App数据收集划定红线:《App违法违规收集使用个人信息行为认定方法》解析
制定背景
近期,根据《关于开展App违法违规收集使用个人信息专项治理的公告》,为认定App违法违规收集使用个人信息行为提供参考,落实《网络安全法》等法律法规,国家互联网信息办公室、工业和信息化部、公安部、市场监管总局联合制定了《App违法违规收集使用个人信息行为认定方法》(以下简称《认定方法》),要求结合监管和执法工作实际参考执行。
自2019年1月上述四部委联合发布公告以来, App违法违规收集使用个人信息专项治理工作组动作频频。四部委亦高度重视个人信息保护工作,针对当前App强制授权、过度索权、超范围收集个人信息等网民反映强烈的问题,采取必要的管理规范和相关标准的形式进行规制[1]。但由于《网络安全法》的规定较为概括,实践中存在着诸多灰色地带,企业对于何种行为违反了法律规定无法进行判断。2019年5月5日,App专项治理工作组发布《App违法违规收集使用个人信息行为认定方法(征求意见稿)》(以下简称《征求意见稿》),如今正式发布《认定方法》。该《认定方法》与之前发布的《App违法违规收集使用个人信息自评估指南》(以下简称《指南》)一脉相承,明确App违法违规收集个人信息行为红线,对于企业合规工作具有重大指导意义。
正文解读
较之征求意见稿,《认定方法》规定了主要的App违规情形,以下将结合二者的区别以及近期App专项治理工作组公示的存在收集使用问题的App情形[2]进行重点解读。
一
以下行为可被认定为“未公开收集使用规则”
《征求意见稿》 | 《认定方法》 | 近期案例及评析 |
1.没有隐私政策、用户协议,或者隐私政策、用户协议中没有相关收集使用规则的内容; 2.在App安装、使用等过程中均未通过弹窗、链接等方式提示用户阅读隐私政策,或隐私政策链接无效、文本无法正常显示; 3.进入App主功能界面后,多于4次点击、滑动才能访问到隐私政策; 4.其他违反公开收集使用规则要求的情形。 | 1.在App中没有隐私政策,或者隐私政策中没有收集使用个人信息规则; 2.在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则; 3.隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到; 4.隐私政策等收集使用规则难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等。 | 明确收集个人信息的规则需要体现在隐私政策中,对于App提出了明确需要具备隐私政策,并且强调了首次运行需明显提示用户阅读的要求,最后对于难以阅读的障碍也做出了规定,认定模糊和难以理解也构成“未公开收集使用规则”。 1.**课堂、**贷等App中无法找到隐私政策。 2.**语音等App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策;采用将字体缩小,颜色变浅且放置在页面最底端的方式展示隐私政策链接。 3.*聘等App进入主界面后,多于 4 次点击等操作才能访问到隐私政策。 4.*聊等App隐私政策难以阅读:文字显示过小、过密;隐私政策中存在较多错别字或者歧义句;文字无自动换行。 |
二
以下行为可被认定为“未明示收集使用个人信息的目的、方式和范围”
《征求意见稿》 | 《认定方法》 | 近期案例及评析 |
1.收集使用信息的目的违反合法、正当、必要原则,如仅仅以改善程序功能、提高用户体验、定向推送等为目的收集用户个人信息; 2.没有逐一列出收集个人信息的类型、频率,特别是针对个人敏感信息; 3.收集使用个人信息的目的、方式和范围发生变化,未以适当方式通知用户,适当方式包括更新隐私政策并提醒用户重新阅读授权等; 4.在申请可收集个人信息的权限时,未告知收集使用的目的,如在申请调阅通讯录时没有说明原因; 5.每次要求用户提供个人敏感信息时,如身份证号、银行卡号等,未同步实时说明原因; 6.有关收集使用规则的内容晦涩难懂、冗长繁琐; 7.其他没有明示收集使用个人信息的目的、方式和范围的情形。 | 1.未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等; 2.收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等; 3.在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解; 4.有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等。 | 此处新增了委托或嵌入的第三方收集使用个人信息的明示规定,旨在打击第三方在App上进行隐秘收集的情况;App申请打开权限或者收集个人敏感信息时应同步告知目的,并且额外强调应让用户理解。 1.*家等App未逐一列出嵌入的百度地图、个信互动、微博等第三方SDK收集使用个人信息的目的、类型,该等SDK包括地图类、广告类、统计类等。 2.*聊更新后新增了定制化课单功能,将收集用户的课程记录,但未以任何方式告知用户。 3.**学等App在申请打开电话、存储、日历等可收集个人信息的权限,以及收集用户身份证号、银行账号等个人敏感信息时,未同步告知用户其目的。 4.**信用卡优惠等App规则晦涩难懂。 |
三
以下行为可被认定为“未经用户同意收集使用个人信息”
《征求意见稿》 | 《认定方法》 | 近期案例及评析 |
1.未经同意就开始收集个人信息,如App首次运行、提示用户阅读隐私政策前就开始收集个人信息; 2.用户明确拒绝后,仍收集个人信息,如用户不同意被收集地理位置信息时仍然收集; 3.实际收集使用的个人信息超出用户授权的范围; 4.利用用户信息和算法定向推送新闻、广告等,未提供终止定向推送的选项; 5.未经用户同意,私自调用可收集用户个人信息权限; 6.在未打开或使用App时,App后台调用用户个人信息; 7.未经用户同意私自更改用户设置的权限,包括App更新时将用户设置的权限恢复到默认状态; 8.用户明确拒绝App收集个人信息请求,App仍频繁征求用户同意,干扰用户正常使用; 9.违背与用户约定,不按隐私政策中的收集使用规则收集使用个人信息; 10.其他未经同意收集使用个人信息的情形。 | 1.征得用户同意前就开始收集个人信息或打开可收集个人信息的权限; 2.用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用; 3.实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围; 4.以默认选择同意隐私政策等非明示方式征求用户同意; 5.未经用户同意更改其设置的可收集个人信息权限状态,如App更新时自动将用户设置的权限恢复到默认状态; 6.利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项; 7.以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的; 8.未向用户提供撤回同意收集个人信息的途径、方式; 9.违反其所声明的收集使用规则,收集使用个人信息。 | 对于未经用户同意提出了更明确的界定:征得同意前即收集、拒绝后仍收集或打扰、超范围收集、默示同意、未经同意更改设置、欺诈与诱骗、违反承诺, 均要求用户的同意为真实的意思表示,对于同意的实质和形式是否满足均有反向的规定进行明确,并且在原有的定向推送退出机制的基础上增加了提供撤回同意的途径的要求,充分保障用户的自主选择。 1.*来了等App征得用户同意前就开始收集设备MAC地址等个人信息。 2.*家等App在用户明确表示不同意打开位置权限后,仍频繁征求用户同意,干扰用户正常使用。 4.**贷款导航等App以默认选择同意隐私政策的非明示方式征求用户同意。 |
四
以下行为可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”
《征求意见稿》 | 《认定方法》 | 近期案例及评析 |
1.实际收集的个人信息类型与现有业务功能无关,无关是指该类信息并非实现现有业务功能所必需; 2.在用户使用业务功能时,收集个人信息的频率等超出所使用的业务功能需要; 3.捆绑多项业务功能一揽子征求用户同意,不同意则不提供任何单一服务; 4.当用户拒绝某一业务功能收集个人信息的请求时,App停止提供其他业务功能; 5.如提供未经注册即可使用(如支持浏览、游客模式)的业务功能,用户若不同意收集此类业务功能所需以外的个人信息,App拒绝提供所有服务; 6.新增业务功能时,需收集的个人信息超出原有同意范围,如用户不同意收集,则拒绝提供原有业务功能,新增业务功能将取代原有业务功能的除外; 7.申请打开可收集无关信息的权限; 8.其他收集与其提供的服务无关的个人信息的情形。 | 1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关; 2.因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能; 3.App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外; 4.收集个人信息的频度等超出业务功能实际需要; 5.仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息; 6.要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。 | 此处较之《征求意见稿》的打击捆绑收集的基础强调了必要性原则,打击的对象更为集中,恶性更为严重。 1.**贷款等App申请打开的位置权限与现有业务功能无关。 2.***贷款导航因用户不同意打开非必要的位置权限,拒绝提供所有业务功能。 4. **银行掌上生活等App收集设备IMEI号、IMSI号、地理位置等个人信息的频度超出业务功能实际需要。 5. *聘首次打开App时,强制要求用户输入月薪等非必要个人信息。 6. *点等App将targetSDKversion值设置小于23,要求用户一次性同意开启多个可收集个人信息的权限,用户不同意则无法使用。 |
五
以下行为可被认定为“未经同意向他人提供个人信息”
《征求意见稿》 | 《认定方法》 | 近期案例及评析 |
1.未经同意,且未做匿名化处理,从客户端直接向第三方提供个人信息,包括App客户端嵌入第三方代码、插件(如sdk)等方式向第三方提供; 2.数据传输至App服务器后,未经同意,且未经匿名化处理,向第三方提供其收集的个人信息; 3.其他未经同意向他人提供个人信息的情形。 | 1.既未经用户同意,也未做匿名化处理,App客户端直接向第三方提供个人信息,包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息; 2.既未经用户同意,也未做匿名化处理,数据传输至App后台服务器后,向第三方提供其收集的个人信息; 3.App接入第三方应用,未经用户同意,向第三方应用提供个人信息。 | 此处重点强调的仍为与第三方共享个人信息的要求:同意或匿名化处理。新增接入App接入第三方应用需用户同意方能提供个人信息的要求,平台类App应予注意。 1.**集等App均既未经用户同意,也未做匿名化处理,通过客户端嵌入的极光等SDK向第三方提供地理位置等个人信息。 |
六
以下行为可被认定为“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”
《征求意见稿》 | 《认定方法》 | 近期案例及评析 |
1.未提供更正、删除个人信息,注销用户账号的功能; 2.对于提供在线操作方式、客服电话、电子邮件等方式的,进行相关操作未响应的; 3.需人工处理的,受理后未在承诺时限内(无承诺时限的,以15个工作日为限)完成核查和处理的; 4.更正、删除或注销操作提示完成后,依然未能更正、删除个人信息,注销用户账号的; 5.其他未采取措施予以删除或者更正的情形。 | 1.未提供有效的更正、删除个人信息及注销用户账号功能; 2.为更正、删除个人信息或注销用户账号设置不必要或不合理条件; 3.虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理; 4.更正、删除个人信息或注销用户账号等用户操作已执行完毕,但App后台并未完成的; 5.未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理的。 | 此处较之《征求意见稿》强调了实质性的要求,增加了“有效的”,要求“后台完成”,以及规定不得设置不合理不必要条件。 1.*聊等App未提供有效的注销用户账号功能:客服表示直接退出账号并卸载即可注销,但经测试采取前述操作后,账号并未注销。 2.***贷款导航等App为注销用户账号设置不合理条件:需提交身份证正反面照片、手持身份证照片等信息才允许注销。 5.**ce等App未提供有效的个人信息安全投诉、举报渠道:向提供的举报邮箱发送信息,系统退信称该邮箱不存在。 |
评析和建议
通过对上述条文和近期公布的存在问题的App的通告的分析,可以发现,本《认定方法》对《网络安全法》及《指南》关注的规制重点提出了目前阶段的底线要求。可以预见的是,App收集个人信息的领域,违法与合法界限将会不断清晰,监管机构将会更加深入和细腻地对于App收集个人信息的行为进行规制。
综上,我们认为,该《认定方法》体现的监管部门的规制重点仍与《个人信息安全规范》和《指南》保持一致,在于规范个人信息收集中缺乏公示规则、未经同意收集、超限收集、一揽子授权、用户权利保障不足等严重违规现象,同时强调了收集的必要性、用户的理解和选择自主权、实质保障用户权利实现等内容。2020年将是监管机构深入打击非法收集个人信息乱象的一年,企业应尽快结合《指南》和《认定方法》识别合规红线,内化成企业的合规要求。长期来看,企业应结合《个人信息安全规范》进行深入的合规建设,在监管不断趋严的情况下,提高把控和应对相关风险的能力。
[注]
[1] 如公安部已颁布的《App违法违规收集使用个人信息自评估指南》,正在修订中的《个人信息安全规范》,市场监管总局下发的《网络交易监督管理办法》(征求意见稿)中关于网络经营者在经营活动中收集消费者信息的规定(第22条),以及工信部日前颁布的《工业和信息化部关于开展App侵害用户权益专项整治工作的通知》等。
[2] App治理工作组:“关于61款App存在收集使用个人信息问题的通告”https://mp.weixin.qq.com/s?__biz=MzU3MTgxMDc0Ng==&mid=2247484886&idx=1&sn=c93863eae42b7da67a8f232421eb99f5&chksm=fcdb3303cbacba158aba177466c8d7f12a36ee3ca2185931f473746c8adf6fc91d44028e90dc&mpshare=1&scene=1&srcid=&sharer_sharetime=1577245925586&sharer_shareid=a89780509961d32be8d10820524c9b57&exportkey=ATJRqSxFcSXUlwr6T4ETy38%3D&pass_ticket=B5wJpu%2BtzUW7Qx1gsFUBdNjqKbFXsrGANZK2Qr5HGB9PChUnlG%2FBwBmmnH98wUie#rd ,访问时间:2019年12月30日。
The End
作者简介
陈际红 律师
北京办公室 合伙人
业务领域:知识产权, 反垄断与竞争法, 科技、电信与互联网
吴佳蔚
北京办公室 知识产权部
作者往期文章推荐:
《他山之石:EDPB《关于GDPR第25条设计和默认的数据保护指南》解读(下)》
《他山之石:EDPB《关于GDPR第25条设计和默认的数据保护指南》解读(上)》
《打造中国版的SCC | <个人信息出境安全评估办法(征求意见稿)>评析》
《国家安全更聚焦 |《网络安全审查办法(征求意见稿)》出新招》
《儿童个人信息保护新规出台,与COPPA的明示同意区别有哪些?》
《小数据安全法出台 |《数据安全管理办法(征求意见稿)》解析》
《App监管再加码:<App违法违规收集使用个人信息行为认定方法(征求意见稿)>公布》
《管理措施和技术措施的平衡:<互联网个人信息安全保护指南>》
《实施半年后再修订:《信息安全技术个人信息安全规范》应时而变》
《致敬数据合规元年 | 表析《网络安全法》配套法律法规和规范性文件》
《致敬数据合规元年 | 2018《网络安全法》执法案件大盘点》
《他山之石 | 从全球数据跨境流动监管政策看我国相关制度发展》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。