App监管再加码:《App违法违规收集使用个人信息行为认定方法(征求意见稿)》公布
一
制定背景
2019年1月,中央网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》(以下简称《公告》),并联合有关单位成立了App违法违规收集使用个人信息专项治理工作组,旨在打击App违法违规收集使用个人信息行为。截至4月16日,举报信息超过3480条,涉及1300余款App。对于30款用户量大、问题严重的App,工作组已向其运营者发送了整改通知。
从举报的问题来看,26%的App没有隐私条款或未在隐私条款中明确收集个人信息的目的、方式、范围;31%的App在申请打开收集个人信息相关权限时,未明确告知用户;20%的App收集与业务功能无关的个人信息,如金融借贷App收集用户通信录;19%的App未经用户同意,向他人提供设备ID、应用程序列表等个人信息;13%的App强制索要与业务功能无关的权限,如计算器、手电筒App强制要求打开地理位置权限。还有一些App存在不支持用户注销账户、更正或删除信息等问题。[1]
四部委高度重视个人信息保护工作,针对当前App强制授权、过度索权、超范围收集个人信息等网民反映强烈的问题,已采取并即将采取出台必要的管理规范和相关标准的形式进行规制[2]。 2019年5月5日,App专项治理工作组发布《App违法违规收集使用个人信息行为认定方法(征求意见稿)》(以下简称《认定方法》)并公开征求意见。该《认定方法》与App专项治理工作组2019年3月发布的《App违法违规收集使用个人信息自评估指南》(以下简称《指南》)一脉相承,但又结合《个人信息安全规范》(以下简称《规范》)以及举报活动中频繁出现的严重违法违规现象,体现出执法机构规范的重点,对于企业评估合规状况,设定自身的合规红线有重大参考意义。
二
正文及解读
《认定方法》规定了主要的App违规情形,以下逐一进行解读。
(一)没有公开收集使用规则的情形
条文 | 对应《指南》评估点 | 法律 依据 | 评析 |
1.没有隐私政策、用户协议,或者隐私政策、用户协议中没有相关收集使用规则的内容; | 1.是否有隐私政策 2.隐私政策是否单独成文 | 《网络安全法》第22条、第41条 《消费者权益保护法》第29条 | 此处所指的“收集使用规则”基本与《指南》中提及的隐私政策一致,同时在一定程度上扩大了范围,也将用户协议中的相关规则纳入其中,实质要求与《指南》关于隐私政策公开性、易读性的要求一致,提出了对于公开收集使用规则的底线要求。 |
2.在App安装、使用等过程中均未通过弹窗、链接等方式提示用户阅读隐私政策,或隐私政策链接无效、文本无法正常显示; | |||
3.进入App主功能界面后,多于4次点击、滑动才能访问到隐私政策; | 3.隐私政策是否易于访问 | ||
4.其他违反公开收集使用规则要求的情形。 | N/A |
(二)没有明示收集使用个人信息的目的、方式和范围的情形
条文 | 对应《指南》评估点 | 法律 依据 | 评析 |
1.收集使用信息的目的违反合法、正当、必要原则,如仅仅以改善程序功能、提高用户体验、定向推送等为目的收集用户个人信息; | 5.是否明示收集个人信息的业务功能 20. 是否向用户明示收集、使用个人信息的目的、方式、范围 2l.若使用Cookie及其同类技术收集个人信息,是否向用户明示 | 《网络安全法》第22条、第41条 《消费者权益保护法》第29条 | 此处所指的“未明示收集使用个人信息的目的、方式和范围”所涉及的授权文本不仅包括隐私政策、亦包括单独的弹窗提示中涉及收集使用用户个人信息的授权文本,文本本身应简明易读,其实质内容应满足合法、正当、必要原则,收集规则发生变化以及涉及到实践中对用户影响最大的个人敏感信息的收集时应明确向用户通知并取得其同意,要求收集信息、调取访问权限时明确、清晰地对应到具体的业务功能。 |
2.没有逐一列出收集个人信息的类型、频率,特别是针对个人敏感信息; | 6.业务功能与所收集个人信息类型是否一一对应 7.是否明示各项业务功能所收集的个人信息类型 8.是否显著标识个人敏感信息类型 20. 是否向用户明示收集、使用个人信息的目的、方式、范围 | ||
3.收集使用个人信息的目的、方式和范围发生变化,未以适当方式通知用户,适当方式包括更新隐私政策并提醒用户重新阅读授权等; | 18.隐私政策更新 20. 是否向用户明示收集、使用个人信息的目的、方式、范围 | ||
4.在申请可收集个人信息的权限时,未告知收集使用的目的,如在申请调阅通讯录时没有说明原因; | 20. 是否向用户明示收集、使用个人信息的目的、方式、范围 | ||
5.每次要求用户提供个人敏感信息时,如身份证号、银行卡号等,未同步实时说明原因; | 20. 是否向用户明示收集、使用个人信息的目的、方式、范围 | ||
6.有关收集使用规则的内容晦涩难懂、冗长繁琐; | 4.隐私政策是否易于阅读 20. 是否向用户明示收集、使用个人信息的目的、方式、范围 | ||
7.其他没有明示收集使用个人信息的目的、方式和范围的情形。 | N/A |
(三)未经同意收集使用个人信息的情形
条文 | 对应《指南》评估点 | 法律 依据 | 评析 |
1.未经同意就开始收集个人信息,如App首次运行、提示用户阅读隐私政策前就开始收集个人信息; | 20. 是否向用户明示收集、使用个人信息的目的、方式、范围 23.收集个人信息前是否征得用户自主选择同意 | 《网络安全法》第22条、第41条 《消费者权益保护法》第29条 | 本部分旨在实现用户的选择同意原则,列举了未经过授权环节即收集个人信息以及超限收集(实际收集情况与隐私政策及其他授权文本不符)的显著违规现象,以及容易引起用户反感的:明确拒绝之后依然继续收集或持续索要授权,未经同意或者未使用APP时仍持续收集和擅自修改权限设置的情形。对于使用行为中利用用户信息进行定向推送的退出机制亦做出了规定,这一点与《规范》的修订版本以及《互联网个人信息安全保护指南》的相关规定有密切联系。 |
2.用户明确拒绝后,仍收集个人信息,如用户不同意被收集地理位置信息时仍然收集; | 28.是否在用户明确拒绝后继续索要权限、打扰用户 | ||
3.实际收集使用的个人信息超出用户授权的范围; | 25.实际收集的个人信息类型是否超出隐私政策所述范围 | ||
4.利用用户信息和算法定向推送新闻、广告等,未提供终止定向推送的选项; | 11.个人信息的使用规则[3] | 《电子商务法》第18条 | |
5.未经用户同意,私自调用可收集用户个人信息权限; | 23.收集个人信息前是否征得用户自主选择同意 26.收集与业务功能有关的非必要信息,是否经用户自主选择同意 | 《网络安全法》第22条、第41条 《消费者权益保护法》第29条 | |
6.在未打开或使用App时,App后台调用用户个人信息; | 27.是否收集与业务功能无关的个人信息 | ||
7.未经用户同意私自更改用户设置的权限,包括App更新时将用户设置的权限恢复到默认状态; | 23.收集个人信息前是否征得用户自主选择同意 26.收集与业务功能有关的非必要信息,是否经用户自主选择同意 29.App更新是否更改系统权限设置 | ||
8.用户明确拒绝App收集个人信息请求,App仍频繁征求用户同意,干扰用户正常使用; | 28.是否在用户明确拒绝后继续索要权限、打扰用户 | ||
9.违背与用户约定,不按隐私政策中的收集使用规则收集使用个人信息; | 25.实际收集的个人信息类型是否超出隐私政策所述范围 | ||
10.其他未经同意收集使用个人信息的情形。 | N/A |
(四)违反必要性原则,收集与其提供的服务无关的个人信息的情形
条文 | 对应《指南》评估点 | 法律 依据 | 评析 |
1.实际收集的个人信息类型与现有业务功能无关,无关是指该类信息并非实现现有业务功能所必需; | 27.是否收集与业务功能无关的个人信息 | 《网络安全法》第22条、第41条 《消费者权益保护法》第29条 | 此处所指“与其服务无关的个人信息”主要是为了实现必要性原则的落地,几个条文并未区分核心、附加业务功能,而是直接采用“现有业务功能”的说法,禁止超出现有业务功能所必须的个人信息收集行为:收集频率非必要、申请无关信息收集权限;同时,对于易强迫用户做出选择的消极的收集行为进行了明确:一揽子授权、拒绝时影响其他业务功能、新增功能扩张同意范围时要求统一接受、游客模式拒绝提供所有服务。 |
2.在用户使用业务功能时,收集个人信息的频率等超出所使用的业务功能需要; | 25.实际收集的个人信息类型是否超出隐私政策所述范围 26.收集与业务功能有关的非必要信息,是否经用户自主选择同意 27.是否收集与业务功能无关的个人信息 | ||
3.捆绑多项业务功能一揽子征求用户同意,不同意则不提供任何单一服务; | 24.是否存在将多项业务功能和权限打包,要求用户一揽子接受的情形 | ||
4.当用户拒绝某一业务功能收集个人信息的请求时,App停止提供其他业务功能; | 23.收集个人信息前是否征得用户自主选择同意 | ||
5.如提供未经注册即可使用(如支持浏览、游客模式)的业务功能,用户若不同意收集此类业务功能所需以外的个人信息,App拒绝提供所有服务; | 23.收集个人信息前是否征得用户自主选择同意 24.是否存在将多项业务功能和权限打包,要求用户一揽子接受的情形 27.是否收集与业务功能无关的个人信息 | ||
6.新增业务功能时,需收集的个人信息超出原有同意范围,如用户不同意收集,则拒绝提供原有业务功能,新增业务功能将取代原有业务功能的除外; | 23.收集个人信息前是否征得用户自主选择同意 | ||
7.申请打开可收集无关信息的权限; | 27.是否收集与业务功能无关的个人信息 | ||
8.其他收集与其提供的服务无关的个人信息的情形。 | N/A |
(五)未经同意向他人提供个人信息的情形
条文 | 对应《指南》评估点 | 法律 依据 | 评析 |
1.未经同意,且未做匿名化处理,从客户端直接向第三方提供个人信息,包括App客户端嵌入第三方代码、插件(如sdk)等方式向第三方提供; | 22.若存在嵌入第三方代码插件收集个人信息的功能,是否向用户明示 | 《网络安全法》第42条 《消费者权益保护法》第29条 | 本部分主要是对于未经同意向他人提供个人信息这一高危处理动作进行规制,明确界定两种违规方式:未经同意且未经匿名化处理直接提供和间接提供个人信息给第三方。 |
2.数据传输至App服务器后,未经同意,且未经匿名化处理,向第三方提供其收集的个人信息; | 14.对外共享、转让、公开披露个人信息规则 | ||
3.其他未经同意向他人提供个人信息的情形。 | N/A |
(六)未按法律规定提供删除或更正个人信息功能的情形
条文 | 对应《指南》评估点 | 法律 依据 | 评析 |
1.未提供更正、删除个人信息,注销用户账号的功能; | 15.用户权利保障机制 30. 是否支持用户注销账号 31. 是否支持用户查询、更正或删除个人信息 | 《网络安全法》第43条、第49条 《电子商务法》第24条、第59条 | 本部分主要对于法律明确规定的更正、删除、注销账号的权利进行了规定,明确未提供该等功能、实践中无法保障及时有效落实更正、删除、注销权利的情形均为明确的违规。 |
2.对于提供在线操作方式、客服电话、电子邮件等方式的,进行相关操作未响应的; | 32.是否及时反馈用户申诉 | ||
3.需人工处理的,受理后未在承诺时限内(无承诺时限的,以15个工作日为限)完成核查和处理的; | 32.是否及时反馈用户申诉 | ||
4.更正、删除或注销操作提示完成后,依然未能更正、删除个人信息,注销用户账号的; | 15.用户权利保障机制 30. 是否支持用户注销账号 31. 是否支持用户查询、更正或删除个人信息 32.是否及时反馈用户申诉 | ||
5.其他未采取措施予以删除或者更正的情形。 | N/A |
(七)侵犯未成年人在网络空间合法权益的情形
条文 | 对应《指南》评估点 | 法律 依据 | 评析 |
1. 未经监护人同意,收集使用14 周岁以下(含)未成年人个人信息; | 20. 是否向用户明示收集、使用个人信息的目的、方式、范围 23.收集个人信息前是否征得用户自主选择同意 | 《网络安全法》第22条、第41条 | 《指南》中并未明确提及未成年人个人信息保护的内容[4],该条的设置反映了群众和国家对于未成年人个人信息收集使用的关切,特别是其中涉及的定向推送活动。 |
2. 未经监护人同意,利用14 周岁以下(含)未成年人信息和算法开展个性化推送新闻、时政信息、广告等定向推送活动。 | 11.个人信息的使用规则[5] |
三
评析和建议
通过上述条文的分析,可以发现,本《认定方法》草案较之《指南》,旨在对以下明显的违规行为进行规制:隐私政策不够简明易得;未明示收集使用个人信息目的、方式和范围;违反必要性原则,收集与其提供的服务无关的个人信息;未经同意向他人提供个人信息;未提供删除、更正、注销的权利设置及配套有效的响应机制。在一定程度上对《网络安全法》及《指南》关注的规制重点提出了底线要求。除此之外,《认定方法》草案还格外强调了定向推送活动的选择退出机制和未成年人个人信息保护的内容,其中定向推送活动的选择退出机制与《个人信息安全规范》的修订部分以及《互联网个人信息安全保护指南》所体现的部分条款密切相关,涉及该等业务的企业应密切关注。
综上,我们认为,该《认定方法》草案体现的监管部门的规制重点仍与《指南》保持一致,在于规范个人信息收集中缺乏公示规则、未经同意收集、超限收集、一揽子授权、用户权利保障不足等严重违规现象。随着举报渠道的传播和打击力度的加大,第一批企业已经收到了整改通知,企业应尽快结合《指南》和《认定方法》草案尽快进行高风险点整改和提升,长期可结合《个人信息安全规范》进行数据安全能力和合规能力的综合提高。
原文下载
《App监管再加码:<App违法违规收集使用个人信息行为认定方法(征求意见稿)>公布》
【注]
[1]“四部门抓紧推进App违法违规收集使用个人信息专项治理”,http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057724/n3057732/c6797025/content.html ,访问时间:2019年5月8日。
[2] 如公安部已颁布的《App违法违规收集使用个人信息自评估指南》,正在修订中的《个人信息安全规范》,以及日前市场监管总局下发的《网络交易监督管理办法》(征求意见稿)中关于网络经营者在经营活动中收集消费者信息的规定(第22条)等。
[3]如果App运营者将个人信息用于用户画像、个位化展示等,隐私政策中应说明其应用场景和可能对用户产生的影响。
[4]但该内容在《规范》中有直接提及:“5.5 c)收集年满14的未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意。”
[5] 如果App运营者将个人信息用于用户画像、个位化展示等,隐私政策中应说明其应用场景和可能对用户产生的影响。
End
作者简介
陈际红 律师
北京办公室 合伙人
业务领域:知识产权, 反垄断与竞争法, 科技、电信与互联网
吴佳蔚 律师
北京办公室 知识产权部
作者往期文章推荐:
《管理措施和技术措施的平衡:<互联网个人信息安全保护指南>》
《实施半年后再修订:《信息安全技术个人信息安全规范》应时而变》
《致敬数据合规元年 | 表析《网络安全法》配套法律法规和规范性文件》
《致敬数据合规元年 | 2018《网络安全法》执法案件大盘点》
《他山之石 | 从全球数据跨境流动监管政策看我国相关制度发展》
《盘点2018 | 致敬数据合规元年,网络安全年度法律评论》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。