移动设备ID标识符的体系庞杂多样且迭代快速,MAC、IMEI、Android ID、IDFA、OAID、GAID、UUID、UDID等琳琅满目,而各类设备ID与业务实现逻辑又结合紧密。本文主要对与移动设备ID相关的数据合规法律要求、应用商店规则以及业界实践进行总结分析,也对国内外对移动设备ID的合规要求进行对比。
一、移动设备ID标识符分类与特性
笔者参考电信终端产业协会发布的《T/TAF 095-2021 安卓系统补充设备标识技术规范》将标识符分成四类,将工作中常见的设备ID归类到不同目录,同时整理了对应的标识符特性。
注:分类方式参考《T/TAF 095-2021 安卓系统补充设备标识技术规范》
二、设备ID与个人信息的关系判定
我国与美国、欧盟对于设备ID的定义称谓略有不同,中国“设备信息”,美国‘Unique identifier’,欧盟 ‘an online identifier’,但其定义下所指代的标识符是相同的,且各法域下也均有相关定义,无论从中国、美国还是欧盟,设备ID均属于个人信息。
01 我国
《个人信息安全规范》的“个人信息举例”中包括了个人常用设备信息,有:硬件序列号、设备MAC地址、软件列表唯一设备识别码(如 IMEI / Android ID / IDFA / OpenUDID / GUID / SIM卡 / IIMSI信息)等在内的描述个人常用设备基本情况的信息。
参考来源:《个人信息安全规范》附录A
02 美国
“Personal information” (A) Identifiers such as a real name, alias, postal address, unique personal identifier, online identifier Internet Protocol address, email address, account name, social security number, driver’s license number, passport number, or other similar identifiers.
(X) “Unique identifier” or “Unique personal identifier” means a persistent identifier that can be used to recognize a consumer, a family, or a device that is linked to a consumer or family, over time and across different services, including, but not limited to, a device identifier; an Internet Protocol address; cookies, beacons, pixel tags, mobile ad identifiers, or similar technology; customer number, unique pseudonym, or user alias; telephone numbers, or other forms of persistent or probabilistic identifiers that can be used to identify a particular consumer or device. For purposes of this subdivision, “family” means a custodial parent or guardian and any minor children over which the parent or guardian has custody.
参考来源:CCPA 1798.140 – Definitions
03 欧盟
‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;
参考来源:GDPR Art.4 Definitions
“Natural persons may be associated with online identifiers provided by their devices, applications, tools and protocols, such as internet protocol addresses, cookie identifiers or other identifiers such as radio frequency identification tags. This may leave traces which, in particular when combined with unique identifiers and other information received by the servers, may be used to create profiles of the natural persons and identify them.”
参考来源:GDPR Recital 30 of the Regulation
三、我国移动设备ID合规要点梳理
1、重点合规要求汇总
2、合规工作启示
笔者结合国内重点针对移动设备ID要求的相关合规要点进行了一些整理与思考,认为移动ID合规工作的关注点需要有效分配到数据全生命周期。
01 数据采集
产品采集设备ID时,合规工作关注:
A、必要性与最小化原则评估,典型的场景
a.基于安全目的,例如业务风控、网络安全场景,原则上可以采集不可变特性的设备ID,但仍应结合其策略与逻辑来进行必要性判断;
b.基于业务目的,例如广告营销、定向推送、用户画像场景,则应采集可变更特性的设备ID,且不可将其与身份信息或不可变更的标识码关联;
c.最小化判断,包括设备ID的采集类型、数量、频率以及时间节点。
B、明确告知。产品上需要对采集字段的目的、类型、用途等进行梳理和告知,同时需要注意APP自身与SDK均可能采集相关Device信息,典型的营销类、归因类SDK
C、征得同意。产品上需要征得用户同意后对数据进行收集。而落实到实现中的逻辑,则需要注意用户在同意隐私政策前不能采集用户个人信息。开发层面,同样需注意从APP和SDK两个数据采集来源进行限制。
a.对于APP自身,需要在API传参前做好相应字段的梳理,过滤相关的Device ID字段。但值得注意,可能存在一些情况,诸如APP请求《隐私协议》之前需要触发,定位用户设备唯一值的API初始化工作,那么无法避免在同意《隐私政策》前取得一个设备级的唯一参数。对于此类,需要企业考虑更改产品请求《隐私协议》的逻辑或设计采用非原生态设备ID值来进行整改优化;
b.对于三方SDK,通常较难做到自定义的字段级过滤,那么对此的处理方式则需延迟特定SDK的初始化时间,直至用户执行同意操作后。
02 数据存储
该阶段更多关注数据安全问题,主要包括数据存储加密以及存储脱敏,而实现该类方案的完整性和难易度,也较多依赖企业数据治理成熟度的高低。
加密存储
数据加密是保护数据因外部恶意入侵或内部非密钥持有人员盗取情况下,不被明文泄露的有效缓解方法。但实践中,数据加密的难易程度与可行性和企业中的数据存储分布、调用频率与使用方式息息相关。同时结合泄露后影响的大小、可操作性、投入和维护成本来进行决策,如仅根据不同特性的设备ID相比较,加密不可变特性的唯一设备标识符通常具备更多现实意义。而有关加密方案、加密算法以及加密产品的科普介绍,笔者后续将尝试整理《国内外去标识化合规要点及技术方案》的主题文章,在此不过多陈述。
脱敏存储
个人信息脱敏存储并非法律要求,数据脱敏存储并非普适性的数据保护方案,而数据安全解决方案多伴随企业业务架构和技术架构的不同而不同。多数情况,设备ID的内部使用场景并非需要其原始数值,但仍需要借助其唯一性的特征,那么对设备ID进行哈希是一个常见的处置方式。与之类似,企业在其它必要情境下的个人信息治理中,也可选择镜像一份脱敏库,以解决对原始个人信息的高频访问、权限粒度分配不均、动态脱敏成本高等情况。有关脱敏方案、算法的科普介绍,笔者后续将尝试整理《国内外去标识化合规要点及技术方案》的主题文章,在此不过多陈述。
03 数据使用
A、数据内部使用。例如,企业内部的管理看板、业务后台、审核后台等,合规工作注意。
a.对各场景、系统页面展示用户设备 ID的情况做必要性判断;
b.对不同岗位、不同级别做对应的权限分级与控制;
c.特定用户设备 ID字段进行必要去标识化工作后展示。
B、数据外部传输。例如,企业内部的管理看板、业务后台、审核后台等,合规工作注意。
a.合法性基础、必要性与最小原则的判断,典型场景可参考 本章节数据采集阶段介绍、本章节下方的要点梳理表,以及“四、应用商店合规注意要点”;
b.合同与保密协议,明确双方数据安全保护责任与义务;
c.告知与征得同意,满足“双清单”要求;
d.拒绝或联合删除,特定情形下,在用户进行Opt-out或申请注销等情形下,应约束数据接受方做到联动删除或做出相应处置;
e.数据出境,如三方SDK、数据合作商或基础服务等需要关注是否将数据传输或解析至境外,尤其需要结合数据类型、数量、实体性质等相关要素判断处置方式。笔者后续也将尝试整理《国内外数据跨境合规要点及技术监测方案》的主题文章;
f.传输安全,因不同目的进行外传数据的形式可能复杂多样,包括不限于HTTP、SDK、API、FTP、网盘甚至线下等,对此可优先建立统一的流程体系,再拆解不同方式下对应的安全防护、数据防泄露以及审计溯源的不同维度措施。
C、用户权利响应。获取个人信息副本是数据使用过程中典型的用户权益响应项,无论个保法、个人信息安全规范等要求均有明确陈述,我们在此不多做法律要求分析。笔者尝试在这个话题上,从行业惯例与诉讼案例上进行对比分享,以供各位看官参考。
a.行业惯例。行业惯例来看,笔者查询在个人信息副本的In-app功能上,多数企业提供的副本数据类型中并不包含设备ID信息;
b.司法案例。关于唯品会与周某的个人信息保护纠纷案件也于近日有了二审裁决结果。其中,周某诉请披露的字段中,设备信息包括设备名称、设备型号、操作系统和应用程序版本、语言设置、移动应用列表、唯一设备标识符、运营商网络类型等软硬件特征信息,而从唯品会案的一、二审结果来看,法院均判定本案中应提供用以查询复制的个人信息类型中包含设备信息,且具体字段包括设备型号、操作系统版本、唯一设备标识符。
综上,在自动化响应的个人信息副本下载功能中,较多APP并不直接提供设备ID信息,但诉讼案例中,存在个人信息查询、复制、副本下载应包含设备ID信息的判决,且行业惯例与实现成本高低无法作为法定的免责事由的审判结果。
D、安全审计与日志记录。注意对于设备ID的数据增删改、访问、下载的记录,以及用户的同意、撤回和权利响应的记录,从而确保数据处理可审计、可追溯。
04 数据销毁
数据到期
合规工作在制定服务协议、数据保存政策等需要关注特定场景或条件下设备ID类型数据的存储时限。
用户注销
在用户提交注销申请后,对于设备ID应进行删除或匿名化操作,相关操作日志记录可以保存不少于6个月。而现实中不乏遇到出于特定原因需要留存一些特定设备ID的情况,那么需要判断是否属于法律另有规定的情形,或考虑是否可进行匿名化处理后实现目的,严格杜绝拉活或再次使用注销数据的产品行为。
3、典型规范中涉及设备ID的合规点梳理
参考《个人信息安全规范》因ID标识符属于个人信息,故原则上合规注意事项应与个人信息等同。以下主要梳理了国内典型的专门针对设备ID提出要求的规范条目。
四、国内外应用商店规则要点梳理
各大型平台作为“守门人”角色,也同样具备一些对于生态内部的治理规则和要求。部分数据合规工作的职责范围,在关注法律合规的同时也对大型平台规则有所延展。笔者试图整理了国内外典型的应用商店中针对设备ID的规则要求并做了些许对比分析。
A、海外应用商店规则
针对不同设备ID类型进行了其机制和特性的细分与深入延展,更具自主性风格,发现部分规则的门槛明显细于或高于法律要求,重点如下:
a.对于设备唯一硬件标识符,明确要求在大多数情况下,避免使用MAC、Android ID等设备ID;
b.对于匿名设备标识符(广告标识符),明确不得与不可变的设备唯一硬件标识进行关联,并约束了用户在选择拒绝或退出后的行为关联限制;
c.对于其它方面。除了反欺诈和电话服务相关业务,明确建议所有情况下均使用Instance ID和GUID。
B、国内应用商店规则
针对不同设备ID类型,进行了使用场景下的区分与延展,相关要求均有据可依,积极落实国家要求,重点如下:
a.对于设备唯一硬件标识符,需要在用户明确许可的前提下,使用或关联使用该类设备ID;
b.对于匿名设备标识符(广告标识符),分别从用户明确许可、退出、重置、共享等条件下进行了限制。
参考Google、Apple 开发者指引与HUAWEI、VIVO应用商店审核指南,我们进行了以下部分规则要点的梳理,统计时间截止至2022年4月。
五、合规建设中的主要问题
1、合规工作中,碰到移动设备ID标识符的合规评估,怎么办?
从法律合规要求、应用商店规则两个方面进行,两者的要点可分别参考本文三、四章节。
2、合规工作中,遇到超出本文的不认识的设备标识符,怎么办?
化繁为简,以不变应万变。移动设备ID体系庞杂多样,更新迭代飞速,合规工作本就难以穷尽各种可能,但思考立法态度与商店规则,我们需要关注的是设备ID的基本特征和跨APP属性,无论怎样的ID,先归类它的根本属性再进一步判断其合法性与合理性。
3、ATT导致IDFA断崖式下滑,IOS归因怎么办?
对于归因问题,国内与海外生态略有不同。国内多由广告主自主归因,海外基本依赖第三方归因链路,IOS的ATT机制导致IDFA的授权率断崖式下滑,与此同时绕过设备ID的广告归因方案也受到了Apple的限制,后续IOS也提出了SKAN的方案并逐步迭代版本,笔者后续将尝试分享《IOS在后IDFA时代下的SKAN归因方案》的科普学习类文章。另外有关广告生态下的延展,笔者有幸参与过早期国内DSP、SSP与DMP不同领域独角兽的安全审计,也经历了广告从长媒体到短视频一路演变发展,直至大型平台筑起自己的私域花园,对该产业的机制和生态机制颇具兴趣,后续也尝试整理和分享《广告营销生态链的趣味科普与个人信息保护》的主题文章。
作者简介
黑心狐狸:隐私与安全合规领域甲乙方背景,具备法务、安全部门从业经验,现就职头部互联网企业,从事数据合规工作,持有CIPM、CISA、CISP、EXIN DPO、CDPSE、ISO 27000、ITIL、PRINCE2等资格认证。