APP个人信息治理动态解读
自2019年以来, 随着网络安全法的进一步落实、个人信息保护的加强,App专项治理工作进入密集期。2019年5月5日,App专项治理工作组发布了《App违法违规收集使用个人信息行为认定方法(征求意见稿)》,对后台调用个人信息、未成年人信息安全等热点问题进行了回应。上述征求意见稿公开征求意见期截止2019年5月26日。
App个人信息治理发展一览
2016年11月7日,全人常发布《网络安全法》,自2017年6月1日起施行。
2017年12月29日,全国信息安全标准化技术委员会发布《信息安全技术个人信息安全规范》(GB/T 35273-2017)(下文简称“2017规范”)。
2018年1月6日,国家互联网信息办公室网络安全协调局约谈支付宝(中国)网络技术有限公司、芝麻信用管理有限公司的有关负责人。
2018年11月28日,中国消费者协会发布《100款App个人信息收集与隐私政策测评报告》。
2019年1月24日,国家网信办:近期集中清理7873款恶意移动应用程序。
2019年1月25日,中央网信办、工信部、公安部、市场监管总局等四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,四部门委托全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立App违法违规收集使用个人信息专项治理工作组(下文简称App专项治理工作组)。
2019年2月1日,全国信息安全标准化技术委员会发布《信息安全技术个人信息安全规范(草案)》(下文简称“2019草案”)。
2019年2月11日,上海市网信办对23个被约谈App开展“回头看”复测工作。
2019年3月1日,App专项治理工作组制定《App违法违规收集使用个人信息自评估指南》,开通微信、邮箱接收举报,并答记者问。
2019年3月13日,教育部发布《2019年教育信息化和网络安全工作要点》,表明2019年将治理校园App乱象,将与网信部门开展联合行动,重点加强学习类APP的规范管理。
2019年3月15日,市场监管总局、中央网信办发布《关于开展App安全认证的公告》,公布《移动互联网应用程序(App)安全认证实施规则》。
2019年3月16日,工信部要求严厉查处“3·15”晚会曝光的信息通信领域违规行为。
2019年4月12日,国家网信办推进APP乱象整治关停清理违法APP3万余个。
2019年4月18日,新华社报道App工作阶段性进展,App专项治理工作组对于30款用户量大、问题严重的App,已向其运营者发送了整改通知,要求App运营者认真整改、举一反三,及时纠正个人信息收集使用方面存在的问题,并在1个月内将整改情况反馈工作组。逾期不改的,工作组将建议相关部门公开曝光,情节严重的予以下架、停止服务等。
2019年4月21日,2019年全国信息安全标准化技术委员会第一次会议周在宁波举行,会上讨论了《App违法违规收集使用个人信息行为认定方法(征求意见稿)》。
2019年5月5日,App专项治理工作组对《App违法违规收集使用个人信息行为认定方法(征求意见稿)》正式发布,并公开征求意见,征求意见至2019年5月26日。
动态解读
随着App专项治理工作组工作的深入,对App运营者的要求不断提升,尤其在App对个人信息的保护层面,相关机关出台了多部行政性文件:
1. 2019草案:系国家推荐性标准,不具有强制效力,且该规范尚处于草案阶段,2017规范依旧适用。
(关于2019草案与2017规范之间的联系与区别,可以参见我们之前的分析文章:TMT实时解读 | 个人信息安全规范(2019版草案)重要修订一览)。
2. 《App违法违规收集使用个人信息自评估指南》:为App运营者进行自查自纠进行参考。
3. 《移动互联网应用程序(App)安全认证实施规则》:推荐性认证规则。[1]
4. 《App违法违规收集使用个人信息行为认定方法(征求意见稿)》:为自查自纠与评估与处置提供参考。
在实践中该类文件具有重要的参考意义。公安部等相关执法机构,已经参考上述行政性文件作出如约谈、关停等相应的行政行为。据《中国之声》2019年5月9日报道,中央网信办网络安全协调局巡视员兼副局长杨春艳认为,对于App违法违规收集使用个人信息的行为,应“按照《网络安全法》《消费者权益保护法》等依法予以处罚,包括责令App运营者限期整改;逾期不改的,公开曝光;情节严重的,依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。公安机关开展打击整治网络侵犯公民个人信息违法犯罪专项工作,依法严厉打击针对和利用个人信息的违法犯罪行为。”[2]
[1]《关于开展App违法违规收集使用个人信息专项治理的公告》第五条,“开展App个人信息安全认证,鼓励App运营者自愿通过App个人信息安全认证,鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的App。”
[2]中国之声:《App哪些行为属于违法收集信息?认定办法征求意见》,http://www.legaldaily.com.cn/integrity-observe/content/2019-05/09/content_7869342.htm,“杨春艳同时表示,在四部门正在进行的App违法违规收集使用个人信息专项治理过程中,对于存在问题和消费者反映强烈的,APP监管部门将重拳出击。
‘对强制、过度收集个人信息,未经消费者同意、违反法律法规规定和双方约定收集、使用个人信息,发生或可能发生信息泄露、丢失而未采取补救措施,非法出售、非法向他人提供个人信息等行为,按照《网络安全法》《消费者权益保护法》等依法予以处罚,包括责令App运营者限期整改;逾期不改的,公开曝光;情节严重的,依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。公安机关开展打击整治网络侵犯公民个人信息违法犯罪专项工作,依法严厉打击针对和利用个人信息的违法犯罪行为。’”
附:App违法违规收集使用个人信息行为认定方法(征求意见稿)
落实《关于开展App违法违规收集使用个人信息专项治理的公告》,依据《网络安全法》等法律法规,参照国家标准《个人信息安全规范》,制定本文件。
一、没有公开收集使用规则的情形
1.没有隐私政策、用户协议,或者隐私政策、用户协议中没有相关收集使用规则的内容;
2.在App安装、使用等过程中均未通过弹窗、链接等方式提示用户阅读隐私政策,或隐私政策链接无效、文本无法正常显示;
3.进入App主功能界面后,多于4次点击、滑动才能访问到隐私政策;
4.其他违反公开收集使用规则要求的情形。
二、没有明示收集使用个人信息的目的、方式和范围的情形
1.收集使用信息的目的违反合法、正当、必要原则,如仅仅以改善程序功能、提高用户体验、定向推送等为目的收集用户个人信息;
2.没有逐一列出收集个人信息的类型、频率,特别是针对个人敏感信息;
3.收集使用个人信息的目的、方式和范围发生变化,未以适当方式通知用户,适当方式包括更新隐私政策并提醒用户重新阅读授权等;
4.在申请可收集个人信息的权限时,未告知收集使用的目的,如在申请调阅通讯录时没有说明原因;
5.每次要求用户提供个人敏感信息时,如身份证号、银行卡号等,未同步实时说明原因;
6.有关收集使用规则的内容晦涩难懂、冗长繁琐;
7.其他没有明示收集使用个人信息的目的、方式和范围的情形。
三、未经同意收集使用个人信息的情形
1.未经同意就开始收集个人信息,如App首次运行、提示用户阅读隐私政策前就开始收集个人信息;
2.用户明确拒绝后,仍收集个人信息,如用户不同意被收集地理位置信息时仍然收集;
3.实际收集使用的个人信息超出用户授权的范围;
4.利用用户信息和算法定向推送新闻、广告等,未提供终止定向推送的选项;
5.未经用户同意,私自调用可收集用户个人信息权限;
6.在未打开或使用App时,App后台调用用户个人信息;
7.未经用户同意私自更改用户设置的权限,包括App更新时将用户设置的权限恢复到默认状态;
8.用户明确拒绝App收集个人信息请求,App仍频繁征求用户同意,干扰用户正常使用;
9.违背与用户约定,不按隐私政策中的收集使用规则收集使用个人信息;
10.其他未经同意收集使用个人信息的情形。
四、违反必要性原则,收集与其提供的服务无关的个人信息的情形
1.实际收集的个人信息类型与现有业务功能无关,无关是指该类信息并非实现现有业务功能所必需;
2.在用户使用业务功能时,收集个人信息的频率等超出所使用的业务功能需要;
3.捆绑多项业务功能一揽子征求用户同意,不同意则不提供任何单一服务;
4.当用户拒绝某一业务功能收集个人信息的请求时,App停止提供其他业务功能;
5.如提供未经注册即可使用(如支持浏览、游客模式)的业务功能,用户若不同意收集此类业务功能所需以外的个人信息,App拒绝提供所有服务;
6.新增业务功能时,需收集的个人信息超出原有同意范围,如用户不同意收集,则拒绝提供原有业务功能,新增业务功能将取代原有业务功能的除外;
7.申请打开可收集无关信息的权限;
8.其他收集与其提供的服务无关的个人信息的情形。
五、未经同意向他人提供个人信息的情形
1.未经同意,且未做匿名化处理,从客户端直接向第三方提供个人信息,包括App客户端嵌入第三方代码、插件(如sdk)等方式向第三方提供;
2.数据传输至App服务器后,未经同意,且未经匿名化处理,向第三方提供其收集的个人信息;
3.其他未经同意向他人提供个人信息的情形。
六、未按法律规定提供删除或更正个人信息功能的情形
1.未提供更正、删除个人信息,注销用户账号的功能;
2.对于提供在线操作方式、客服电话、电子邮件等方式的,进行相关操作未响应的;
3.需人工处理的,受理后未在承诺时限内(无承诺时限的,以15个工作日为限)完成核查和处理的;
4.更正、删除或注销操作提示完成后,依然未能更正、删除个人信息,注销用户账号的;
5.其他未采取措施予以删除或者更正的情形。
七、侵犯未成年人在网络空间合法权益的情形
1.未经监护人同意,收集使用14 周岁以下(含)未成年人个人信息;
2.未经监护人同意,利用14 周岁以下(含)未成年人信息和算法开展个性化推送新闻、时政信息、广告等定向推送活动。