查看原文
其他

App个人信息保护专项治理暴雨将至,你的屋顶会漏吗?

数据隐私和网络安全

专栏

作者:胡科 袁立志 蒋昕妍


2019年1月25日,中央网信办、工信部、公安部、市场监管总局在北京举行新闻发布会,正式对外发布《关于开展App违法违规收集使用个人信息专项治理的公告》,四部门将联合于2019年1月至12月在全国范围内对移动互联网应用程序(App)违法违规收集使用个人信息的行为展开专项治理工作。

在此之前,中央网信办、工信部、公安部和国家标准委已在2017年首次对支付宝、微信、京东商城等10款App的隐私政策进行了评审,旨在以隐私政策为切入点引导互联网企业做好个人信息保护工作,取得了良好效果。2018年,中国消费者协会和中国互联网协会也分别就App的个人信息收集情况及隐私政策情况展开测评,中国消费者协会的《测评报告》于2018年11月发布,显示测评的10类100款App普遍存在个人信息过度收集、隐私条款笼统不清等问题,其中中小企业App的问题更为突出。在工信部部署下,中国互联网协会也在2018年12月召开专家评议会,点名14款App存在过度收集用户个人信息、未经用户同意收集和使用用户个人信息等违规行为。

结合有关监管部门近年来的对隐私政策及个人信息收集使用方面评审、监管的相关经验,以及本次针对App强制授权、过度索权、超范围收集个人信息现象开展App违法违规收集使用个人信息专项治理的公告的内容,下文将从相关法律规范、现存问题和合规建议三个方面对企业应对此次App违法违规收集使用个人信息专项治理中的要点进行梳理:

1. 个人信息过度收集使用

★ 相关法律规范

《网络安全法》第41条规定,“网络运营者收集、使用个人信息,应遵循合法、正当、必要的原则”,“不得收集与其提供的服务无关的个人信息”。《电信和互联网用户个人信息保护规定》同样对互联网信息服务提供者收集、使用用户个人信息提出了“遵循合法、正当、必要的原则”的要求。推荐性国家标准《信息安全技术 个人信息安全规范》规定,个人信息控制者开展个人信息处理活动,应“具有合法、正当、必要、明确的个人信息处理目的”, “只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量”,并在第5.2条规定了收集个人信息的最小化要求。

★ 现存问题

根据中国消费者协会的《测评报告》,测评的10类App普遍存在涉嫌过度收集或使用个人信息的情况,其中位置信息、通讯录信息、手机号码等个人信息是个人信息过度收集使用的重灾区,而用户的个人照片、工作信息、浏览记录、教育信息、车辆信息、短信信息等也存在被过度使用或收集的情况。此外,还有部分App涉嫌过度收集个人财产信息、生物识别信息等个人敏感信息。中国互联网协会也在2018年12月点名了十余款App存在过度收集短信、通讯录、位置、录音等用户敏感信息的问题。

★ 合规建议

根据现行规范,App收集个人信息缺失明确的目的、超出产品业务功能相关目的范围(收集非必要信息)或无法与其实现的业务功能明确挂钩,就可能会构成个人信息的过度收集。针对个人信息过度使用的问题,企业可以采取如下措施:

 对App所提供的业务功能和收集使用的个人信息展开全面梳理,区分App的核心业务功能和附加业务功能,并将个人信息与据以实现的业务功能进行关联关系的对应;

 论证个人信息收集使用的目的,筛查个人信息是否构成产品业务功能的必要信息,判断业务功能的实现或正常运行的必要条件是否包括该等个人信息的参与、个人信息的收集是否为法律法规的强制要求等;

 分离与业务功能无直接关联关系的非必要信息,排除该等个人信息的收集;

 个人信息的收集使用所对应的明确目的或直接关联的业务功能应当在隐私政策等文件中向用户进行告知,如有个人信息被应用于新功能研发、产品或服务改进与发展的也应当向用户做出说明与提示;

 若需要将个人信息用于尚未告知、获取同意的其他目的时,应当向用户告知并征得同意。

不过,企业的产品和服务是迭代变化的,当前服务与未来服务之间并没有明确的界线,当前服务所必需的个人信息与未来服务所必需的个人信息之间也难以简单切割。严格将个人信息的收集限制在当前服务所必需的范围内,是否会对企业改进产品或服务带来不利影响,甚至对数据的深度挖掘和利用造成不利影响,是一个值得思考的问题。


2. 以欺骗、误导或隐瞒等手段收集使用个人信息

★  相关法律规范

《网络安全法》第41条要求网络运营者收集使用个人信息应当“公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意”。《电信和互联网用户个人信息保护规定》明确规定“不得以欺骗、误导或强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息”。《个人信息安全规范》的“选择同意”原则规定,个人信息控制者应“向个人信息主体明示个人信息处理目的、方式、范围、规则等,征求其授权同意”,并在该规范第5.3至5.5条对“告知—同意”机制作出了具体规定。

★ 现存问题

现实中,以欺骗、误导或隐瞒手段而未经用户有效同意收集、使用个人信息的情况频频发生。此前中国互联网协会直接点名的14款App中,就有9款App疑似存在未经用户同意收集、使用用户个人信息的情况;而中国消费者协会测评的100款App中,有79款App的隐私政策存在默认同意(默认勾选)或未提示用户阅读等问题,仅有21款的隐私政策是在明确征得用户同意后收集相关信息的。更有甚者,一些给App提供功能模块或组件的第三方开发者会通过嵌入收集个人信息的指令或功能,隐秘地收集了用户的个人信息,而用户甚至App开发者均不知情,法定的授权同意程序更无从谈起。

★ 合规建议

用户授权同意是我国网络安全法下收集、使用个人信息的唯一合法性基础,收集使用个人信息应当建立在用户授权同意的基础之上,而用户授权同意应当建立在明确告知的基础之上,且用户的授权同意应当是自愿给出的、具体的、清晰明确的。为获取有效的用户同意,企业可以使用如下方案:

 对App现行的“告知—同意”框架进行审查,确保将收集、使用用户个人信息的目的、方式、范围、规则等相关信息告知用户,并取得用户的明确同意;

 告知的内容和方式应当清晰、明确,不应采用过小的、模糊的字体等容易被用户忽略的方式进行告知,确保用户知晓其正在同意的内容;

 在用户同意的方式设计上,避免采取默示同意或者与用户的其他操作无法区分的模式等无法体现用户真实意思表示的同意机制,选择使用户通过书面声明或作出肯定性动作以表示对数据处理的授权,可以采取用户主动勾选、主动点击“同意”、滑动滑块等方式;

 排查是否使用了默认勾选、选择退出等需要用户通过主动干预、修改默认设置才能拒绝的手段;

 如App调用小程序等第三方开发的功能模块或组件,则App运营者应对第三方收集使用个人信息的行为进行适当审查和监督,要求第三方开发者承担个人信息保护的责任。


3. 不区分业务功能的“一揽子协议”

★ 相关法律规范

《网络安全法》规定网络运营者收集、使用个人信息以“被收集者同意”为前提,根据民法的一般原理,同意应是自愿的,捆绑的、被迫的同意不属于有效同意。《电信和互联网用户个人信息保护规定》则明确规定“不得以欺骗、误导或强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息”。《个人信息安全规范》要求个人信息控制者在收集个人敏感信息前,应当向个人信息主体告知所提供产品或服务的核心业务功能及必须收集的个人敏感信息,并明确告知拒绝提供或拒绝同意将带来的影响,且应允许个人信息主体选择是否提供或同意自动采集。产品或服务如提供其他附加功能,在收集前应逐一说明个人敏感信息为完成何种附加功能所必需,并允许个人信息主体逐项选择是否提供或同意自动采集个人敏感信息。

★ 现存问题

目前有大量的App存在“一揽子协议”强迫用户授权同意的情况,即不区分业务功能,将核心业务功能与附加业务功能捆绑搭售,迫使用户不得不全盘接受,否则就无法使用App。实现“一揽子协议”最常用的手段便是在隐私政策文本中将所有功能与拟收集的个人信息一概列出,但并不向用户提供逐项选择同意的机制。用户为了使用App只得一键同意,企业就在表面上征得了用户授权同意,个人信息无差别收集看似便有了合法性基础,但实际上违反了相关法律规范的要求。

★ 合规建议

目前主管部门倡导企业对产品或服务的核心功能与附加功能进行区分,并在此基础上适用不同的个人信息收集规则,这一制度设计正是为了打破“一揽子协议”,以保护用户的选择权和控制权。换言之,附加业务功能可以选用,也可以拒绝,不会影响核心业务功能的运行与使用,因此在同意的获取机制上也存在不同。企业可以通过如下路径避免“一揽子协议”:

 根据App的类型、用户主要使用的目的以及产品或服务的定位等,划定App的核心业务功能,除此之外的其他功能划定为附加业务功能;

 对于核心业务功能,应当将核心业务功能收集个人信息的相关规则以及不同意收集的影响告知用户,向用户征得授权同意;

 对于附加业务功能,应当向用户逐一告知提供的附加业务功能及收集的个人信息,允许用户对每一项附加业务功能的个人信息收集单独选择同意;

 用户不同意附加业务功能收集个人信息的,仍应继续向用户提供核心业务功能并保证服务质量;

 避免在同一时间、同一页面针对核心业务功能和附加业务功能获取用户授权,可以在不同业务功能启用之前分别告知并征得同意。


4. 隐私政策缺失、不展示或晦涩冗长

★ 相关法律规范

《网络安全法》第41条要求网络运营者收集、使用个人信息的应当“公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意”。《个人信息安全规范》在第5.6条规定了隐私政策的内容和发布的要求:个人信息控制者应当制定隐私政策;隐私政策的内容应清晰易懂,符合通用的语言习惯,使用标准化的数字、图示等,避免使用有歧义的语言,并在起始部分提供摘要,简述告知内容的重点;隐私政策应公开发布且易于访问;隐私政策所载内容发生变化时,应及时更新隐私政策并重新告知个人信息主体。

★ 现存问题

虽然《个人信息安全规范》已在资料性附录D中提供了隐私政策模板,并对编写要求作出说明,但根据中国消费者协会的《测评报告》,测评的100款App中仍有34款App没有隐私条款,有41款App的隐私条款未在明显位置公示,有52款App的隐私条款变更时未及时通知用户。不主动向用户展示隐私条款,或展示内容晦涩冗长,是当前有关隐私条款存在的典型问题之一。

★ 合规建议

隐私政策是企业向用户、监管机关以及大众全面展示其个人信息处理与保护相关规则的重要窗口。若企业的隐私政策缺失、不易获取或难以理解,则用户的知情权无法得以实现,企业也面临合规风险。因此,我们建议企业在为App拟定和发布隐私政策时可以考虑以下几点:

 隐私政策应当清晰、准确、完整地描述其涉及的个人信息处理活动;

● 应以对用户友好为原则,以方便一般用户阅读、理解为出发点,切忌使用晦涩难懂的语句措辞或篇幅过于冗长;

● 考虑使用多层次、图文并茂、短视频等创新方式向用户展示隐私政策的内容;

● 在App安装页、App中易于访问的页面放置隐私政策链接,通过弹窗等形式向用户主动展示,引导用户阅读完整版隐私政策;

● 可以以《个人信息安全规范》资料性附录D中的隐私政策模板为参考,结合实际业务,制定符合企业自身情况的隐私政策,也可以另行撰写。


5. 个人信息处理相关规则告知不明确、不充分

★  相关法律规范

《网络安全法》第41条明确要求个人信息控制者应向个人信息主体“明示收集、使用信息的目的、方式和范围”。《个人信息安全规范》则要求个人信息控制者在收集个人信息前,应向个人信息主体明确告知所提供产品或服务的不同业务功能分别收集的个人信息类型,以及收集、使用个人信息的规则,例如收集和使用个人信息的目的、收集方式和频率、存放地域、存储期限、自身的数据安全能力、对外共享、转让、公开披露的有关情况等;此外,隐私政策的内容还应包括个人信息主体权利和实现机制、处理个人信息主体询问、投诉的渠道和机制等等。

★ 现存问题

中国消费者协会的《测评报告》中总结了隐私条款存在的主要问题,其中包括:未明确告知收集个人信息类型,且收集敏感信息时未明确告知用户信息的用途;未告知用户个人信息的保存期限和停止运营的情形;未明确告知用户个人信息的使用方式;未明确告知用户如何更正个人信息和撤回同意等。测评的100款App中过半数出现了上述问题。

★ 合规建议

隐私政策是企业履行《网络安全法》下告知义务的重要途径,同时也是企业自律和配合监管的有效机制。用户以隐私政策为权利主张的依据,监管部门则以隐私政策为监督执法的抓手,隐私政策切不可流于形式。为实现明确、充分的告知,企业可以考虑如下方面:

● 在隐私政策中向用户完整呈现个人信息处理相关规则的告知内容,根据规范要求分段、分点、分层次叙述;

● 不应使用概括性的、模糊不清、模棱两可的语言表述;

● 若涉及个人敏感信息的收集使用、跨境传输等情况,应当通过单独列出或重点标识(加粗、下划线等)等形式突出提示;

● 在用户首次使用时,通过弹窗等形式主动向用户展示隐私政策的主要或核心内容,帮助用户梳理关键信息。


6. 未提供定向推送的退出机制

★ 相关法律规范

《关于开展App违法违规收集使用个人信息专项治理的公告》明确指出要“倡导App运营者在定向推送新闻、时政、广告时,为用户提供拒绝接受定向推送的选项”。虽然现行规范中尚未有关于定向推送的专门规定,但《电子商务法》规定了“电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的,应当同时向该消费者提供不针对其个人特征的选项,尊重和平等保护消费者合法权益。”

★ 现存问题

通过App收集用户个人信息,依托大数据与推荐算法,基于用户画像向用户推送新闻、时政、广告等内容的定向推送是提高企业投资回报率、降低双向搜寻成本的重要途径,但野蛮生长的定向推送会带来负面影响。虽然目前业内已有部分App形成了定向推送退出机制的良好实践,但大部分的App都未向用户提供或说明退出定向推送的渠道。

★ 合规建议

监管部门已然关注到了不加约束的定向推送对用户知情权、控制权造成的侵扰。作为《公告》的倡导内容,可以看出定向推送的退出机制是本次专项治理关注的新要点。企业在定向推送时可以采取如下措施确保兼顾用户个人信息及其相关权益的保护:

● 在隐私政策中具体说明用户的个人信息会被用于定向推送、用户退出定向推送的方式以及退出后所涉个人信息的处理机制;

● 在使用定向推送时,向用户告知该内容为定向推送的内容,例如列出“个性化推荐”字样;

● 为用户提供方便快捷的定向推送退出机制,例如在App的“设置”界面提供关闭按钮、在隐私政策中提供退出链接等;

● 在用户控制定向推送设置的页面向用户告知定向推送个人信息处理的相关规则,帮助用户理解并作出选择;

● 用户选择关闭定向推送时,应当向用户展示非个性化定制的内容。

//////////

此次为期一年的专项治理,监管部门将联合打出一套刚柔并济的组合拳,意图在良性的倡导与指引中帮助企业做好个人信息保护合规工作,对表现优异的App给与鼓励,而不达标的App可能受到处罚。《大众化应用基本业务功能及必要信息规范》《App违法违规收集使用个人信息治理评估要点》等规范文件正在研讨编制中,《个人信息安全规范》修订草案也正在公开征求意见,更为细化具体的落地方案与示范指引正在形成,企业应当密切关注相关动态,咨询专业律师或信息隐私专业机构的意见。与其驻足观望或“坐以待毙”,企业不如主动地开展个人信息保护合规调查与整改工作,不仅满足监管要求,还可以塑造可信的企业形象,提升竞争优势,自信地迎接将来的挑战与检视。

有意报名者请发送邮件至:peng.lina@jingtian.com



本专栏往期文章

1. 《网络安全法》的出台改变了什么?——条文解析企业的网络安全义务和法律合规新需求

2. 您的公司有数据保护官了吗?

3. 个人信息安全——“用户同意”之浅析

4. 记账理财APP的个人信息合规挑战

5. GDPR之“用户数据可携权”评析(一)——认识“用户数据可携权”

6. GDPR之“用户数据可携权”评析(二)——“用户数据可携权”实务运用的若干问题

7. GDPR之“用户数据可携权”评析(三)——“数据可携权”视角下的数据之争

8. 网安法第37条背景下的境外证据开示与数据出境问题
9. 对“数据共享合法化”的分析与思考系列之一:以《关于欧洲企业间数据共享的研究》为起点

10. 对“数据共享合法化”的分析与思考系列之二——欧盟B2B数据共享的案例研究
11. GDPR在看着你吗——GDPR第2条和第3条(适用范围)详解

12. 欧盟《统一数据保护条例》(GDPR)适用问答

13. 中国企业的GDPR合规挑战

14. 对“数据共享合法化”的分析与思考系列之三——欧盟B2B数据共享的案例研究

15. 银行业金融机构数据治理中的个人信息保护

16. 从《网络安全等级保护条例(征求意见稿)》看等保1.0到等保2.0的重要变化

17. 《网络安全等级保护条例(征求意见稿)》与《信息安全等级保护管理办法》的条款比对

18. 放弃or坚持——出海游戏公司如何应对GDPR?

19. 标准合同条款:欧盟个人数据出境的常规路径之一

20. 欧盟《隐私与电子通信条例》(e-Privacy Regulation)草案介绍

21. 当资本运作遇到网络安全:尽调该怎么做?
22. 电信和互联网行业网络安全大检查来临,你准备好了吗?

23. 企业如何开展网络与数据安全事件应急演练?

24. 银行业金融数据出境的监管框架与脉络



作者介绍




   胡科    


合伙人

010-5809 1182

hu.ke@jingtian.com


胡科律师毕业于北京大学和加州大学伯克利分校,分别获得法学学士和法学硕士学位,具有中华人民共和国和美国纽约州律师资格。 

胡科律师是竞天公诚律师事务所争议解决部合伙人。其执业领域为商事争议解决,尤其擅长跨境商事和知识产权争议的诉讼和仲裁。胡律师经常代理客户处理在中国法院的重大涉外诉讼以及在CIETAC、BAC、HKIAC、ICC、SCC、SIAC等中外仲裁机构进行的商事仲裁案件,涉及公司、股权、中外合资、PE/VC投资、金融、贸易、工程、能源、文化娱乐、技术许可以及外国仲裁裁决或法院判决的司法审查和执行。2018年,他被《法律名人录》认可为国际仲裁领域的"未来领袖"之一。

胡律师是国际商事仲裁理事会(ICCA)-清华大学中国仲裁法律与实践联合工作组成员,国际律师协会(IBA)仲裁委员会成员和IBA ARB 40协调委员会的中国国家代表,中国青年仲裁小组组织委员会成员和YSIAC领导委员会成员。

胡律师的工作语言是中文和英文。





   袁立志    


合伙人

021-2613 6222

yuan.lizhi@jingtian.com


袁立志律师先后从上海对外经贸大学和新加坡国立大学取得国际法硕士和国际商法硕士学位。袁律师于2016年作为合伙人加入竞天公诚律师事务所。

袁律师持有IAPP(国际隐私专家协会)颁发的CIPP/E证书。

袁律师的执业领域为网络安全与数据保护、企业融资、并购及公司法律事务。袁律师最早从2009年开始即为客户提供商用密码等方面的法律服务,2016年曾主办大数据企业上海思贤信息技术股份有限公司(836095)新三板挂牌项目。

近年来,袁律师曾为多家知名企业提供数据法律服务,包括大型金融集团、汽车制造商、头部互联网企业、数据企业、医疗机构等。





   蒋昕妍    


律师

010-5809 1059

jiang.xinyan@jingtian.com


蒋昕妍是竞天公诚律师事务所争议解决部律师,执业领域为数据隐私与网络安全、商事争议解决。

蒋律师2013年毕业于中南财经政法大学,取得法学学士学位;2016年毕业于美国本杰明卡多佐法学院,取得法律博士学位(Juris Doctor)。在加入竞天公诚之前,蒋律师曾在美国纽约州司法部任职。

蒋律师已取得信息隐私专家(欧洲)认证(Certified Information Privacy Professional/Europe,CIPP/E),是隐私权专家国际协会(International Association of Privacy Professionals)会员。蒋律师已取得美国纽约州律师资格和中国法律职业资格。



声明 DISCLAIMER


本文观点仅供参考,不可视为竞天公诚律师事务所及其律师对有关问题出具的正式法律意见。如您有任何法律问题或需要法律意见,请与本所联系。

This article is for your reference only and not to be deemed as formal legal advice given by Jingtian & Gongcheng or its lawyers. Please contact us directly for formal legal advice or further discussion about the relevant issues.

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存