App个人信息保护的五大要点
针对App收集使用个人信息的合规监管一致是网信办、公安部、工信部以及国家计算机病毒应急处理中心等政府部门或者协会整治个人信息收集使用违规行为的前沿阵地。各部门也经常性公布APP违反个人信息保护的案例。在此背景下, 本文结合正式生效版本的《个人信息保护法》以及此前的不同部门的监管经验, 探求APP个人信息保护的要点。
要点1
“知情同意”要求的完善
要点2
重申正当授权要求《个人信息保护法》再次重申了授权正当性的要求。无论是工信部主导的“侵害用户权益行为App通报”系列, 还是网信办主导的“App违法违规使用个人信息”系列, 实际上都对App申请权限的正当性提出要求: 例如, “App强制、频繁、过度索取权限”作为一种违法行为, 几乎每次都会出现在各类通报之中。
在梳理监管经验的《网络安全标准实践指南-移动互联网应用程序(App)系统权限申请指南》中, “一揽子授权”“强迫授权”和“私自调用权限”等行为均已经被监管部门认定为违法违规收集使用个人信息的行为。而《个人信息保护法》在第5条提出的“处理个人信息应当遵循合法、正当、必要和诚信原则, 不得通过误导、欺诈、胁迫等方式处理个人信息”要求, 则将App运营者的“正当授权”要求上升为法律层面的要求。
考虑到《个人信息保护法》下近乎“严苛”的行政责任, 结合2021年4月发布的《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》(“《App个人信息保护规定(征)》”)和《App违法违规认定方法》中的规定, 我们建议App运营者应当尽快审核App调取权限存在“误导、欺诈、胁迫”的情形, 尤其是:
- 是否在调用权限前, 明确告知用户权限申请目的;
- 在用户同意前已经默认打开权限的情形;
- 故意欺瞒、掩饰收集使用个人信息的真实目的, 向用户调取权限;
- 用户不同意后, 仍然频繁征求用户同意;
- 实际打开权限的范围大于声明的权限范围;
- 是否存在“默认勾选”同意的情况;
- 是否根据实际使用情况进行“动态申请”;
- 是否存在版本更新后, 自动调整用户设置的权限设置状态的情况;
- 是否要求用户必须一次性打开多个系统权限。
要点3
“最小必要”要求的再一次明确《个人信息保护法》对于App治理的第3个关键要点, 则是“最小必要原则”的一再重申, 例如:
- 个人信息处理应当具有明确、合理的目的, 并与处理目的直接相关, 采取对个人信息影响权益最小的方式(第6条)
- 收集个人信息, 应当限于实现处理目的的最小范围, 不得过度收集个人信息(第6条)
- 除法律、行政法规另有规定外, 个人信息的保存期限应当为实现处理目的所必要的最短时间(第19条)
- 只有在具有特定的目的和充分的必要性, 并采取严格保护措施的情形下, 个人信息处理者方可处理敏感个人信息(第28条)
可以说, 《个人信息保护法》从处理目的、处理方式、收集范围、保存期限等“四大方面”总结了处理个人信息的“最小必要原则”要求。实际上, 上述要求并非是“凭空而来”, 而是基于已有的立法和监管实践上总结的经验。例如, 就收集个人信息“限于实现处理目的的最小范围”, 2021年3月发布的《常见类型移动互联网应用程序必要个人信息范围规定》就对39类App的基本功能和相应的“必要个人信息”范围作出了规定(当然, 不同的App仍然应当结合自身的业务类型进行判断)。此外, 2021年4月的《App个人信息保护规定(征)》亦更深入地对App的后台处理行为提出了更高的要求: 例如, App运营者需要审核“处理个人信息的数量、频次和精度是否满足服务所必须”的要求。
如果说“知情同意”还仅仅是对于文本的合规工作提出要求, 那么“最小必要”原则如同一条紧箍, “实质性”地规范App收集使用个人信息的实践。对于App运营者而言, 在《个人信息保护法》正式生效之前, 要尽快将个人信息保护工作的中心从前端(文本端)转移到后端(实践端)中来。
要点4
敏感个人信息处理要求《个人信息保护法》为敏感个人信息的保护设定专章, 足见监管部门对于保护该等类型个人信息的重视程度。对于App运营者而言, 《个人信息保护法》下对于“敏感个人信息”的特别保护, 将极大地改变App各项功能的提供方式。
《个人信息保护法》继承了《个人信息安全规范(2020版)》对敏感个人信息范围的界定模式, 将其定义为“一旦泄露或者非法使用, 容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”, 除了通常的“生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息”之外, 出于加强对于未成年人信息保护的目的, 特别将“14岁以下未成年人的个人信息”亦列入至“敏感个人信息”的范围之内, 将对游戏类App和二次元类App运营者的业务模式产生极大的影响。
根据《个人信息保护法》的规定, 处理敏感个人信息, 需要满足如下的要求:
- 处理敏感个人信息必须具有特定的目的和充分的必要性, 并采取严格的保护措施
“特定目的”与“充分必要”则实质性地限制了App运营者处理敏感个人信息的能力。以App通常会收集“位置”信息举例: 通常基于风控的原因, App运营者可能需要收集用户的位置信息, 以结合用户所在的位置判断其从事非正当行为(例如刷单、骗取补贴等)的可能性有多高。但是在《个人信息保护法》生效之后, 基于风控的原因是否能够被视为满足“充分的必要性”条件, 则值得App运营者结合自身的业务模式进行分析。
- 处理敏感个人信息需要征得用户的单独同意; 且应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响
例如, App运营者会基于人脸识别技术, 识别或验证用户的身份。根据《个人信息保护法》的该等要求, 从现有的实践来看, 我们推荐App运营者应当制定提供单独的协议(以说明处理的充分必要性, 以及拒绝人脸识别后的影响), 并仅在使用场景需要时, 向用户推送该等要求, 以此征求用户的“单独同意”。
- 个人信息保护影响评估
“处理敏感个人信息”是《个人信息保护法》第55条要求的进行个人信息保护影响评估的法定事由。因此如果App将收集敏感个人信息的, App运营者应当及时进行评估, 并做好相应的“留痕”工作。尤其是考虑到《个人信息保护法》下的“合规审计”要求, 以及发生个人信息权益损害纠纷时个人信息处理者的“合规自证”要求, 开展个人信息保护影响评估不仅仅是履行法定义务, 更是个人信息处理者“合法减责”的必备条件。
要点5
用户权利的实现机制《个人信息保护法》一再强调对于个人信息主体权益的保护, 并将《民法典》下的“查询、复制、异议、更正和删除”个人信息的权利进一步细化, 形成专门的“个人在个人信息处理活动中的权利”一章。一改过去立法的“粗略”, 《个人信息保护法》在维护个人信息主体的权益“着墨颇多”, 对于App运营者设计与用户权利相关的页面将产生重大的影响, 例如:
- App是否落实“查询”机制, 使得用户可以了解App运营者收集个人信息的范围
- App是否落实“复制”机制, 使得用户可以获取个人信息的副本
- App是否落实“异议”机制, 使用用户可以要求更正和补充
- App是否落实“可撤回同意”机制, 使得用户可以自主关闭权限/限缩收集个人信息的范围
- App是否存在“个人信息删除”机制(例如注销账户机制)
- App是否存在“自动化决策”(例如cookies, 个性化推荐等)
考虑到上述的合规要求将对App的产品逻辑/UI界面/推送方式等产生重大的影响, 我们建议App运营者尽快开展相应的调整, 以满足《个人信息保护法》下对个人信息主体权益的高保护要求。
写在结尾的话
随着智能手机登上历史舞台, App作为移动互联网时代业务的主要载体成就了无数中国创业者的梦想。而随着“数据驱动业务”成为商业潮流, App违法收集个人信息/数据的情况也日益增多, 正是这样的背景促使了《个人信息保护法》出台大量直击App运营模式的规定。另一方面, 在过去的监管实践中, 执法部门往往依据位阶低、效力弱的规定进行执法, 使得执法者和执法对象往往对于“合规遵从性”判断上产生分歧, 而《个人信息保护法》的出台则将执法尺度上升至法律层面, 使得App运营者不再能够逃避App上的个人信息保护问题: 2021年8月21日浙江省通信管理局发布的《关于开展互联网行业市场秩序专项整治行动的通知》中就要求App运营者提供“合规整改自查报告”。监管部门的上述动态则表明, 对于App运营者而言, App个人信息保护的合规工作已经不再是一道“选择题”。
注: 本篇文章首次发表于律商网。
作者:
杨迅 +86 152 2182 2373 +86 21 3135 8799 xun.yang@llinkslaw.com | |
杨坚琪 律师 |
往期分享
企业上市: 网络与数据安全一样都不能少——《网络安全审查办法(修订草案)》对企业境外上市影响之Q&A
见微知萌—从滴滴出行案谈网络安全审查制度
长按下图识别二维码关注我们
© 通力律师事务所
本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。如需转载或引用该等文章的任何内容, 请注明出处。
点击“阅读原文”,直达通力官网了解更多资讯!