查看原文
其他

新版App收集使用个人信息自评估指南(征求意见稿)逐条对比解读(上)

刘新宇 宋海新 中伦视界 2022-03-20



写在前面

2020年3月19日,全国信息安全标准化技术委员会秘书处发布《关于对<网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南(征求意见稿)>公开征求意见的通知》(信安秘字[2020]13号),对《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南(征求意见稿)》(以下简称“新版《App自评估指南(征求意见稿)》”)公开征求意见。


新版《App自评估指南(征求意见稿)》在其摘要部分,介绍了其系列文件的发展历程和一脉相承的关系,具体如下:


序号

时间

文件名称

文件制定背景

适用范围

1

2019.03.01

《App违法违规收集使用个人信息自评估指南》

App专项治理工作组结合2017年和2018年“隐私条款专项评审”等工作经验

指导App运营者自查自纠

2

2019.12.30

《App违法违规收集使用个人信息行为认定方法》

结合了一年来关于App违法违规收集使用个人信息检测评估工作的经验和规律

为监督管理部门认定App违法违规收集使用个人信息行为提供参考,为App运营者自查自纠和网民社会监督提供指引

3

2020.03.19

《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南(征求意见稿)》

在2019年3月1日版《App违法违规收集使用个人信息自评估指南》的基础上,依据《网络安全法》等法律法规要求,参照《App违法违规收集使用个人信息行

为认定方法》和相关国家标准,结合检测评估工作经验,归纳总结出App收集使用个人信息评估点


供App运营者自评估参考,帮助其持续提升个人信息保护水平


接下来,笔者将通过与《App违法违规收集使用个人信息自评估指南》(以下简称“原《App自评估指南》”)和《App违法违规收集使用个人信息行为认定方法》(以下简称“《App违法违规认定方法》”)对比的方式,分上、中、下三篇,为大家逐条解读新版《App自评估指南(征求意见稿)》六大评估点。


本篇我们将为大家逐条对比解读评估点一“是否公开收集使用个人信息的规则”和评估点二“是否明示收集使用个人信息的目的、方式和范围”。





逐条对比解读


评估点一:是否公开收集使用个人信息的规则

《网络安全法》第41条规定,网络运营者收集、使用个人信息,应当公开收集、使用规则。

《消费者权益保护法》第29条规定,经营者收集、使用消费者个人信息,“应当公开其收集、使用规则”。


【解读】

相较于原《App自评估指南》和《App违法违规认定方法》,新版《App自评估指南(征求意见稿)》首次明确列举了相关要求依据的具体法律条文规定(注:前述规定系对完整条文规定的部分摘录)。根据我们检索威科先行、北大法宝数据库,《网络安全法》第41条规定和《消费者权益保护法》第29条规定,也是2019年600例个人信息相关行政处罚的主要处罚依据,需要App运营者高度重视,避免因违反前述规定而面临潜在的行政处罚风险。


1.1 是否有隐私政策等收集使用规则

a) 在App界面中能够找到隐私政策,包括通过弹窗、文本链接、附件、常见问题(FAQs)等形式,且隐私政策可正常显示。

b) 隐私政策中需包含收集使用个人信息规则的相关内容。

c) 隐私政策文本链接有效,且文本可正常显示。


【解读】

相较于原《App自评估指南》评估点1,新版《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第1.1条的规定,新增了“隐私政策中需包含收集使用个人信息规则的相关内容”,直指实践中出现的形式上设置了隐私政策但隐私政策里面无收集使用个人信息规则的相关内容的问题。


从常见问题看,除前述问题外,本条规制的问题还包括:(1)无隐私政策;(2)隐私政策链接失效;(3)隐私政策链接点击后打开的文本不是隐私政策的内容;(4)隐私政策点击后文本无法正常显示,如只可查看当前页面内容无法滑动查看全文等。


1.2 是否提示用户阅读隐私政策等收集使用规则

a) App需在首次运行或用户注册时通过弹窗等明显方式,提示用户阅读隐私政策。

b) 避免使用灰色字体、缩小字号、键盘遮挡、置于边缘等方式未突出显示隐私政策链接。


【解读】

相较于原《App自评估指南》评估点3、评估点20和《App违法违规认定方法》,新版《App自评估指南(征求意见稿)》强化了“避免使用灰色字体、缩小字号、键盘遮挡、置于边缘等方式未突出显示隐私政策链接”的要求。根据App专项治理工作组公开通报显示,部分App存在采用将字体缩小,颜色变浅且放置在页面最底端的方式展示隐私政策链接,未通过明显方式提示用户阅读隐私政策的问题。


从弹窗页面中隐私政策链接的放置看,一般会采用与弹窗大小相适配的字号,通过加下划线、字体颜色设置成绿色等醒目颜色来突出显示,放置在弹窗的中间或者下方(但不宜放置在下方最边缘处),弹窗内容无遮挡,点击隐私政策链接后即可跳转至正常显示的隐私政策文本。


1.3 隐私政策等收集使用规则是否易于访问

a) 用户进入App主功能界面后,通过4次(含)以内的点击,能够访问到隐私政策。

b) 在App常规交互界面展示隐私政策链接,避免仅在注册/登录界面展示隐私政策链接,或只能以咨询客服等方式查看隐私政策的情形。

c) 隐私政策以单独成文的形式发布,而不是作为用户协议、用户说明等文件中的一部分存在。


【解读】

相较于原《App自评估指南》评估点3和《App违法违规认定方法》,新版《App自评估指南(征求意见稿)》新增了“在App常规交互界面展示隐私政策链接,避免仅在注册/登录界面展示隐私政策链接,或只能以咨询客服等方式查看隐私政策的情形”的要求,直至实践中存在的隐私政策仅在注册/登录时展示,进入App界面后无法找到隐私政策,或者为了找到隐私政策需要翻遍App所有页面才能找到隐私政策,或者为了查看隐私政策需要专门联系客服才可能查看隐私政策等隐私政策难以访问问题。


从建议角度,建议将隐私政策放置在常见、方便寻找的位置,一般宜放置在“我的-设置”或“我的-关于”或“常见问题”的子栏目,在该等位置相对方便用户查找。此外,需要指出的是,隐私政策应向所有用户展示,而非仅向特定VIP用户或其他特定类型的用户展示,否则仍然可能会被认定为隐私政策难以访问。


1.4 隐私政策等收集使用规则是否易于阅读

a) 隐私政策文本文字显示方式(字号、颜色、行间距、清晰度等)不会造成阅读困难。

b) 需提供简体中文版隐私政策。

c) 隐私政策的内容需符合通用的语言习惯,使用标准化的数字、图示,避免出现错别字或有歧义的语句。


【解读】

相较于原《App自评估指南》评估点4,新版《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第1.4条“未提供简体中文版隐私政策”的规定,同时吸收了《信息安全技术 个人信息安全规范》(GB/T 35273-2020,以下简称“《个人信息安全规范》”)第5.5c)的“个人信息保护政策的内容应清晰易懂,符合通用的语言习惯,使用标准化的数字、图示等,避免使用有歧义的语言”。


根据App专项治理工作组公开通报显示,部分App在登录界面中未提供简体中文版的隐私政策。部分APP隐私政策难以阅读,具体表现包括:(1)隐私政策中存在较多错别字、歧义句;(2)文字显示过小、过密:(3)段落划分不明确;(4)文字没有自动换行,需要手动横向滑动才可以阅读完一行文字。


从建议角度,在中国境内运营的App运营者,至少应该提供简体中文版隐私政策,包括登陆时展示链接对应的文本和进入App界面后查看的隐私政策文本。如面向在中国境内的外国人提供服务,可以在提供中文版隐私政策的同时,也放置英语或其他语言版本的隐私政策。从隐私政策文本内容看,应重视文本内容的撰写,建议由法务人员或者数据保护部门工作人员,根据法律法规相关规定,参照《App违法违规认定方法》、新版《App自评估指南(征求意见稿)》和《个人信息安全规范》等文件和国家标准,结合本公司实际情况,制定适用于本公司的隐私政策。制定好隐私政策后,至少应委托公司内部其他法务或者数据保护部门其他工作人员进行文字校对、内容复核,宜委托数据保护专业律师进行专业的优化,避免出现文字错误、歧义句、大段摘抄其他运营者隐私政策而未调整公司名称、与本公司实际情况大相径庭等问题。


1.5 是否公开App运营者的基本情况

a) 隐私政策应对App运营者基本情况进行描述,至少包括组织或公司名称、注册地址或常用办公地址、个人信息保护工作机构或相关负责人联系方式。


【解读】

相较于原《App自评估指南》评估点9,新版《App自评估指南(征求意见稿)》借鉴了《个人信息安全规范》第5.5a)1)条个人信息保护政策内容应包括“个人信息控制者的基本情况,包括主体身份、联系方式”的规定,解决了集团统一隐私政策模式下无法单列某家公司名称的问题,解决了如果必须公布个人信息保护相关负责人联系方式可能给该等负责人造成不必要的电话骚扰等问题,提高了该要求的可执行性。


1.6 是否公开收集使用个人信息的其他规则

a) 隐私政策应说明发布、生效或更新日期。

b) 隐私政策应对个人信息存放地域(境内、境外哪个国家或地区)、存储期限(法律规定范围内最短期限或明确的期限)、超期处理方式进行明确说明。

c) 如果App运营者将个人信息用于用户画像、个性化展示等,隐私政策中应说明其应用场景和可能对用户产生的影响。

d) 如果存在个人信息出境情形,隐私政策中应将出境个人信息类型逐项列出并显著标识(如字体加粗、标星号、下划线、斜体、不同颜色等);如果不存在个人信息出境情形,则明确说明。

e) 隐私政策中应对App运营者在个人信息保护方面采取的措施和具备的能力进行说明,如身份鉴别、数据加密、访问控制、恶意代码防范、安全审计等。

f) 如果存在个人信息对外共享、转让、公开披露等情况,隐私政策中应明确以下内容:①对外共享、转让、公开披露个人信息的目的;②涉及的个人信息类型;③接收方类型或身份。

g) 隐私政策中应对以下用户权利和相关操作方法进行明确说明:①个人信息查询;②个人信息更正;③个人信息删除;④用户账户注销;⑤撤回已同意的授权。

h) 隐私政策中至少提供以下一种申诉渠道:①电子邮件;②电话;③在线客服;④在线表单。

注:相关定义和内容可参考GB/T 35273《个人信息安全规范》。


【解读】

相较于原《App自评估指南》评估点10-17,新版《App自评估指南(征求意见稿)》主要调整了以下两点:


第一点,前述1.6b)条对个人信息存放地域的说明要求,从说明境内境外即可调整为如在境外需要说明是境外哪个国家或地区。此举旨在方便监管部门和社会公众更好地了解个人信息境外存放的具体情况,可以据此判断在该等国家或地区存储个人信息可能面临的安全风险等。


第二点,在前述1.6d)条新增“如果不存在个人信息出境情形,则明确说明”的要求。对于App运营者来说,存在个人信息出境情形,需要按照该条的规定将出境个人信息类型逐项标出并显著标识,不存在个人信息出境情形,也需要在隐私政策中说明“您的个人信息将存储于中华人民共和国境内,不会进行跨境传输”或类似表述。


评估点二:是否明示收集使用个人信息的目的、方式和范围

《网络安全法》第41条规定,网络运营者收集、使用个人信息,应当公开收集、使用规则。

《消费者权益保护法》第29条规定,经营者收集、使用消费者个人信息,“应当公开其收集、使用规则”。


2.1 是否逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等

a) 完整、清晰、区分说明各业务功能所收集的个人信息。隐私政策中所述内容应与App实际业务相符,并逐项说明各业务功能收集个人信息的目的、类型、方式,不应使用“等、例如”等方式不完整列举。

注:业务功能是指App面向个人用户所提供的一类完整的服务,如地图导航、网络约车、即时通讯、网络社区、网络支付、新闻资讯、网上购物、短视频、快递配送、餐饮外卖、交通票务、婚恋相亲、房屋租售、求职招聘、二手车交易、金融借贷等。

b) 如App使用Cookie等同类技术(包括脚本、Clickstream、Web信标、Flash Cookie、内嵌Web 链接等)收集个人信息,应向用户说明使用该类技术收集个人信息的目的、类型、方式。

c) 如App嵌入了第三方代码、插件(如SDK)收集个人信息,应说明第三方类型,及收集个人信息的目的、类型、方式,说明方式包括隐私政策、弹窗提示、文字备注、文本链接等。

d) 如委托的第三方或嵌入的第三方代码、插件直接将个人信息传输至境外的,应明确说明跨境传输个人信息的目的、类型和接收方等。


【解读】

相较于原《App自评估指南》评估点5-7、21-22,新版《App自评估指南(征求意见稿)》主要调整了以下三点:


第一点,吸收了《App违法违规认定方法》第2.1条“未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等”的表述作为新版《App自评估指南(征求意见稿)》第2.1条的表述,将App自身收集使用个人信息的目的、方式和范围和App嵌入的第三方代码、插件进行集中规定。


第二点,细化对于SDK、第三方代码等收集个人信息的规定,强调要求说明第三方类型及收集个人信息的目的、类型、方式,直指实践中普遍存在的SDK违规收集使用个人信息问题。根据App专项治理工作组通报的问题App显示,过半App存在SDK违规问题。对此,建议App运营者:(1)全面梳理App接入的SDK,包括手机厂商SDK、第三方SDK等;(2)与接入的SDK服务商充分沟通或通过SDK服务商公示的服务条款、个人信息保护政策等相关文本了解SDK收集的个人信息类型;(3)将接入的SDK和该等SDK收集的个人信息类型写入隐私政策,通过获得用户对隐私政策的明示同意来获得对于接入SDK和对外提供个人信息的同意。此外,可供借鉴的做法为,部分App已经将接入的SDK的服务条款、隐私政策等相关文本的链接放置在App隐私政策的最后,方便用户快速查看和了解接入的SDK的具体情况。


第三点,新增“如委托的第三方或嵌入的第三方代码、插件直接将个人信息传输至境外的,应明确说明跨境传输个人信息的目的、类型和接收方等”要求。根据App专项治理工作组通报的问题App显示,存在部分App既未经用户同意,也未做匿名化处理,通过客户端嵌入的Crashlytics等SDK将收集Android ID等个人信息传输到境外某服务器。对此,建议在隐私政策中明确说明跨境传输个人信息的目的、类型和接收方等,需要指出的是,这里使用的“接收方”而非“接收方类型”,简单说明接收方类型可能无法满足此处的要求。


2.2 是否以适当的方式通知用户收集使用个人信息的目的、方式、范围发生的变化

a)收集使用个人信息的目的、方式和范围发生变化时,应以适当方式通知用户,适当方式包括更新隐私政策并以信息、邮件、弹窗等方式提醒用户阅读发生变化的条款等。


【解读】

相较于原《App自评估指南》评估点18,新版《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第2.2条“收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等”的规定,将通知用户发生变化的情形限定为“收集使用个人信息的目的、方式、范围发生变化”,不再强调“业务功能变更、个人信息出境情况变更、个人信息保护相关负责人联系方式变更”等情形下的通知。


从文字意思看,此处要求为“应提醒用户阅读”,不再要求获得用户重新授权,似乎可以理解为App运营者App首次运行时获得用户授权后,后续可以随意变更授权文本和内容,而对用户要做的仅仅是告知,该要求有待进一步商榷,具体适用有待监管部门进一步明确。


从建议角度,建议App运营者在收集使用个人信息的目的、方式和范围发生变化时,应更新隐私政策、个人信息查询授权书等授权文本,通过弹窗、推送通知、红点提示、电子邮件、信函、电话等适当方式提醒用户阅读,特别是阅读发生重要变化的条款,并通过用户手动点击确认、手动勾选等方式获得用户的再次授权。


2.3 是否同步告知申请打开权限和要求提供个人敏感信息的目的

a) 在申请打开可收集个人信息的权限时,App应通过显著方式(如弹窗提示等)同步告知用户其目的,对目的的描述应明确、易懂。

注:常见可收集个人信息的系统权限有:

iOS系统:定位、通讯录、日历、提醒事项、照片、麦克风、相机、健康;

Android系统:日历、通话记录、相机、通讯录、位置、麦克风、电话、传感器、短信、存储。

b) 在要求用户提供个人敏感信息(用户身份证号、银行账号、行踪轨迹等)时,App应通过显著方式(如弹窗提示、文字备注、文本链接等)同步告知用户其目的,对目的的描述应明确、易懂。

注:个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)未成年人的个人信息等。(该定义见GB/T35273《个人信息安全规范》3.2节)


【解读】

相较于原《App自评估指南》评估点20,新版《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第2.3条“在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解”的要求,强化了对于打开个人信息权限时和申请个人敏感信息时应单独告知目的,对目的的描述应明确、易懂。需要指出的是,根据本条规定,仅将个人敏感信息的处理规则在隐私政策中告知,已经无法满足要求。


根据App专项治理工作组通报的问题App显示,未同步告知申请打开权限或要求提供个人敏感信息的目的,高居通报问题数量之首,通报存在问题的App中56.32%的App存在该问题。从具体问题看,常见表现形式包括:(1)仅弹窗提示“是否允许XX获取您的设备信息/访问您设备上的照片/获取此设备的位置信息等信息”,未在弹窗页面告知获取前述信息的目的;(2)个人资料填写页面,仅设置身份证号、银行账号等内容的填写框和上传区域,未告知收集该等个人敏感信息的目的。


对于申请可收集个人信息权限,建议App运营者通过弹窗的方式告知收集相应个人信息的目的,例如“XX想访问您的位置,为了向您提供附近的商品、店铺及优惠资讯”,并征得用户的同意。


对于收集个人敏感信息,建议App运营者参照《个人信息安全规范》3.2节和附录B划定个人敏感信息范围,在申请收集用户个人敏感信息时,在用户手动填写页面增加文字说明、弹窗提示、放置文本链接或App主动收集个人敏感信息时通过弹窗提示等方式,告知收集该等个人敏感信息的目的。以文字说明为例,可采取括号标注、下方小字标注等方式,但字体不宜过小以免造成阅读困难。


2.4 收集使用规则是否易于理解

a) 有关收集使用规则的内容应简练、结构清晰、重点突出,避免使用晦涩难懂的词语(如使用大量专业术语)和冗长繁琐的篇幅。


【解读】

相较于原《App自评估指南》,新版《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第2.4条“有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等”的规定,新增收集使用规则应易于理解的要求。


根据App专项治理工作组通报的问题App显示,存在部分App有关个人信息收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解的问题。建议App运营者尽量使用普通用户可以理解的语言和表述方式,避免大量使用技术术语、法律专业术语等说明收集使用规则,隐私政策的内容编排、体例等参考《个人信息安全规范》附录D的模板,确保隐私政策等收集使用规则易于理解。


——(未完待续)——


下篇预告

笔者还将在中、下篇通过与《App违法违规收集使用个人信息自评估指南》和《App违法违规收集使用个人信息行为认定方法》对比的方式,为大家继续逐条解读新版《App自评估指南(征求意见稿)》六大评估点。




The End


 作者简介

刘新宇  律师


上海办公室  合伙人

业务领域:资产证券化与金融产品, 收购兼并, 诉讼仲裁

宋海新  


上海办公室  金融部 

作者往期文章推荐:

《第一时间 | <个人信息安全规范>最新正式稿,你想知道的都在这里》

《迈进2020,拥抱互联网保险》

《人在家中坐,合同线上签——“电子签名”的用武之地》

《第一时间 | <App违法违规收集使用个人信息行为认定方法>逐条对比解读》

《银行跨界电商,可能遇到的法律合规问题有哪些?》

《聚焦<个人信息安全规范(征求意见稿)>十大主要变化》

《敲黑板 !<网络安全漏洞管理规定(征求意见稿)>逐条解读》

《第一时间 | 一文读懂 <个人信息出境安全评估办法(征求意见稿)>》

《逐条解读 | 儿童个人信息保护新规出台》

《互联网贷款导流:业务模式与监管合规》

《地方银保监局下发监管提示函,银行互联网贷款业务路在何方》

特别声明:

以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。


如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。

点击“阅读原文”,可查阅该专业文章官网版。


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存