新版App收集使用个人信息自评估指南(征求意见稿)逐条对比解读(中)
在《新版App收集使用个人信息自评估指南(征求意见稿)逐条对比解读(上)》中,我们为大家逐条对比解读了评估点一“是否公开收集使用个人信息的规则”和评估点二“是否明示收集使用个人信息的目的、方式和范围”。接下来,我们将继续为大家逐条对比解读评估点三“收集使用个人信息是否征得用户同意”和评估点四“是否遵循必要原则,仅收集与其提供的服务直接相关的个人信息”。
逐条对比解读
评估点三:收集使用个人信息是否征得用户同意
《网络安全法》第41条规定网络运营者收集、使用个人信息,应“经被收集者同意”且“不得违反法律、行政法规的规定和双方的约定收集、使用个人信息”。
《消费者权益保护法》第29条规定经营者收集、使用消费者个人信息,应“经消费者同意”且“不得违反法律、法规的规定和双方的约定收集、使用信息”,“经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息。”
3.1 收集个人信息或打开可收集个人信息的权限前是否征得用户同意
a) App收集个人信息前应提供由用户主动选择同意或不同意(包括退出、上一步、关闭、取消等)的选项。
b) 未征得用户同意时,不应收集个人信息或打开可收集个人信息权限。如App首次打开时,在用户未得知收集个人信息的目的前,App就开始收集个人信息。
注:征得同意,指个人信息主体通过书面声明或主动做出肯定性动作,对其个人信息进行特定处理做出明确授权的行为。肯定性动作包括个人信息主体主动作出声明(电子或纸质形式)、主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等。
c) 不应在征得用户同意前,利用Cookie等同类技术、或私自调用可收集用户个人信息的权限等方式收集个人信息。
【解读】
相较于原《App自评估指南》评估点23-24,新版《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第3.1条“征得用户同意前就开始收集个人信息或打开可收集个人信息的权限”和第3.4条“以默认选择同意隐私政策等非明示方式征求用户同意”的规定,强调收集个人信息或打开可收集个人信息的权限前应征得用户明示同意。
根据App专项治理工作组通报的问题App显示,存在部分App在征得用户同意前就开始收集设备ID、MAC地址、用户操作记录、应用程序列表等个人信息。用户同意作为《网络安全法》规定的收集用户信息的法定基础,也是我国现行网络安全生态下App运营者收集用户信息的主要合法来源。App运营者要合法合规收集使用个人信息,就需要能够证明已经获得用户同意,且能够证明用户同意的时间点先于收集使用行为。在未获得用户同意前,不得收集用户任何个人信息。
3.2 用户明确表示不同意收集后是否仍收集个人信息或打开可收集个人信息的权限
a) 用户通过拒绝提供个人信息、不同意收集使用规则、拒绝提供或关闭权限等操作,明确拒绝App收集某类个人信息后,不应以任何形式收集该类个人信息或打开可收集个人信息的权限。
【解读】
相较于原《App自评估指南》,新版《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第3.2条“用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限……”的规定,新增用户明确表示不同意收集后不应收集个人信息或打开可收集个人信息的权限的要求。
根据App专项治理工作组通报的问题App显示,存在部分App在用户撤销电话权限授权,明确表示不同意收集该类个人信息后,仍通过其他途径收集设备IMEI号等个人信息。如果在用户明确表示不同意收集后仍然收集个人信息或打开可收集个人信息的权限,App运营者将失去收集该等个人信息的合法性基础,而且从主观恶性角度分析,容易加剧监管部门对App运营者主观恶性的认定,也容易引起用户的反感、不信任和恐慌,害怕该等App存在更多的暗箱操作,可能导致用户流失。
3.3 用户明确表示不同意收集后是否频繁征求用户同意、干扰用户正常使用
a) 用户明确表示不同意收集后,不应在每次重新打开App、或使用某一业务功能时,向用户频繁(如48小时内)询问是否同意收集个人信息。
b) 用户明确表示不同意收集后,不应在每次重新打开App、或使用某一业务功能时,向用户频繁(如48小时内)询问是否同意打开可收集个人信息的权限。
注:用户选择使用App的某一具体功能触发征得同意的动作,不属于频繁干扰情形。如用户自行选择使用拍摄、扫码等功能,App需获取“相机”权限。
【解读】
相较于原《App自评估指南》评估点28和《App违法违规认定方法》第3.2条,新版《App自评估指南(征求意见稿)》主要调整了以下两点:
首次明确了用户明确表示不同意收集后频繁征求用户同意、干扰用户正常使用的时间认定标准,即“48小时内”,与《个人信息安全规范》附录C.4b)规定的“除非个人信息主体主动选择开启扩展功能,在48h内向个人信息主体征求同意的次数不应超过一次”标准相近。
本条注的部分增加了例外情形,即用户主动使用某业务功能触发征得同意的情况下,不属于对用户的频繁干扰。以举例中拍摄、扫码等获取“相机”权限进行分析,如果用户现在想要使用该等功能但又拒绝提供“相机权限”,拍摄、扫码功能将无法使用。若48小时内用户再次或者多次想使用拍摄、扫码等功能,仍然可以征求获取“相机”权限。但如果用户不想使用拍摄、扫码等功能,只想使用无需“相机”权限的App其他业务功能,但用户每次打开App,均弹窗征求获取用户“相机”权限,就会被认定为频繁干扰用户。
3.4 实际收集的个人信息或打开的可收集个人信息权限是否超出用户授权范围
a) App收集使用个人信息的过程应与其所声明的隐私政策等收集使用规则保持一致。如实际收集的个人信息类型、申请打开的可收集使用个人信息的系统权限、调用系统权限函数的行为应与隐私政策所描述内容一致,不应超出隐私政策所述范围。
【解读】
相较于原《App自评估指南》评估点25,新版《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第3.3条“实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围”的规定,增加了对打开权限的规定,内容未发生实质变化。
隐私政策等获得用户授权的文本公示收集使用个人信息规则,用户对App运营者会按照隐私政策收集使用个人信息会形成合理期待。运营者不应利用隐私政策等用户授权文本宣示合法合规收集使用个人信息,但实际操作中却未按照用户授权范围收集使用个人信息。当面一套背地一套,主观恶意明显,不可取。
3.5 是否以默认选择同意隐私政策等非明示方式征求用户同意
a)在首次运行App或用户注册时,不应采用默认勾选隐私政策等非明示方式征求用户同意。
b) 注册(包括登录即代表注册)的选项与同意隐私政策等的因果逻辑关系应清楚,且主动提示用户阅读以显著方式展示的隐私政策等收集使用规则后,执行下一步注册/登录等动作。
【解读】
相较于原《App自评估指南》评估点20,新版《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第3.4条“以默认选择同意隐私政策等非明示方式征求用户同意”的规定,并首次对注册与同意隐私政策提出因果逻辑清楚的要求。
建议App运营者在用户首次运行或注册App时,通过弹窗或者要求用户手动勾选的方式同意隐私政策,尽量避免使用“注册即代表同意隐私政策”等方式获得用户的同意。
3.6 是否未经用户同意更改其设置的可收集个人信息权限状态
a) 未经用户同意,不应私自更改用户设置的收集个人信息权限。
b) App更新升级后,不应自动将用户设置的权限恢复到默认状态。
【解读】
相较于原《App自评估指南》评估点29,新版《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第3.5条“未经用户同意更改其设置的可收集个人信息权限状态,如App更新时自动将用户设置的权限恢复到默认状态”的规定,新增了“未经用户同意,不应私自更改用户设置的收集个人信息权限”的要求。
建议申请调用个人信息权限应获得用户的同意,不得未经用户同意私自更改用户权限设置,不得利用系统更新升级更改原有的系统权限设置。
3.7 App利用用户个人信息和算法定向推送信息时,是否提供非定向推送信息的选项
a) App存在利用用户个人信息和算法定向推送信息情形(包括利用个人信息和算法推送新闻和信息、展示商品、推送广告等),应提供拒绝接受定向推送信息,或者停止、退出、关闭相应功能的机制,或者不基于个人信息、用户画像等推送的模式、选项。
注:相关定义和内容可参考GB/T 35273《个人信息安全规范》。
【解读】
相较于原《App自评估指南》,新版《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第3.6条“利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项”的规定,并对该规定进行了细化。
需要指出的是,与《个人信息安全规范》第7.5c)条规定不同的是,本条对提供非定向推送信息选项的要求不再限于推送新闻信息,而是扩充至推送新闻和信息、展示商品、推送广告等,基本涵盖了个性化推送的主要场景。从实操角度,可供参考的一种模式为,为用户提供关闭个性化推送的按钮,用户关闭个性化推送后,推送的数量不会减少但不再基于用户的个人信息和个人画像进行精准推送。
3.8 是否以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限
a) App所明示收集使用个人信息的目的应真实、准确,不应故意欺瞒、掩饰收集使用个人信息的真实目的。如以红包、金币、抽奖等方式诱骗用户打开可收集个人信息的通讯录权限后,立即上传所有通讯录信息。
【解读】
相较于原《App自评估指南》,新版《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第3.7条“以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的”的规定,并提供了示例。
分析本条的示例,其真正目的在于获取通讯录信息,但担心用户拒绝或者不愿提供,通过红包、金币、抽奖等方式,来降低或者消除用户对于打开通讯录权限的疑虑、感知,用户甚至无法知晓该等App收集通讯录的目的,违反了合法性原则要求。而该等App收集用户通讯录,可能也与其业务开展无必然关联,可能也同时违反必要性原则要求。
3.9 是否向用户提供撤回同意收集个人信息的途径、方式
a) App应向用户提供撤回同意收集个人信息的途径、方式,并在隐私政策等收集使用规则中予以明确。
b) 如用户拒绝或撤回特定业务功能收集个人信息的授权时,App不应暂停提供其他业务功能,或降低其他业务功能的服务质量。
c) 如用户拒绝或撤回可收集个人信息的权限时,不得影响用户正常使用与该权限无关的功能,除非该权限是保证App正常运行所必需。
【解读】
相较于原《App自评估指南》评估点23,新版《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第3.8条“未向用户提供撤回同意收集个人信息的途径、方式”的规定,并吸收了《个人信息安全规范》第5.3e)条“个人信息主体不授权同意使用、关闭或退出特定业务功能的,不应暂停个人信息主体自主选择使用的其他业务功能,或降低其他业务功能的服务质量”的规定。
建议App运营者在隐私政策中向用户说明撤回同意收集个人信息的途径、方式,用户拒绝提供或撤回同意提供某些个人信息,仅应影响与该等个人信息相关的业务功能,不得影响其他业务功能的正常使用,除非该等个人信息或收集个人信息权限为App正常运行所必需。
3.10 是否违反其所声明的收集使用规则,收集使用个人信息
a) App应严格遵循其披露的隐私政策等收集使用规则,开展个人信息处理活动,如个人信息使用目的发生变化的,应再次征得用户同意。
【解读】
相较于原《App自评估指南》,新版《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第3.9条“违反其所声明的收集使用规则,收集使用个人信息”的规定,旨在强调App运营者应言行一致,收集使用规则不仅是告知用户,更是对运营者的约束。
如个人信息使用目的发生变化的,App运营者应按照新版《App自评估指南(征求意见稿)》第2.2条规定的方式告知用户,并再次征得用户同意,这里的“同意”宜作明示同意理解。
评估点四:是否遵循必要原则,仅收集与其提供的服务直接相关的个人信息
4.1 是否收集与业务功能无关的个人信息
a) 不应收集与业务功能无关的个人信息。
b) App不应申请打开与业务功能无关的可收集个人信息的权限。
【解读】
相较于原《App自评估指南》评估点27,新版《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第4.1条“收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关”的规定,除增加对可收集个人信息权限的要求外,内容未发生实质变化。
4.2 用户是否可拒绝收集非必要信息或打开非必要权限
a)App收集业务功能非必要的个人信息或申请打开非必要权限时,应征得用户同意,用户不同意不得拒绝提供相应业务功能。
b) App不应将同意收集其他业务功能所需的个人信息或同意打开其他业务功能所需可收集个人信息权限,作为业务功能打开的前提条件。
c) 如App提供无需注册即可使用(如浏览、游客模式)的业务模式,当用户拒绝支撑浏览、游客等模式以外的个人信息收集行为,App不应拒绝提供服务。
注:必要信息指与基本业务功能直接相关的个人信息,缺少该个人信息则基本业务功能无法实现。必要信息范围可参考《信息安全技术移动互联网应用程序(App)收集个人信息基本规范》(征求意见稿),如果业务类型不在该标准内,则应根据其业务特点,参考该规范相关定义和理念自行判定。
【解读】
相较于原《App自评估指南》评估点26,新版《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第4.2条“因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能”的规定,强调应确保用户可拒绝收集非必要信息或打开非必要权限,并且不会因此影响用户正常使用业务功能。
需要指出的是,此处增加了对于App提供无需注册即可使用(如浏览、游客模式)业务模式下收集个人信息的必要性要求,即“当用户拒绝支撑浏览、游客等模式以外的个人信息收集行为,App不应拒绝提供服务”,旨在将浏览、游客等无需注册即可使用模式落到实处,若提供该等模式就仅收集满足该等模式所需的信息。
此外,本条注指出必要信息范围的界定可参考《信息安全技术移动互联网应用程序(App)收集个人信息基本规范》(征求意见稿),如果属于该规范列示的30种常用服务类型,超出该规范列举的最小必要范围,需要审慎考量与现有业务功能的关联性。若难以给出合理解释,建议及时进行调整。
4.3 是否以非正当方式强迫收集用户个人信息
a) 根据用户主动填写、点击、勾选等自主行为,作为App的各个业务功能打开或开始收集使用个人信息的条件。
b) App新增业务功能申请收集的个人信息超出用户原有同意范围时,不应因用户拒绝新增业务功能收集个人信息的请求,拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外。
c) 不应仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集其个人信息并以此作为提供服务的条件。
d) App不得以捆绑方式强制要求用户一次性同意打开多个可收集个人信息权限。如将安卓版App的targetSdkVersion值设置低于23,通过声明机制,在安装App时要求用户一次性同意打开多个可收集个人信息权限。
【解读】
相较于原《App自评估指南》评估点24,新版《App自评估指南(征求意见稿)》主要调整了以下三点:
吸收了《App违法违规认定方法》第4.3条“App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外”的规定,新增该要求。实践中,随着公司战略、市场行情、消费需求等的变化,App运营者新增业务功能的情况非常普遍。对此需要根据该条的要求,超出原有个人信息同意范围收集个人信息的,如用户不同意,只影响新增业务功能的使用,不得拒绝提供原有业务功能。但新增业务取代原有业务功能导致业务功能发生变更的除外。
吸收了《App违法违规认定方法》第4.5条“仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息”的规定,新增该要求。在实践中,相当数量的App在隐私政策中将改善服务质量、提高用户体验、定向推送信息、研发新产品单独表述为业务功能和收集使用目的,并将其作为“利器”而肆意收集使用与业务功能无关的用户个人信息。建议将改善服务质量、提高用户体验、定向推送信息、研发新产品等目的与其他业务功能相结合,确保收集使用个人信息的类型与具体业务功能相对应。
将安卓版App的targetSdkVersion值设置低于23的问题作为示例,突出一揽子授权的问题。根据App治理工作组发布的《App们,还在一次性申请权限?》显示,目前国内主流的安卓系统App已经将targetSdkVersion值设置大于23。以用户手机比较老、操作版本低等理由,将targetSdkVersion值设置小于23,已经无法有效应对监管部门的核查和质疑。建议App运营者及时予以调整。如果确实出于向下兼容已停止更新App的需要,一次性全部启用可收集用户个人信息的权限,建议提醒用户在安装完毕后逐项关闭权限,需要申请某项权限时,再弹窗告知收集个人信息的目的并获得用户的同意。
4.4 收集个人信息的频度是否超出业务功能实际需要
a) App收集个人信息的频度不应超出业务功能实际需要,在使用App某业务功能过程中,应仅收集与当前业务功能相关的个人信息。
b) 在未打开App或后台运行App时,App不应收集用户个人信息,除非App业务功能需要后台运行时继续提供服务,如导航功能。
c) App接入第三方应用时,应提醒用户关注第三方应用收集使用个人信息的规则,不得私自截留第三方应用收集的个人信息。
【解读】
相较于原《App自评估指南》,新版《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第4.4条“收集个人信息的频度等超出业务功能实际需要”的规定,并对该规定进行了细化。
根据App专项治理工作组通报的问题App显示,部分App存在收集设备IMEI号、IMSI号、地理位置、手机号等个人信息和调用电话等权限的频度,超出业务功能实际需要。根据本条要求,举例来说,即使App已经获得用户收集其地理位置的同意,但如果用户没有打开App、后台运行App或者当前使用的业务功能不需要地理位置信息,就不应该收集用户的地理位置信息。例外情况在于,如果在后台运行的情况下,App的业务功能如导航功能,需要借助地理位置信息方能继续提供服务,则可以继续收集地理位置信息。
需要探讨的是,本条新增c款对接入第三方应用提出了相应要求,提醒用户关注第三方应用收集使用个人信息的规则,可以参考本文前面提到的在隐私政策附件放置第三方应用收集使用个人信息规则链接的方式。不得私自截留第三方应用收集的个人信息,旨在确保第三方应用的正常使用。但整体来看,本款似乎与本条主要规定的“收集个人信息的频度是否超出业务功能实际需要”没有必然关联,可以关注该款的位置后续是否会进行调整。
——(未完待续)——
下篇预告
笔者还将在下篇通过与《App违法违规收集使用个人信息自评估指南》和《App违法违规收集使用个人信息行为认定方法》对比的方式,为大家继续逐条解读新版《App自评估指南(征求意见稿)》六大评估点。
The End
作者简介
刘新宇 律师
上海办公室 合伙人
业务领域:资产证券化与金融产品, 收购兼并, 诉讼仲裁
宋海新
上海办公室 金融部
作者往期文章推荐:
《新版App收集使用个人信息自评估指南(征求意见稿)逐条对比解读(上)》
《第一时间 | <个人信息安全规范>最新正式稿,你想知道的都在这里》
《第一时间 | <App违法违规收集使用个人信息行为认定方法>逐条对比解读》
《敲黑板 !<网络安全漏洞管理规定(征求意见稿)>逐条解读》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。