互联网合规答疑解惑系列 | APP个人信息安全自评估篇
Q
A
App小天才
互联网合规
小博士
Hello,我是互联网合规小博士!“用你听得懂的话,解答你最关心的问题”。我们今天的提问主角是——APP小天才,来吧,先介绍下自己。
大家好,作为一名年青有为的IT精英and公司Leader,我带领团队做过好几款相当成功、广受好评的APP,大家都叫我APP小天才【自豪脸】。但是,最近在公司合规方面我很是头疼,因为听说国家开始大力整治APP违法违规收集个人信息的问题了,今年3.15就曝光了好些个违规APP,小天才我真是看得胆战心惊啊。看着那接二连三发布的政府文件,什么《App违法违规收集使用个人信息自评估指南》《移动互联网应用程序(App)安全认证实施规则》,哦,还有之前的一个听说很重要的文件《信息安全技术 个人信息安全规范》,都老长了,全是晦涩的文字,看着头疼啊,小博士你能用我听得懂的话回答下我最想知道的一些问题么?
当然,“用你听得懂的话,解答你最关心的问题”。让我们进入问答环节吧!
Q1:团队小伙伴催我快点做APP个人信息安全自评估,这个自评估是什么意思?
自评估嘛,顾名思义,就是和国家机构的检查评估相对的概念,是指你们APP运营者自己对你们收集使用客户信息的情况进行自我检查,查出问题了好自己纠正,防止出现违法违规情况咯。
Q2:啥意思,是说法律法规要求必须自评估,不评估就违法了?
不是啦,做这个是帮助你们检查自己有木有符合国家的法律法规和相关的技术标准,并不是法律强制要求做。不评估的话你就不清楚自己是不是有违法违规或不符合国家技术标准的情况啊,就是能帮助你们降低合规性风险的。
Q3:既然不是法律强制要求做的,那为啥小伙伴们都催着我做这个自评估?
那自然是因为做自评估有很多好处啊。首先,它是一种安全预警措施。试想如果你们团队在项目大功告成之后才被检查出来有个人信息安全违规情况,那可能整个项目都要撤掉,所以提前做好自评估有助于你们降低管理和合规成本呢。其次,它是一种重要的合规性证明材料。万一你们被检查或举报发生潜在个人信息安全风险或违规,你们的自评估就可以作为证据证明你们已经采取适当措施试图预防和阻止相关情况发生,这样可以有助于减轻、甚至免除相关责任和名誉损失呀。而且,它是一种很棒的企业形象建设手段。现在的APP用户都可重视自己的个人隐私了,如果向用户说明你们定期会做个人信息安全的评估,那他们肯定会更加信任你们APP啦。
Q4:那确实很重要,这个评估我要找什么人做呢还是自己做也行?
你们可以自己公司内部做,也可以找独立第三方做。如果自己做的话,政府监督机构或者用户有可能会要求你们再提供第三方专业机构对你们内部自评估结果的合理和公正性再出具意见哦。所以呢,开始就委托给独立第三方机构来做这个评估的话,会显得更客观公正些。
Q5:嗯,有道理。这个自评估主要涉及哪些方面呀?
根据《App违法违规收集使用个人信息自评估指南》,评估主要是从隐私政策文本、App收集使用个人信息行为、App运营者对用户权利的保障三个大方面出发,每个方面都有具体的评估项,评估项下面有更细致的评估点和对该点的评估标准。
Q6:晕,又拿官话砸人了,听不懂。其实我就关心我们经常向用户收集的一些信息是不是可以收集的或者收集方式有木有问题,你能直接告诉我答案不?
哈哈,当然,请讲。
Q7:我们希望获得用户的个人电话号码、精准定位信息、通讯记录、网页浏览记录,这很正常吧,可以更好的为用户服务嘛,这样做有没有什么问题呢?
没错,你列举的这些都是看起来很平常的信息,但是,你知道么,根据《信息安全技术 个人信息安全规范》,这些全部属于“个人敏感信息”哦,收集个人敏感信息前需要取得用户的明示同意的!
如果收集这些个人敏感信息是提供APP的核心业务功能所必需的,那你们需要向用户明确告知你们的核心业务是什么,为实现该核心业务需要收集哪些个人敏感信息,如果用户不提供会有什么影响,然后让用户明示选择同意还是不同意。
如果收集这些个人敏感信息不是提供你们APP的核心功能必须的,只是附加功能需要这些信息,那么必须允许用户来选择是否同意收集这些个人敏感信息。假如用户拒绝,你们可以不提供相应的附加功能,但不可以以此为理由停止提供核心业务功能或者降低你们的核心业务功能的服务质量。
Q8:天啊,这些都算个人敏感信息啊,那还有哪些是个人敏感信息呢?
那多了去了,具体的你们可以自己查看《信息安全技术 个人信息安全规范》,其中的附录B对“个人敏感信息”做了明确定义的。
Q9:OK。对了,那是不是非敏感的个人信息我就可以自由收集了?
你想多了,当然不能啊。收集用户个人信息也是需要征得用户授权同意的哦。不过,有一些例外啦,比如从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道;根据个人信息主体要求签订和履行合同所必需的;用于维护所提供的产品或服务的安全稳定运行所必需的,例如发现、处置产品或服务的故障。
Q10:你说的这些例外都好模糊啊,担心我们自己判断不准确咋办?
那就都设置成需要取得用户明示同意呀,降低风险嘛。
Q11:说的是。对了,你一直提到的这个《信息安全技术 个人信息安全规范》是个强制性的法律规定么,就是我们一定要遵守的那种?
其实这个《规范》并不是法律法规,它的地位是“推荐性国家标准”,是国家鼓励遵守的技术标准。根据《中华人民共和国标准化法》,国家标准分为强制性标准和推荐性标准。强制性标准必须执行,推荐性标准国家鼓励采用。但是!由于这个《规范》具有强烈的可操作性,它是国家保证《网络安全法》等法律法规真正落地实施的法宝,相关政府主管监管部门对个人信息处理活动进行监督、管理和评估时的重要依据。So,如果不想被有关部门约谈的话,就乖乖的照着做呗。
Q12:哇塞,原来这个《规范》这么重要呀,那赶紧遵守起来。那这个里面有要求做个人信息安全自评估么?
有呀!里面明确要求个人信息控制者要建立个人信息安全影响评估制度,定期(至少每年一次)开展个人信息安全影响评估哦。
Q13:好的好的,回去就让小伙伴找第三方机构做这个自评估!对了,最近还听说出来个APP安全认证,这一定要做么?
不是啦,这也是自愿的。国家鼓励APP运营者自愿通过APP安全认证,获得安全认证的APP有可能获得搜索引擎、应用商店等的明确标识并优先推荐。
Q14:哦哦,那是不是认证过了,就说明我都是合法合规哒?
也不是哦,取得认证只能说明你被认证的当时是合法合规,且符合推荐性国家标准的(认证的主要依据是《信息安全技术 个人信息安全规范》),但是不代表你之后一直都是哦。所以啊,在获得认证之后,APP运营者也需要定期做自评估并接受认证机构的监督哦。
明白了,谢谢小博士!终于理清了思路,知道该从何处着手应对啦,这就回去找人先做个自评估!
小博士的资料库
Q7:参见《信息安全技术 个人信息安全规范》第5.5条“收集个人信息时的授权同意”。
Q9:参见《信息安全技术 个人信息安全规范》第5.4条“征得授权同意的例外”。
Q11:参见《中华人民共和国标准化法》第2条。
Q12:参见《信息安全技术 个人信息安全规范》第10.2条“开展个人信息安全影响评估”。
Q13:参见《市场监管总局、中央网信办关于开展App安全认证工作的公告》。
Q14:参见《移动互联网应用程序(App)安全认证实施规则》第4.7条“获证后监督”。
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等试听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
作者简介:
合伙人 上海办公室
业务领域:收购兼并, 资本市场/证券, 合规/政府监管, 科技、电信与互联网
长按识别图中二维码,可查阅该合伙人简历详情。
输12
吕皓 律师
上海办公室 公司部
作者简介:
《揭开“等保”面纱 | 一文读懂<网络安全等级保护条例(征求意见稿)>》
点击“阅读原文”,可查阅该专业文章官网版。