12月8日起,开发者在AppStore发版时可能需要个律师
近日,苹果发布AppStore隐私保护说明,要求自2020年12月8日起,开发者在AppStore发布或更新APP(以下合称“发版”)时,必须在AppStore Connect 中填写收集、使用用户个人信息的调查问卷。在此之前,苹果已经要求开发者提供适用于APP的隐私政策/个人信息保护政策(以下统称“隐私政策”)的链接。
这些内容用于在用户下载、更新iOS版APP前,提前了解APP如何收集和使用用户的个人信息,从而提高APP个人信息保护的透明度。作为业界典范,苹果总是不遗余力地通过系统策略及平台政策引导APP加强个人信息保护,此举无疑是苹果在个人信息保护方面作出的又一个重大努力,对于iOS版APP开发者影响重大。
结合我国个人信息保护最新立法与监管实践,参考苹果公司相关政策文件,汇业律师事务所黄春林律师团队详细解读开发者在AppStore发版时的主要合规问题如下:
1.需要为iOS版APP提供单独的隐私政策链接吗?
苹果并未强制要求必须为每个iOS版APP制定单独的隐私政策或者提供专属的隐私政策链接。实践中,很多开发者都是提供的APP(iOS及Android版本)、网站、小程序等通用的隐私政策版本链接。部分合规标准较高的开发者(例如微信)还提供了隐私保护指引,这里的链接也可以指向隐私保护指引。
实践中,为了确保隐私政策的合规性,建议开发者确保APP内(例如首次注册勾选及用户中心展示)显示的隐私政策版本与链接指向的版本的一致性,并同步更新。
2.调查问卷、隐私政策及APP实际情况必须一致吗?
很多开发者困惑的一个问题,调查问卷填写的个人信息收集、使用情况必须与隐私政策完全一致吗?根据我们的经验,可以不用完全匹配并穷尽所有(建议与法务、律师一起确定需要披露的类型及颗粒度等,实现合规与商业影响的有效平衡),但是不能冲突。苹果的建议也是“您可以使用‘隐私选择’或‘隐私政策’链接来提供更多详细信息,说明您的数据收集做法可能存在的差异。”
但是,根据《App违法违规收集使用个人信息行为认定方法》等规定及近期国内监管执法实践,隐私政策(链接版本及APP内展示版本)必须和APP实际收集、使用情况一致,否则存在被认定为违法违规的法律风险较高。因此,除非开发者的隐私政策按照不同网络渠道(APP、网站、小程序)及场景详细列举了收集、使用个人信息的情况,否则不宜使用统一的隐私政策版本,例如,往往iOS版APP和Android版APP的系统权限设置会有差异。
3.可以不填写调查问卷吗?
尽管苹果给出了豁免披露的情形,但要求必须同时满足四项豁免条件(非追踪、非广告目的、偶发收集、充分告知同意),因此极少APP能满足豁免披露要求。所以,实质上几乎所有APP发版时均应填写调查问卷。问卷一经填写完毕并保存,用户即可在APP下载/更新界面中以看板形式同步详细了解APP的个人信息收集、使用情况。
若开发者拒绝填写调查问卷的,将面临APP不能正常发版的风险;调查问卷作假的,则面临被AppStore移除或除名的风险。
若新版APP收集、使用个人信息的情况发生变更的,开发者应当及时在AppStore Connect上更新调查问卷内容(APP无需重新发版),以满足所披露信息的真实性、有效性。
4.仅在设备本地收集、使用个人信息可以不用披露?
与GDPR及国内《个人信息安全规范》一致,苹果并不认为所有的个人信息采集行为都属于法律意义上的“收集”,因此并非所有的采集行为都要披露。
根据苹果指引,需要披露的“收集”必须至少满足两个条件:(1)传输出移动设备,并在开发者云端或服务端存储(超过技术必要时间);(2)开发者或第三方可读/可访问。
因此,对于仅在设备本地(APP客户端)收集、使用用户个人信息,并不上传至APP服务端的,可以不用在调查问卷中填写并向用户看板披露。
5.是否必须披露第三方代码及SDK信息?
第三方代码及SDK(例如统计、推送、认证及广告等)披露合规,是近期国内APP监管执法的重点领域。与隐私政策中SDK披露的国内合规要求类似,苹果也要求开发者明确APP是否使用第三方代码及SDK,以及详细提交第三方代码及SDK收集、使用用户个人信息的情况。
为了确保披露合规,建议开发者在AppStore Connect中填报的第三方代码及SDK信息与隐私政策中披露的信息一致。
6.几种常见的个人信息类型填写实践
根据苹果说明文档及汇业黄春林律师团队实际调研,苹果提供的可选个人信息包括联系信息、健康与健身、财务信息、位置(含粗略位置)、敏感信息(含生物识别特征)、联系人、UGC、浏览记录、用户及设备ID(含广告标识符)、其他数据等14种类型,以及需要确定是否与用户身份关联(所有个人信息均默认为关联)。
考虑到苹果已经详细罗列了每种类型信息的二级选项,因此实际填写中,开发者如何平衡对于信息披露颗粒度与商业影响之间的关系,有效利用“其他数据”选项,需要综合业务、IT、合规及法律相关专业人士的意见。
7.几种典型的个人信息用途填写实践
相较于个人信息类型的具象要求,在个人信息的用途方面,苹果给出的选项颗粒度相对较粗,仅给出了APP功能、产品个性化、分析、广告和营销、其他用途等几种选项,以及需要确定是否用于追踪目的。
尤其是“APP功能”选项,苹果给出了广泛的解释,即为了维持APP当前功能的用途,包括“认证用户身份、启用功能、防止欺诈、实施安全措施、确保服务器正常运行时间、最大限度减少APP崩溃、提升可扩展性和性能,或执行客户支持”等。如此模糊化的选项,也极大地便利了开发者的发版要求,降低了相应的合规成本。
8.在AppStore发版的APP受中国法管辖吗?
早些时候,部分因违法违规被监管机构要求下架的APP,均在国内所有安卓市场下架,但唯独AppStore不受影响,曾一度引发在AppStore发版的APP(下载安装前,下同)是否受中国法管辖的讨论。事实上,今年以来,工信部信通局一共发布了六批《关于侵害用户权益行为的APP通报》,全部来源于国内安卓市场,均不涉及AppStore。
根据《AppStore审核指南》,“只要app向某个地区的用户提供,那么就必须遵守该地区的所有法律要求。”因此,若开发者在AppStore中国区发版APP的,应当遵从中国法律法规之管辖,包括但不限于《网络安全法》、《移动互联网应用程序信息服务管理规定》、《App违法违规收集使用个人信息行为认定方法》等。但悖论在于,若AppStore发版的APP应当遵从中国法律,那么AppStore本身是否需要遵从中国法律(例如是否需要取得增值电信业务资质)?这似乎是一个讳莫如深的话题。
在此之前,AppStore中国区下架了有关违规VPN软件及无版号游戏。在2020年3月,国家移动互联网应用安全管理中心(CNAAC)通报了一批APP违规案例,其中部分即涉及AppStore上发版的APP。
黄春林
汇业律师事务所高级合伙人
Ramon.huang@huiyelaw.com
黄春林律师,现为上海市律协互联网与信息技术专业委员会副主任,主要执业领域为网络与数据合规、高新技术及泛娱乐领域综合法律服务,常年为数十家境内外企业提供前瞻性法律服务解决方案,2019年在人民法院出版社出版专著《网络与数据法律实务:法律适用及合规落地》,多次被LegalBand、知产力等评为中国顶级律师之一。
往期文章推荐: