新版App收集使用个人信息自评估指南(征求意见稿)逐条对比解读(下)
在前面《新版App收集使用个人信息自评估指南(征求意见稿)逐条对比解读(上)》和《新版App收集使用个人信息自评估指南(征求意见稿)逐条对比解读(中)》两篇文章,我们为大家逐条对比解读了评估点一、评估点二、评估点三和评估点四。接下来,作为逐条对比解读系列的完结篇,我们将继续为大家解读评估点五“是否未经同意向他人提供个人信息”和评估点六“是否按法律规定提供删除或更正个人信息功能,或公布投诉、举报方式等信息”。
逐条对比解读
评估点五:是否未经同意向他人提供个人信息
5.1 向他人提供个人信息前是否征得用户同意
a) 如App存在从客户端直接向第三方发送个人信息的情形,包括通过App客户端嵌入第三方代码、插件(如SDK)等方式,应事先征得用户同意,经匿名化处理的除外。
b) 如个人信息传输至App服务器后,App运营者向第三方提供其收集的个人信息,应事先征得用户同意,经匿名化处理的除外。
c) 如App接入第三方应用,当用户使用第三方应用时,应事先征得用户同意后,再向第三方应用提供个人信息,用户获知应用为第三方且在知悉收集使用个人信息规则后,自行同意提供给第三方的除外。
【解读】
相较于原《App自评估指南》评估点22,新版《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第5条“以下行为可被认定为‘未经同意向他人提供个人信息’……”的具体规定,旨在强调向第三方提供个人信息,均应获得用户的同意,这里宜根据本指南第1.6f)条和第2.1条的规定,通过隐私政策、个人信息查询使用授权书等授权文本告知用户对外提供个人信息的目的、个人信息类型和接收方类型或身份。
相较于《App违法违规认定方法》第5条,本条新增了“用户获知应用为第三方且在知悉收集使用个人信息规则后,自行同意提供给第三方的除外”的例外情形。举例来说,微信某小程序通过弹窗方式,告知用户想要获得用户的昵称、头像、地区、性别、手机号码等个人信息用于某目的,用户若点击允许,即代表用户自行同意微信将该等个人信息提供给该小程序。该场景下是小程序征得用户的同意,而非微信征得用户的同意。
评估点六:是否按法律规定提供删除或更正个人信息功能,或公布投诉、举报方式等信息
6.1 是否提供有效的注销用户账号功能
a) App应提供有效的注销账号的途径(如在线操作、客服电话、电子邮件等),并在用户注销账号后,及时删除其个人信息或进行匿名化处理,法律法规另有规定的除外。
b) 受理注销账号请求后,App运营者应在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理。
c) 注销账号的过程应简单易操作,不应设置不必要或不合理的注销条件,如提供额外的个人敏感信息用于身份验证,或未明确注销所需个人敏感信息在注销成功后是否会删除等。
注:相关内容可参考GB/T 35273《个人信息安全规范》。
【解读】
相较于原《App自评估指南》评估点30,新版《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第6.2条“为更正、删除个人信息或注销用户账号设置不必要或不合理条件”和第6.3条“虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理”的规定,新增前述两条的要求。
建议App运营者:首先,要提供账号注销的功能,并在隐私政策中明确说明用户注销账号的操作方法;其次,提供的用户账号注销功能应方便用户操作,且能切实保障用户账号注销的有效实现,避免故意设置操作障碍;最后,如果通过邮箱或客服的方式受理用户注销账号的请求,应及时响应,给予用户已经受理的答复,避免用户请求发出后石沉大海,再无音讯。需要人工处理的,应在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理。
6.2 是否提供有效的更正或删除个人信息
a) App应提供有效的查询、更正、删除个人信息的途径。
b) 用户无法通过在线操作方式及时响应个人信息查询、更正、删除请求的,App运营者应在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理。
c) 查询、更正和删除个人信息的过程应简单易操作,不应设置不必要或不合理的条件。
d) 用户更正、删除个人信息等操作完成时,App后台应同步执行完成相关操作。
【解读】
相较于原《App自评估指南》评估点31,新版《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第6.2条“为更正、删除个人信息或注销用户账号设置不必要或不合理条件”、第6.3条“虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理”和第6.4条“更正、删除个人信息或注销用户账号等用户操作已执行完毕,但App后台并未完成的”的规定,新增前述3条要求。
建议App运营者切实提供有效的、简单易操作的查询、更正、删除个人信息的途径,不设置操作障碍,如实告知用户更正、删除个人信息及注销账户的实际进展,在App后台完成相应操作后,再向用户提示相关操作已执行完毕。如在操作过程中出现突发情况导致暂时无法实现更正、删除或注销操作,应及时告知用户原因并如实告知操作进展,不得在未完成操作之前提示用户操作已完成。
6.3 是否建立并公布个人信息安全投诉、举报渠道
a) App运营者应建立并公布可受理个人信息安全问题相关的投诉、举报渠道,受理可采取在线操作、客服电话、电子邮件等方式。
b) App运营者应妥善受理用户关于个人信息相关的投诉、举报,并在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理。
【解读】
相较于原《App自评估指南》评估点32,新版《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第6.5条“未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理的”的要求,将受理并处理个人信息安全投诉举报的时间从15天放宽至15个工作日,有助于App运营者更妥善地处理该等投诉举报。
结语
正如新版《App自评估指南(征求意见稿)》在其摘要部分指出的那样,其内容重点参照了《App违法违规收集使用个人信息行为认定方法》和《个人信息安全规范》等相关国家标准,并将检测评估工作经验融入其中,App违法违规使用个人信息行为的相关认定标准渐趋一致,对实务中出现的新问题能够及时地作出判断和回应。App运营者应高度关注新版《App自评估指南(征求意见稿)》,参照其具体规定进行相应合规安排,并关注其正式稿出台进度和内容变化。
The End
作者简介
刘新宇 律师
上海办公室 合伙人
业务领域:资产证券化与金融产品, 收购兼并, 诉讼仲裁
宋海新
上海办公室 金融部
作者往期文章推荐:
《新版App收集使用个人信息自评估指南(征求意见稿)逐条对比解读(中)》
《新版App收集使用个人信息自评估指南(征求意见稿)逐条对比解读(上)》
《第一时间 | <个人信息安全规范>最新正式稿,你想知道的都在这里》
《第一时间 | <App违法违规收集使用个人信息行为认定方法>逐条对比解读》
《敲黑板 !<网络安全漏洞管理规定(征求意见稿)>逐条解读》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。