汇业评论 | 2019年App个人信息违法专项检查要点及整改建议
文 | 黄春林 合伙人 刘月莹 汇业律师事务所
近日,网信、工信、公安、市监四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》(以下简称“《公告》”),决定在全国范围内联合多部门启动App违法违规收集、使用个人信息的2019年专项治理行动。此外,2019年3月,“APP专项治理工作组”制定了评估指南并开通了专门的投诉渠道。
此外,上海、北京、广东等地公安、通管、消协等也于近期陆续启动专项检查行动,重点检查辖区内APP网络安全及个人信息违法违规行为,并约谈了相关企业负责人。
为此,汇业黄春林律师团队结合《公告》要求、评估指南及近期监管执法行动,参考行业实践及实务经验,就APP个人信息收集、使用等场景,整理如下专项检查要点并出具部分整改建议。
要点一:隐私政策形式及内容合规
形式方面:APP应当制定单独成文的隐私政策,公开发布并满足快捷访问、友好阅读、方便保存和下载等合规要求。我们建议运营者在APP安装、注册、主页、用户个人中心等页面的显著位置展示隐私政策或链接;隐私政策的重要条款(例如敏感个人信息、跨境转移等)应当通过加粗等显著方式提示;隐私政策条款变更时应及时通过站内信、公告、弹窗等方式通知用户。
内容方面:隐私政策的内容应浅显易懂、条理清晰,并在首部或折叠页面提供摘要或提示。参考中消协发布的100款App个人信息与隐私政策测评报告及工作组评估指南,隐私政策应包括但不限于如下内容:(1)APP各业务功能条线及与其一一对应的个人信息收集、使用的类型、用途及方式;(2)APP运营主体的基本情况及联系方式,其他关联使用方的种类和身份;(3)个人信息的保存机制、期限和跨境转移情况等;(4)Cookie等自动化程式运行机制;(5)告知用户如何请求查询、更正、删除个人信息和撤回同意,以及APP响应请求方式及期限等;(6)个人信息安全保护措施和能力;等等。
要点二:用户同意方式合规
用户首次使用、注册APP时,应当提示用户阅读并通过自主勾选、点击确认等方式明示同意用户协议及隐私政策,不得采用默认勾选、“注册即视为同意”、捆绑同意等方式获取用户的“非真实意识表示”的同意。
另外,建议企业在隐私政策中,区分基本业务功能和扩展业务功能所需个人信息,用户拒绝提供扩展业务功能所需个人信息的,企业不得拒绝为其提供基本业务功能。为此,我们建议在APP中采取“统一隐私政策”+“单个功能页面文案提示”的合规实践,避免被认定为一揽子概括授权。
要点三:收集用户个人信息应遵守最小必要原则
APP收集用户个人信息应遵循最小、必要等原则,不得收集与所提供服务无关的个人信息,不得收集隐私政策中未披露的个人信息,不得收集用户明确拒绝或者授权到期的个人信息,不得违法收集第三方平台享有合法权益的信息或数据。
比如,很多APP存在过度收集用户手机通讯录、面部识别信息、位置信息的情况。此前,上海市网信办就对23个APP获取用户个人信息权限情况开展专项安全检查,并对申请权限不合理、过度索取等问题约谈APP运营企业负责人。
要点四:定向推送合规
根据《公告》要求及《广告法》等规定,App运营者未经用户同意或者请求,或者用户明确表示拒绝的,不得向其固定电话、移动电话或者个人电子邮箱发送商业性电子信息。发送商业信息应当标明发送者身份和“广告”性质,并提供便捷的退订方式。
此外,汇业黄春林律师团队提醒,本次《公告》将推送内容的性质扩大到除商业广告信息以外的新闻、时政信息,APP务必注意相关推送内容的合规要求。
要点五:个人信息修改、删除以及账户注销合规
App应当为用户提供个人信息查询、修改、删除以及账户注销的方式、指引、入口,不得对用户查询、修改、删除个人信息以及账户注销设置不合理条件,或者恶意拖延响应、执行时间。
结合近期公安、通管执法检查案例和行业实践,汇业黄春林律师团队建议修改、删除个人信息及注销账户的入口方式有:(1)在APP主页、用户个人中心(例如“我的”)等显著位置设置在线编辑、删除个人信息或注销账户入口;(2)不具备在线条件的,至少应当提供邮件、电话客服等非在线方式,且应当在显著、便捷的位置设置负责该等事宜的客服联系方式,并公布相应的指引。
实践中,APP应当如何平衡删除、注销后的个人信息删除(或匿名化)以及其他法律法规要求的留存备份合规冲突,则要根据具体业态具体讨论。
要点六:精准营销合规
根据《电子商务法》等规定,APP根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的,应当同时向该消费者提供不针对其个人特征的选项。比如,提供“按价格”、“按销量”等多种自然排序方式,供用户自主选择搜索展示结果。
另外,部分电商类APP日常业务中还会涉及多来源数据匹配后的精准站内推送问题,此时APP还应当确保数据来源合规,并评估使用授权是否充分,是否侵犯消费者知情权、选择权,以及是否构成价格歧视等合规要求。
要点七:第三方合作伙伴监管合规
根据《电信和互联网用户个人信息保护规定》及《个人信息安全规范》等规定,APP在获取、分享用户个人信息过程中与第三方合作的(例如委托或代理),应当审查该第三方的业务准入资质、数据来源合法性及数据安全能力,并且与其签署相关数据安全协议/条款。
另外,APP向用户提供链接跳转至第三方服务,或者通过SDK等方式嵌入代码、插件等方式由第三方直接收集个人信息的,应当在显著页面提醒用户相关服务的实际提供方,并提示用户阅读、遵守第三方的用户协议、隐私政策等。
要点八:个人信息保护制度合规
根据《网络安全法》、《电信和互联网用户个人信息保护规定》和《个人信息安全规范》等规定及近期执法实践,企业应当对个人信息及数据采取分级、保密及备份等措施并制定相应的管理制度。包括但不限于个人信息保护制度或指引流程,员工信息保护制度,个人信息影响安全评估制度,网络安全事件应急预案制度,数据分类、备份和加密制度,硬件设备管理及停用审计制度,等等。
要点九:个人信息保护岗位及人员合规
根据《网络安全法》、《电信和互联网用户个人信息保护规定》和《个人信息安全规范》等规定,企业应当根据业务实际情况,设立相适应的个人信息及数据保护的岗位及人员,实行定岗定责并确立分级权限体系,开展关键员工的入职背调、培训及离岗审计,并定期开展相关部门和员工的个人信息保护或网络安全法律培训、考核。
要点十:App个人信息安全认证
借鉴国外经验,《公告》建议企业开展App个人信息安全认证,鼓励App运营者自愿通过App个人信息安全认证以提高合规管理水平,同时还建议搜索引擎、应用商店等网络平台明确标识并优先推荐通过认证的App。
汇业黄春林律师团队提示,参考目前行业实践,常见的认证、测评方式包括公安等保测评及备案、ISO27001、TRUSTe 隐私认证等等。
作者往期文章推荐: