IMEI是個人數(shù)據(jù)嗎？

在《信息安全技術(shù)個人信息安全規(guī)范》中提出“個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息”并在附錄中舉例個人信息包括網(wǎng)絡(luò)身份標識信息，例如“系統(tǒng)賬號、IP 地址、郵箱地址及與前述有關(guān)的密碼、口令、口令保護答案、用戶個人數(shù)字證書等”。個人敏感信息是指一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全，極易導(dǎo)致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。在附錄B中舉例網(wǎng)絡(luò)身份標識信息包括“個人信息主體賬號、郵箱地址及與前述有關(guān)的密碼、口令、口令保護答案、網(wǎng)絡(luò)身份標識信息、用戶個人數(shù)字證書等的組合”。

但在一家知名網(wǎng)站的隱私政策中說到“設(shè)備信息：我們會根據(jù)您在軟件安裝及使用中授予的具體權(quán)限，接收并記錄您所使用的設(shè)備相關(guān)信息（例如設(shè)備型號、操作系統(tǒng)版本、設(shè)備設(shè)置、唯一設(shè)備標識符、設(shè)備環(huán)境等軟硬件特征信息）、設(shè)備所在位置相關(guān)信息（例如IP 地址、GPS位置以及能夠提供相關(guān)信息的WLAN接入點、藍牙和基站等傳感器信息）及您所授予的設(shè)備權(quán)限使用所獲信息(例如：為豐富用戶使用體驗，聚劃算APP在部分蘋果設(shè)備上基于TrueDepth APIs通過相機權(quán)限獲取您面部在世界坐標系的位置，用于實時計算眼睛所注視設(shè)備屏幕的位置信息并應(yīng)用于互動反饋)。如果您在安裝及/或使用過程中拒絕授予我們相應(yīng)權(quán)限的，我們并不會記錄您上述對應(yīng)的信息?！辈⑦M一步指出“請您理解，單獨的設(shè)備信息、日志信息等是無法識別特定自然人身份的信息。除非將這類非個人信息與其他信息結(jié)合用于識別特定自然人身份，或者將其與個人信息結(jié)合使用，則在結(jié)合使用期間，這類非個人信息將被視為個人信息，我們會將該類個人信息做匿名化、去標識化處理（取得您授權(quán)或法律法規(guī)另有規(guī)定的情況除外）?！睆纳厦婷枋隹梢钥闯?，該網(wǎng)站認為單獨的設(shè)備信息無法識別特定自然人身份的信息，指這種情況下不被認為是個人信息。

那么，具體到手機， IMEI是不是個人信息呢？它是規(guī)范中的網(wǎng)絡(luò)身份標識信息還是無法識別特定自然人身份的信息？

什么是IMEI？

IMEI是國際移動設(shè)備識別碼（International Mobile Equipment Identity）的縮寫，即通常所說的手機序列號、手機“串號”。IMEI在移動電話網(wǎng)絡(luò)中用于識別每一部獨立的手機等移動通信設(shè)備，相當(dāng)于移動電話的身份證。序列號共有15~17位數(shù)字，前8位（TAC）是型號核準號碼（早期為6位），是區(qū)分手機品牌和型號的編碼。接著2位（FAC）是最后裝配號（僅在早期機型中存在），代表最終裝配地代碼。后6位（SNR）是串號，代表生產(chǎn)順序號。最后1位（SP）一般為0，是檢驗碼，備用。國際移動設(shè)備識別碼一般貼于機身背面與外包裝上，同時也存在于手機存儲器中，通過輸入*#06#即可查詢。從上面的描述可以看出，IMEI具有唯一性，和每臺手機之間關(guān)聯(lián)。其中包括了手機設(shè)品牌和型號，生產(chǎn)序號等信息。從這段描述看起來，這是手機的標識，與使用手機的人沒有什么關(guān)系，是不是可以認為這不是個人信息了呢？

IMEI可以做什么？

對于移動運營商來說，IMEI碼大有用途，可以分辨用戶設(shè)備，追蹤用戶地理位置，記錄用戶撥打電話、發(fā)送短信、上網(wǎng)等行為。從移動運營商的角度，通過IMEI就可以對持有擁有這個IMEI號碼的手機的人進行追蹤了。

但絕大部分用戶都不是移動運營商，沒有這樣的網(wǎng)絡(luò)優(yōu)勢，他們會采集IMEI號干什么呢？下面是幾種情況：

1，IMEI碼是手機的唯一代碼，可以用來識別用戶是否更換手機登錄賬號。

2，是想讓應(yīng)用綁定手機。例如，一個app想做一個領(lǐng)獎的活動，每個用戶只能領(lǐng)一次，如果用賬號判斷是不是一個用戶，一個人可能注冊多個賬號領(lǐng)取，但如果用IMEI判斷，每個手機就只能領(lǐng)取一次了。

3，統(tǒng)計用戶數(shù)量

4，精準廣告，一旦知道了你的IMEI，凡是本機上網(wǎng)的行為被上傳到該網(wǎng)站，那么這部手機是喜歡購物還是上網(wǎng)銀，或者是看新聞、炒基金、貴金屬等，都會被網(wǎng)站知道，然后對你精準的投放某些信息或者是廣告。

從上面的描述可以看出，通過IMEI，至少APP可以將獲取的操作信息和手機關(guān)聯(lián)。

如何獲取IMEI信息？

獲取IMEI是一件非常簡單地工作，是一個標準的功能。

在Android中的步驟如下：

1、在AndroidManifest.xml中增加訪問設(shè)備狀態(tài)的權(quán)限：

2、通過上下文設(shè)備獲取到TelephonyManager實例，調(diào)用getDeviceId方法獲取IMEI：

import android.telephony.*;

……

TelephonyManager telephonyManager=(TelephonyManager)

this.getSystemService(Context.TELEPHONY_SERVICE);

String imei=telephonyManager.getDeviceId();

除此之外， 另外，TelephonyManager類還提供了獲取手機其他信息的方法，如：

getLine1Number()：獲取到手機號碼；

getDeviceSoftwareVersion：獲取到Android操作系統(tǒng)的版本；

getSimSerialNumber：獲取到SIM卡唯一編號ID；

getSubscriberId：獲取到客戶ID，即IMSI；

在蘋果手機中，iOS 2.0版本以后UIDevice提供一個獲取設(shè)備唯一標識符的方法uniqueIdentifier，通過該方法可以獲取設(shè)備的序列號，這個也是目前為止唯一可以確認唯一的標示符。好景不長，因為該唯一標識符與手機一一對應(yīng)，所以在iOS5之后該方法就被廢棄掉了，因此iOS5以后不能獲取手機IMEI，但是也是可以通過私有API獲取手機的IMEI號的，但是通過蘋果私有API獲取IMEI號，上架蘋果商店會被拒掉的。 從上面的描述發(fā)現(xiàn)一件有趣的事情，為什么蘋果禁止提供IMEI的API呢？是不是因為可能會泄露用戶隱私？

可以通過IMEI關(guān)聯(lián)到個人嗎？

前面的分析說明，APP有理由獲取IMEI同時獲取IMEI是一件簡單地事情。但IMEI可以關(guān)聯(lián)到個人嗎？ 對于IMEI而言，是與手機一一對應(yīng)的。很少有人會把手機給他人使用，尤其是安裝APP。因此，手機與使用者是一個1：m的關(guān)系，即一部手機只有一個使用者，而一個使用者可能有多部手機。從這個角度，手機和使用者是對應(yīng)的。

從國內(nèi)的操作來看，目前都需要用戶實名認證。實名認證就是把虛擬世界的賬戶和實體世界的人進行對應(yīng)，例如使用手機號碼，微信賬戶等等。因此，如果應(yīng)用APP采集了IMEI，通過IMEI和賬戶的對應(yīng)，就可與實體世界的人關(guān)聯(lián)，即IMEI-手機號一一對應(yīng)。

即使用戶沒有實名認證，但大部分APP的找回密碼都是通過手機驗證碼或郵箱方式進行，意味著存在APP賬戶與手機號的對應(yīng)關(guān)系，因此可以通過IMEI-賬戶-手機號進行對應(yīng)。

?事實上，APP收集IMEI是一個普遍現(xiàn)象。在我使用的手機上就有206個APP在收集手機識別信息，也就是我們說的IMEI。從這個角度來看，IMEI與手機或?qū)嶓w世界的人的關(guān)聯(lián)是普遍存在的。

?什么是可識別數(shù)據(jù)？

?從GDPR第四條的規(guī)定，“個人數(shù)據(jù)”是指與一個確定的或可識別的自然人相關(guān)的任何信息（數(shù)據(jù)對象）。可識別的自然人指可以直接或間接識別的人，特別是通過參考諸如姓名、身份證號碼、位置數(shù)據(jù)、在線身份識別等標識符，或參考與該自然人的身體、生理、遺傳、心理、經(jīng)濟、文化或社會身份有關(guān)的一個或多個因素。因為這部分與Directive 一致，因此WP29的Opinion 4/2007仍然適用。

根據(jù)Opinion 4/2007，個人數(shù)據(jù)的一個要件是已識別或可識別（identified or identifiable’）。已識別指在一個群體中可以區(qū)分出來，而可識別指雖然沒有被區(qū)分，但有方法可以區(qū)分。在WP136中進一步指出，識別可以是直接的或間接的，直接的可能是通過姓名，間接的可以是手機號，車牌，社會保險號，護照號等，或者通過對一些條件的組合縮小所在群體的范圍。從上面的解釋可以看出，可識別的條件并不是說僅需要該數(shù)據(jù)就可以識別，而是只要有這個可能可以存在“唯一地組合”即可。

?從上面的分析，IMEI是可以間接的識別個人，從某種程度上，IMEI和車牌具有同類性質(zhì)，因此毫無疑問是個人數(shù)據(jù)。 不能認為只有在與其他信息組合才可以認為IMEI是個人數(shù)據(jù)，這種唯一性我們已經(jīng)證明了。?