敏感度的观点，如其在“4.2 个人金融信息类别”部分也提到：“两种或两种以上的低敏感程度类别信息经过组合、关联和分析后可能产生高敏感程度的信息。同一信息在不同的服务场景中可能处于不同的类别，应依据服务场景以及该信息在其中的作用对信息的类别进行识别，并实施针对性的保护措施。”

我们可以通过以下收集示例的对比来分析信息组合及其对敏感度判定的影响（X代表有具体内容占位，*代表内容由信息主体或控制者以掩码方式提供）。

拟收集的信息项	可能性示例	个人识别度判定	敏感度判定	待收集的信息组合综合判定
姓名	张某某	×	×	非个人信息
姓名、证件有效期	张某某，证件有效期X年X月X日-X年X月X日	×	×	非个人信息
姓名、证件类型	张某某，身份证	×	×	非个人信息
姓名、证件号码	张某某，11011X19 XXXX220025	√	√	个人信息，敏感个人信息
姓名、证件号码	张某某，XXXX5036	√	√	个人信息，敏感个人信息
姓名、证件类型、证件号码	张某某，身份证，11011X19 XXXX220025	√	√	个人信息，敏感个人信息
姓名、证件类型、证件号码	张某某，护照，XXXX5036	√	√	个人信息，敏感个人信息
姓名、证件类型、证件号码尾号	张某某，身份证，**************0025	×	×	非个人信息
姓名、证件类型、证件号码尾号	张某某，护照，****5306	×	×	非个人信息
姓名、证件类型、证件号码尾号、出生日期	张某某，身份证，11011X19****0025，X年X月X日出生	√	√	个人信息，敏感个人信息
姓名、证件类型、证件号码尾号、出生日期	张某某，护照，****5306 ，X年X月X日出生	√	×	个人信息，敏感个人信息
姓名、证件类型、证件号码尾号、户籍地、出生日期	张某某，身份证，************000025，北京市XX区，X年X月X日生	√	√	个人信息，敏感个人信息

三、收集阶段对“识别”的把握，不必要求已经准确识别到个人身份

《个人信息保护法》第4条以扩张解释的方法理解“识别”概念，在“识别说”的基础上加上了“关联说”的标准，一定程度上扩张了个人信息的范围，没有实质性改变识别说[5]。而对于“识别”标准，不能僵化地理解，个人信息收集者在收集前确认收集的信息项、收集方案时，对于个人信息、个人敏感信息的识别，应理解为“可识别性”、“识别可能性”。司法实践中法院基本均引入了场景理论，在具体的处理情景中评价个人信息[6]。在前期处理规则的文本设计阶段，我们可以这样考虑识别的可能性，比如在未披露国籍情况下，仅凭护照号存在识别到个人的较高可能性，但想要准确确认个人身份，还需要匹配国籍排除不同国籍人员号码重复、姓名重复的低概率情况。此种情况下，不包含国籍的信息项仍可以构成个人信息，并不要求识别结果必须是准确、唯一的。从逻辑上，收集者对于当前是否在收集个人信息、告知什么内容、怎样取得同意、采取何种方式保护等等，都是在收集前确定并进行准备，而非收集到确认个人身份后验证确属个人信息，再告知并取得同意。当然，对于识别可能性的判断要考虑信息处理者的识别成本，在不计成本的极端识别假设下去讨论，将没有实际意义[7]。

确认敏感个人信息，也是同理。作为收集者，从逻辑上不能实际收集到信息并准确判定敏感度后再决定是否采用敏感个人信息的特殊收集流程和“告知-同意”方式，所以建议也采用前述思路进行组合式的判定。凡讨论场景中被收集的信息组合具有被识别为敏感个人信息的可能，那么前期处理规则的文本设计阶段该个人信息组合即应被判定为“敏感”，对这一组合进行收集时应采取对敏感个人信息的特殊收集方式。

四、实例分析信息项组合收集方案的选择

我们可以结合实际场景来进一步讨论如何通过信息项的组合来设计和选取不同的收集方案，以个人信息收集者拟通过银联验证用户身份为例，该场景所需处理的信息项主要包括姓名、证件类型、证件号码、银联卡号、预留手机号、动态码。

收集者收集后提供给银联进行验证的收集方案可以划分为以下三类（X代表有具体内容占位，*代表内容以掩码方式展示*部分无需个人信息主体提供）：

序号	示例	信息项	个人信息	敏感个人信息
一	张某某，身份证，11011X19****0025，银联卡号4300XXXX1234000X123，手机号13XXXXX1234，动态码123456	姓名、证件类型、证件号码、银联卡号、预留手机号、动态码	√	√
二	用户12300，身份证，****19220025，银联卡号****123，手机号13***1234，动态码123456	证件类型、证件号码尾号、银联卡开卡行、银联卡号尾号、预留手机号尾号、动态码	√	×
三	用户12300；银行卡预留手机号13XXXXX1234	预留手机号	√	×

实务中，上述三个方案提供的信息实际都能够获取到银联方“验证通过”或“验证不通过”的结果，但不同方案的信息收集者在收集以及后续提供给银联的这一过程中，对于告知、取得同意、提供方式、信息处理协议、保护能力审查等方面需要遵守不同的规则。方案一收集后提供的信息组合为个人信息，且为敏感个人信息；方案二、方案三提供的信息为个人信息，但综合判定不应构成敏感个人信息，注意方案二的风险，如果提供方的基础业务功能不应收集银行卡号等信息的，选用方案二将可能导致在收集阶段不满足“最小必要原则”。方案三需与银联方建立特定的合作模式配合，由个人信息主体在银联界面直接提供或验证银联现存的姓名、银行卡号、动态码进行验证，也可以取得“验证通过”、“验证不通过”的结果。假设未能与银联等验证类合作方成功建立最优于己方的合作模式的，那么退而选取方案二进行合作，同时注意向用户同步提供其他可供验证的途径，即将方案二作为用户的可选方案，相应信息项作为用户可选的信息项，在一定程度上有利于个人信息收集的合规化判断。

五、确定个人信息组合收集方案应当考虑自身业务功能

信息项及组合收集方案应当满足最小必要原则，个人信息收集者应当结合自身业务功能考虑方案收集信息项的最小、必要范围。对此，可以参考国家互联网信息办公室、工业和信息化部,公安部,国家市场监督管理总局发布的国信办秘字〔2021〕14号《常见类型移动互联网应用程序必要个人信息范围规定》第五条规定的常见的39类App的基本功能服务和必要的个人信息类别。

序号	常见产品（或服务）类别	基本功能服务	基本功能服务必要个人信息
1	地图导航	定位和导航	位置信息、出发地、到达地。
2	网络约车	网络预约出租汽车服务、巡游出租汽车电召服务	1.注册用户移动电话号码； 2.乘车人出发地、到达地、位置信息、行踪轨迹； 3.支付时间、支付金额、支付渠道等支付信息（网络预约出租汽车服务）。
3	即时通信	提供文字、图片、语音、视频等网络即时通信服务	1.注册用户移动电话号码； 2.账号信息：账号、即时通信联系人账号列表。
4	网络社区	博客、论坛、社区等话题讨论、信息分享和关注互动	注册用户移动电话号码。
5	网络支付	网络支付、提现、转账等功能	1.注册用户移动电话号码； 2.注册用户姓名、证件类型和号码、证件有效期限、银行卡号码。
6	网上购物	购买商品	1.注册用户移动电话号码； 2.收货人姓名（名称）、地址、联系电话； 3.支付时间、支付金额、支付渠道等支付信息。
7	餐饮外卖	餐饮购买及外送	1.注册用户移动电话号码； 2.收货人姓名（名称）、地址、联系电话； 3.支付时间、支付金额、支付渠道等支付信息。
8	邮件快件寄递	信件、包裹、印刷品等物品寄递服务	1.寄件人姓名、证件类型和号码等身份信息； 2.寄件人地址、联系电话； 3.收件人姓名（名称）、地址、联系电话； 4.寄递物品的名称、性质、数量。
9	交通票务	交通相关的票务服务及行程管理（如票务购买、改签、退票、行程管理等）	1.注册用户移动电话号码； 2.旅客姓名、证件类型和号码、旅客类型。旅客类型通常包括儿童、成人、学生等； 3.旅客出发地、目的地、出发时间、车次/船次/航班号、席别/舱位等级、座位号（如有）、车牌号及车牌颜色（ETC服务)； 4.支付时间、支付金额、支付渠道等支付信息。
10	婚恋相亲	婚恋相亲	1.注册用户移动电话号码； 2.婚恋相亲人的性别、年龄、婚姻状况。
11	求职招聘	求职招聘信息交换	1.注册用户移动电话号码； 2.求职者提供的简历。
12	网络借贷	通过互联网平台实现的用于消费、日常生产经营周转等的个人申贷服务	1.注册用户移动电话号码； 2.借款人姓名、证件类型和号码、证件有效期限、银行卡号码。
13	房屋租售	个人房源信息发布、房屋出租或买卖	1.注册用户移动电话号码； 2.房源基本信息：房屋地址、面积/户型、期望售价或租金。
14	二手车交易	二手车买卖信息交换	1.注册用户移动电话号码； 2.购买方姓名、证件类型和号码； 3.出售方姓名、证件类型和号码、车辆行驶证号、车辆识别号码。
15	问诊挂号	在线咨询问诊、预约挂号	1.注册用户移动电话号码； 2.挂号时需提供患者姓名、证件类型和号码、预约挂号的医院和科室； 3.问诊时需提供病情描述。
16	旅游服务	旅游服务产品信息的发布与订购	1.注册用户移动电话号码； 2.出行人旅游目的地、旅游时间； 3.出行人姓名、证件类型和号码、联系方式。
17	酒店服务	酒店预订	1.注册用户移动电话号码； 2.住宿人姓名和联系方式、入住和退房时间、入住酒店名称。
18	网络游戏	提供网络游戏产品和服务	注册用户移动电话号码。
19	学习教育	在线辅导、网络课堂等	注册用户移动电话号码。
20	本地生活	家政维修、家居装修、二手闲置物品交易等日常生活服务	注册用户移动电话号码。
21	女性健康	女性经期管理、备孕育儿、美容美体等健康管理服务	无须个人信息。
22	用车服务	共享单车、共享汽车、租赁汽车等服务	1.注册用户移动电话号码； 2.使用共享汽车、租赁汽车服务用户的证件类型和号码，驾驶证件信息； 3.支付时间、支付金额、支付渠道等支付信息； 4.使用共享单车、分时租赁汽车服务用户的位置信息。
23	投资理财	股票、期货、基金、债券等相关投资理财服务	1.注册用户移动电话号码； 2.投资理财用户姓名、证件类型和号码、证件有效期限、证件影印件； 3.投资理财用户资金账户、银行卡号码或支付账号。
24	手机银行	通过手机等移动智能终端设备进行银行账户管理、信息查询、转账汇款等服务	1.注册用户移动电话号码； 2.用户姓名、证件类型和号码、证件有效期限、证件影印件、银行卡号码、银行预留移动电话号码； 3.转账时需提供收款人姓名、银行卡号码、开户银行信息。
25	邮箱云盘	邮箱、云盘等	注册用户移动电话号码。
26	远程会议	通过网络提供音频或视频会议	注册用户移动电话号码。
27	网络直播	向公众持续提供实时视频、音频、图文等形式信息浏览服务	无须个人信息。
28	在线影音	影视、音乐搜索和播放	无须个人信息。
29	短视频	不超过一定时长的视频搜索、播放	无须个人信息。
30	新闻资讯	新闻资讯的浏览、搜索	无须个人信息。
31	运动健身	运动健身训练	无须个人信息。
32	浏览器	浏览互联网信息资源	无须个人信息。
33	输入法	文字、符号等输入	无须个人信息。
34	安全管理	查杀病毒、清理恶意插件、修复漏洞等	无须个人信息。
35	电子图书	电子图书搜索、阅读	无须个人信息。
36	拍摄美化	拍摄、美颜、滤镜等	无须个人信息。
37	应用商店	App搜索、下载	无须个人信息。
38	实用工具	日历、天气、词典翻译、计算器、遥控器、手电筒、指南针、时钟闹钟、文件传输、文件管理、壁纸铃声、截图录屏、录音、文档处理、智能家居助手、星座性格测试等	无须个人信息。
39	演出票务	演出购票	1.注册用户移动电话号码； 2.观演场次、座位号（如有）； 3.支付时间、支付金额、支付渠道等支付信息。

规则与实操总存有一定差距，希望通过不断总结与分享能够争取缩短差距，帮助个人信息收集者正确理解规则，进而结合规则与自身业务情况，有效识别个人信息，合理配置信息项、收集方案，最终实现对个人信息利用和保护的平衡。

[1] 《App如何通过权限收集个人信息》，李佳慧，兰台数据合规事务公众号2022-11-30发布，收录于网络安全与数据合规合集，网址https://mp.weixin.qq.com/s/xUudd_v_MINY-Pzk1us2Yg。

[2] 更新日期：2022年12月9日，网址https://terms.alicdn.com/legal-agreement/terms/suit_bu1_taobao/suit_bu1_taobao201703241622_61002.html，访问时间2023年4月10日。

[3] 本版隐私政策生效日期：2023年03月 01日，发布日期：2023年02月28日，网址https://www.sc.com/cn/bank-with-us/e-banking-terms-conditions/sc-online-privacy-policy/，访问时间2023年4月10日。

[4] 更新日期：2022年9月5日，网址http://www.chinalife.com.cn/chinalife/xytk/yhysbhzc/，访问时间2023年4月10日。

[5] 《论<个人信息保护法>的亮点、特色与适用》，王利明、丁晓东，法学家杂志公众号2021-11-6发布，收录于2021年第6期合集，网址https://mp.weixin.qq.com/s?__biz=MzU0MTQ0NDQ0NQ==&mid=2247486068&idx=1&sn=d87ae31122bc4404b17054e0900ed6ac&chksm=fb289a46cc5f1350ccfb04a493b2d8ae91e45a5685dd8b3e63cd57a6ccb2e35fd1af064c05a6&scene=178&cur_album_id=2136862339504062467#rd，访问时间2023年4月11日。

[6] 《个人信息的界定》，网络法研究，知乎，网址https://zhuanlan.zhihu.com/p/520241517，访问时间2023年4月11日。

[7] 同上。

[8] 需区分粗略位置和精确位置，按照GB/T 35273-2020附录B，精确位置属于敏感个人信息，需要遵循敏感个人信息的处理要求；而综合参考《GB/T41391-2022》附录C.7对于个人信息收集者应考虑操作系统是否允许选择使用应用是允许、单次允许、禁止获取等；以及如果粗略位置信息即可实现功能不应申请访问精确位置信息。

上一篇:兰台国际 | 美国出口管制的背景与框架（二）：管辖行为与管辖原则下一篇:兰·诉｜商品房预售资金冻结与扣划的司法实践