App个人信息保护规定解读
4月26日,工信部发布《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》(以下简称“《App规定》”),公开征求意见。该文件是对近年来监管部门开展App个人信息保护专项治理的全面总结,兼具强制性和可操作性,基本可以解决“硬法不细、软法无力”的问题。
一、《App规定》出台的背景
作为网络服务的主要载体,App领域的个人信息保护问题备受关注。近年来,中央网信办、工信部、公安部、国家市监局(以下统称“监管部门”)针对App侵权乱象连续开展多轮专项整治。
基于专项整治发现的问题和积累的经验,监管部门及其授权机构App专项治理工作组陆续出台了《App违法违规收集使用个人信息自评估指南》《关于开展App违法违规收集使用个人信息专项治理的公告》《关于开展纵深推进APP侵害用户权益专项整治行动的通知》《App违法违规收集使用个人信息行为认定方法》等文件,逐步明确了违规主体、侵权环节、重点问题与整改标准等。在中国个人信息保护上位法缺位之际,上述文件为App个人信息保护和监管工作提供了基本指引。
伴随专项治理工作的深入,监管部门逐渐认识到,App领域的个人信息保护是一项系统工程,除需管住App开发运营者(以下简称“开发运营者”)之外,还需规范App第三方服务提供者(以下简称“服务提供者”)、App分发平台(以下简称“分发平台”)、移动智能终端生产企业(以下简称“终端生产企业”)和网络接入服务提供者,只有群防群治,才能真正解决问题。正是在上述背景下,监管部门联合起草了《App规定》。
从总体上来看,《App规定》并未超出原有的治理模式和规则框架,没有突发性地提出全新的监管要求,而是将先前规定在不同文件中的App个人信息保护责任主体及其责任通过统一文件,予以类型化、明确化和制度化。鉴于此,本文无意于重复探讨《App规定》的适用范围和重要原则,而是将重点放在App个人信息保护中的各类相关主体及其责任。
二、开发运营者及其责任
(一)
开发运营者的界定
根据《App规定》第3条第2款,开发运营者是指从事App开发和运营活动的主体。另据《关于开展纵深推进APP侵害用户权益专项整治行动的通知》第2条第1项和《常见类型移动互联网应用程序必要个人信息范围规定》第2条第2款,App包括移动智能终端预置、下载安装的应用软件,以及基于应用软件开放平台接口开发的、用户无需安装即可使用的小程序和快应用等新应用形态。
(二)
开发运营者的主体责任
除一般性的“知情同意”“最小必要”等规则外,根据《App规定》第6条第5、6项、第7条第4项、第8条以及第13条,开发运营者所应履行的个人信息保护义务如下:
1. 贯彻隐私设计(privacy by design)原则:提升个人信息保护意识,在产品设计、开发及运营各个环节落实个人信息保护要求,并以显著、清晰的方式定期向用户呈现App的个人信息收集使用情况。
2. 单独告知个人敏感信息处理行为:处理种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等敏感个人信息的,应当对用户进行单独告知,取得用户同意后,方可处理敏感个人信息。我们理解,此规定在敏感个人信息的界定和告知要求上,参考了《个人信息保护法(草案二次审议稿)》(以下简称“《个保法》”)第29、30条之规定。
3. 详尽披露个人信息的接收方:需要第三方提供个人信息的,应当向用户告知其身份信息、联系方式、处理目的、处理方式和个人信息的种类等事项,并取得用户同意。此规定参考了《个保法》第24条之规定。在实践中,由于接收方众多且时常变动,开发运营者往往仅公布接收方的类型,而不一一列举其名称和联系方式,以避免告知文件篇幅过长。如要遵守这一要求,可采用另表列出接收方信息的方式予以展示。
4. 管理并对接入的第三方承担连带责任:使用第三方服务的,应当制定管理规则,明示服务提供者的名称、功能、个人信息处理规则等内容;应与服务提供者签订个人信息处理协议,明确双方相关权利义务;对服务提供者进行管理监督;如未尽监督义务,开发运营者应当承担连带责任。
5. 尊重和平等保护用户合法权益:基于个人信息向用户提供商品或者服务的搜索结果的,应当保证结果公平合理,同时应向该用户提供不针对其个人特征的选项。也即,保证算法公平,不得实施“杀熟”行为,以及向用户提供退出个性化展示的方式。
6. 给予用户自主选择业务功能的权利:对于不影响其他服务功能的独立服务功能模块,应当向用户提供关闭或者退出该独立服务功能的选项,不得因用户采取关闭或者退出操作而拒绝提供其他服务。
7. 不得欺骗强制误导用户启动App:在非服务所必需或者无合理场景下,不得自启动或者关联启动其他App。
8. 通过官方公民身份认证基础设施认证用户身份:需要认证用户真实身份信息的,应当通过国家统一建设的公民身份认证基础设施所提供的网上公民身份核验认证服务进行。待官方公民身份认证基础设施上线后,从事个人信息处理活动的相关主体需通过官方提供的网络身份核验认证服务落实“实名制”义务,而不能再通过当前市场上的实人认证服务提供商对用户身份信息予以核验,以此防范实人认证服务提供商未经授权缓存及肆意传播用户的身份证信息、生物识别信息等个人敏感信息。
9. 保障App网络和数据安全:加强前端和后端安全防护、访问控制、技术加密、安全审计等工作,主动监测发现个人信息泄露等违规行为,及时响应处置要求。
三、服务提供者及其责任
(一)
服务提供者的主体界定
根据《App规定》第3条第4款,第三方服务提供者是指对于用户和开发运营者以外的,为App提供软件开发工具包(SDK)、封装、加固、编译环境等第三方服务的主体。根据上述规定,我们理解《App规定》界定的“服务提供者”对应《个人信息安全规范》第9.7条规定的“平台接入的第三方”,但范围更广一些。较为常见的服务提供者包括SDK提供者和API提供者。
(二)
服务提供者的主体责任
针对实践中存在的服务提供者违法违规收集使用个人信息、恶意行为和安全漏洞等问题,《App规定》第10条规定其应履行以下个人信息保护义务:
1. 制定并公开个人信息处理规则:为满足此要求,服务提供者首先需考虑通过其官方网站、公众号等公开渠道发布其个人信息处理规则。此外,鉴于在通常情况下,服务提供者对用户是不可见的,因此其往往需要依赖开发运营者的隐私政策等告知文件公开个人信息处理规则。某些情况下,服务提供者也可以通过页面跳转等方式,自行向用户告知个人信息处理规则。
2. 如实告知开发运营者其个人信息处理活动:以明确、易懂、合理的方式向开发运营者公开其个人信息处理目的、处理方式、处理类型、保存期限等内容,其个人信息处理活动应当与公开的个人信息处理规则保持一致。由于服务提供者的个人信息处理活动具有较强的隐蔽性,其引发的个人信息合规和安全问题不易被察觉,因此,服务提供者需向开发运营者提供上述信息,以便后者履行监督管理义务。
3. 不得未经授权共享转让个人信息:未经用户同意,不得将收集到的用户个人信息共享转让。对于依赖App来获取授权的服务提供者而言,由于开发运营者通常不会为超出其所需服务必要范围的用途获取授权,因此服务提供者合法共享转让用户个人信息的空间不大。
4. 不得私自调用权限:未经用户同意或者在无合理业务场景下,不得自行进行唤醒、调用、更新等行为。此规定回应了实践中服务提供者隐蔽实施恶意行为的问题。
5. 保障个人信息安全:采取足够的管理措施和技术手段保护个人信息,发现安全风险或者个人信息处理规则变更时,应当及时进行更新并告知开发运营者。
四、分发平台及其责任
(一)
分发平台的界定
根据《App规定》第3条第3款,分发平台是指通过应用商店、应用市场、网站等方式提供App下载、升级服务的软件服务平台。在《移动互联网应用程序信息服务管理规定》《移动智能终端应用软件预置和分发管理暂行规定》《移动互联网应用商店网络安全责任指南》《打击治理移动互联网恶意程序专项行动工作方案》《关于印发打击治理移动互联网恶意程序专项行动任务分工的通知》(以下统称“应用商店监管规则”)中,分发平台被称为“互联网应用商店”。
(二)
分发平台的主体责任
根据应用商店监管规则,分发平台对其提供的App负有安全管理责任,包括开发运营者真实身份验证、信息留存和公布、安全检测、安全审核、响应社会监督举报、黑名单管理制度及恶意程序下架等。总体来看,《App规定》第9条对分发平台的要求未超出现行应用商店监管规则对应用商店的要求。根据《App规定》第9条,分发平台应履行以下个人信息保护义务:
1. 验证并登记真实身份:登记并核验开发运营者、提供者的真实身份、联系方式等信息,以确保开发运营者和提供者的责任可追溯。
2. 公开App所需设备权限和个人信息处理规则:在显著位置标明App运行所需获取的用户终端权限列表和个人信息收集的类型、内容、目的、范围、方式、用途及处理规则等相关信息。
3. 不得欺骗强制误导用户下载App:不得欺骗误导用户下载App,不得设置难以关闭的弹窗信息。
4. 合规审核:对新上架App实行上架前个人信息处理活动规范性审核,对已上架App在本规定实施后1个月内完成补充审核,并根据审核结果进行更新或者清理。我们理解,分发平台需综合技术和管理措施,既要审核开发运营者或提供者的文本内容,以核查其个人信息处理规则或用户终端权限列表等内容的合法合规性,亦需对App进行安全技术检测,以核查App是否有信息窃取、系统破坏、诱骗欺诈、恶意传播、远程控制及强制弹窗等情形。
5. 建立App信用管理制度:建立开发运营者信用积分、风险App名单、平台信息共享及签名验证等管理机制。
6. 配合监管:按照监督管理部门的要求,完善报送机制,及时配合监督管理部门开展问题App上报、响应和处置工作。
7. 响应社会监督举报:设置便捷的投诉举报入口,及时处理公众对本平台所分发App的投诉举报。
五、终端生产企业及其责任
(一)
终端生产企业的界定
根据《App规定》第3条第5款,终端生产企业是指生产能够接入公众网络,提供预置App或者具备安装App能力的移动智能终端设备的主体。移动智能终端既包括常见的手机、平板电脑,亦包括预置App或具备安装能力的可穿戴设备、智能家居及智能车载终端等终端设备。
(二)
终端生产企业的主体责任
根据《App规定》第11条,终端生产企业除需要按照《移动智能终端应用软件预置和分发管理暂行规定》《工业和信息化部关于加强移动智能终端进网管理的通知》等规定落实移动智能终端安全和预装App的管理责任外,还应基于其对移动智能终端及操作系统的控制,落实对其他App的管控责任,具体包括:
1. 完善终端权限管控机制:及时弥补权限管理漏洞,持续优化和规范敏感行为的记录能力,在安装过程中以显著方式告知用户App申请的个人信息权限列表,并主动为用户权限申请和告知提供便利。
2. 建立终端启动和关联启动App管理机制:为用户提供关闭自启动和关联启动的功能选项,以防止App在用户不知情、不需要的情况下因终端启动而自行启动。
3. 帮助用户及时准确了解个人信息权限的使用状态:持续优化个人信息权限在用状态,特别是录音、拍照、视频等敏感权限在用状态的显著提示机制,以防止开发运营者私自调用权限。
4. 建立重点App关注名单管理机制:完善移动智能终端App管理措施,以便于配合监管部门的监管与处置。
5. 对预置App进行审核:持续监测预置App的个人信息安全风险,不得在移动智能终端中预置违法收集使用用户个人信息、擅自调用终端通信功能等恶意行为,以及其他侵害用户合法权益以及危害网络与数据安全的App。
6. 完善终端设备标识管理机制:通过合理管控App获取终端设备标识的能力,防止App通过终端设备标识关联、获取用户的个人信息。
六、网络接入服务提供者及其责任
(一)
网络接入服务提供者的界定
根据《App规定》第3条第6款,网络接入服务提供者是指从事互联网数据中心(IDC)业务、互联网接入服务(ISP)业务和内容分发网络(CDN)业务,为App提供网络接入服务的电信业务经营者,如云服务提供商。
(二)
网络接入服务提供者的主体责任
网络接入服务提供者在《App规定》第12条项下的主体责任与其在《打击治理移动互联网恶意程序专项行动工作方案》基本相同,即通过切断违法违规App传播链条,落实网络安全责任,具体包括:
1. 验证并登记真实身份:在为App提供网络接入服务时,登记并核验开发运营者的真实身份、联系方式等信息。
2. 配合监管:按照监督管理部门的要求,依法对违规App采取停止接入等必要措施,阻止其继续违规侵害用户个人信息和其他合法权益。
七、App个人信息保护的监管
(一)
监管部门的组成与范围
根据《App规定》第4条,App个人信息保护监管部门包括中央层面的国家网信办、工信部、公安部、国家市监局,以及上述部门对应的省、自治区、直辖市网信办、通信管理局、公安厅(局)、市监局。由于上述部门职责范围均涉及App个人信息保护工作,为避免多头管理、重复检查,《App规定》第4条亦规定,国家网信办会同工信部、公安部、国家市监局建立健全App个人信息保护监督管理联合工作机制,由国家网信办负责统筹协调App个人信息保护工作和相关监督管理工作,各部门在各自职责范围内负责App个人信息保护和监督管理。
(二)
监管部门的职责与权限
《App规定》第15-19条规定了App个人信息保护监管部门的职责与权限,具体如下:
1. 实施检查:根据公众投诉举报情况和监管中发现的问题,监督管理部门可以对存在问题和风险的App实施个人信息保护检查。
2. 责令整改与社会公告:对检测发现问题的App的开发运营者、分发平台、服务提供者及相关主体提出整改,要求5个工作日内进行整改及时消除隐患;未完成整改的,向社会公告。在近几年中,这种监管方法被监管部门频繁运用。
3. 下架处置:对社会公告5个工作日后,仍拒绝整改或者整改后仍存在问题的,可要求相关主体进行下架处置;对反复出现问题、采取技术对抗等违规情节严重的,将对其进行直接下架;被下架的App在40个工作日内不得通过任何渠道再次上架。
4. 断开接入:下架后仍未按要求完成整改的,将对其采取断开接入等必要措施。
5. 风险提示与市场禁入:对整改反复出现问题的App及其开发运营者开发的相关App,监督管理部门可以指导组织分发平台和终端生产企业在集成、分发、预置和安装等环节进行风险提示,情节严重的采取禁入措施。
6. 恢复上架:被下架的App完成整改,并完善技术和管理机制及作出企业自律承诺后,可向作出下架要求的监督管理部门申请恢复上架。
7. 恢复接入:被断开网络接入的App完成整改后,可向作出断开接入要求的监督管理部门申请恢复接入。
8. 信用管理:对相应违规主体,可纳入信用管理,实施联合惩戒。
9. 保密义务:监督管理部门应当对履行职责中知悉的用户个人信息予以保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。
八、总结
《App规定》是监管部门开展App违法违规收集使用个人信息治理工作的全面总结。该文件通过压实各相关主体在App个人信息保护各环节的主体责任,明确联合监管机制和递进处置措施,全面提升了App个人信息保护工作的系统性、整体性和协同性。
数据隐私与网络安全专栏往期文章
2. Cross-border Transfer of Personal Financial Information
4. APP收购攻略
12. App个人信息保护专项治理暴雨将至,你的屋顶会漏吗?
17. 欧盟《隐私与电子通信条例》(e-Privacy Regulation)草案介绍
20. 《网络安全等级保护条例(征求意见稿)》与《信息安全等级保护管理办法》的条款比对
21. 从《网络安全等级保护条例(征求意见稿)》看等保1.0到等保2.0的重要变化
23. 对“数据共享合法化”的分析与思考系列之三——欧盟B2B数据共享的案例研究
24. 中国企业的GDPR合规挑战
26. GDPR在看着你吗——GDPR第2条和第3条(适用范围)详解
27. 对“数据共享合法化”的分析与思考系列之二——欧盟B2B数据共享的案例研究
28. 对“数据共享合法化”的分析与思考系列之一:以《关于欧洲企业间数据共享的研究》为起点
30. GDPR之“用户数据可携权”评析(三)——“数据可携权”视角下的数据之争
31. GDPR之“用户数据可携权”评析(二)——“用户数据可携权”实务运用的若干问题
32. GDPR之“用户数据可携权”评析(一)——认识“用户数据可携权”
33. 记账理财APP的个人信息合规挑战
35. 您的公司有数据保护官了吗?
36. 《网络安全法》的出台改变了什么?——条文解析企业的网络安全义务和法律合规新需求
合伙人
021-2613 6222
yuan.lizhi@jingtian.com
袁立志律师先后从上海对外经贸大学和新加坡国立大学取得国际法硕士和国际商法硕士学位。2017年加入竞天公诚。
袁律师是IAPP(国际隐私专家协会)会员,通过CIPP/E资格认证,兼任华东师范大学法学院校外实务导师。
袁律师的执业领域为网络与数据法、公司法律事务。袁律师曾为多家知名企业提供网络与数据法律服务,包括金融机构、汽车制造商、智能硬件制造商、文化娱乐企业、互联网企业、数据服务商、云服务商、医疗机构等,承办了一系列前沿的、富有挑战性的项目,积累了丰富的实践经验,是该领域的知名专家。
袁律师先后荣获The Legal 500亚太地区TMT(电信、媒体与科技)领域(2020年度)和数据保护领域(2021年度)“特别推荐律师”,并名列LEGALBAND中国顶级律师排行榜“网络安全与数据”第一梯队(2020年度),中国律师特别推荐榜15强:网络安全与数据合规(2020年度)。
袁立志律师历史文章
3. Cross-border Transfer of Personal Financial Information
4. APP收购攻略
8. 企业如何应对数据泄露
10. 网约车与电商法的适用五题
12. App个人信息保护专项治理暴雨将至,你的屋顶会漏吗?
17. 中国企业的GDPR合规挑战
19. 债权催收行业法律研究报告(下)
20. 债权催收行业法律研究报告(上)
律师
021-2613 6391
duan.yu@jingtian.com
段宇律师历史文章
4. 网约车与电商法的适用五题
声明 DISCLAIMER
本文观点仅供参考,不可视为竞天公诚律师事务所及其律师对有关问题出具的正式法律意见。如您有任何法律问题或需要法律意见,请与本所联系。
This article is for your reference only and not to be deemed as formal legal advice given by Jingtian & Gongcheng or its lawyers. Please contact us directly for formal legal advice or further discussion about the relevant issues.