数据安全 |《App违法违规收集使用个人信息监测分析报告》概览

闪涛律师团队 LEGAL EYE 看法见法 2024-01-09

关键词：区块链；人工智能；大数据；智能合约；涉外法律服务；专业律师

本期关键词：APP收集使用个人信息；《个人信息保护法》；《App 违法违规收集使用个人信息行为认定方法》；SDK；App收集使用个人信息监测平台；App举报受理平台

本文约2931字，大概需要阅读8分钟。

来源：中国网信网

http://www.cac.gov.cn/2021-12/09/c_1640647038708751.htm

2021年，国家计算机网络应急技术处理协调中心（CNCERT）与中国网络空间安全协会共同建立了App收集使用个人信息监测平台、App举报受理平台。近期，CNCERT会同网安协会对前期专项治理和平台监测发现的App违法违规收集使用个人信息问题进行了总结梳理，对问题特点和趋势进行了深入分析，形成了关于App收集使用个人信息情况的监测分析报告。

报告主要分为两个部分：一是App收集使用个人信息总体状况，二是工作建议。

报告的第一部分，从9个方面对App违法违规收集使用个人信息的态势进行了分析和概述：

个人信息保护法律法规体系日趋完善，App违法违规收集使用个人信息治理取得阶段性成果

2021 年 11 月 1 日起，《个人信息保护法》正式颁布实施，标志着我国个人信息保护立法体系进入新的阶段。《个人信息保护法》的出台为个人信息权益保护、信息处理者的义务以及主管机关的职权范围提供了全面的、体系化的法律依据，涵盖个人信息收集、存储、使用、加工、传输、提供、公开、删除等多个环节以及自动化决策、个人信息跨境提供等特定场景，与《民法典》《网络安全法》《数据安全法》等共同构成了我国个人信息保护的法律框架。

此外，多项个人信息保护相关法规面向社会公众发布或公开征求意见，我国个人信息保护领域法律法规体系日趋完善。例如2021年5月，国家网信办等四部委联合制定的《常见类型移动互联网应用程序必要个人信息范围规定》正式实施，明确 App 不得强制收集非必要个人信息。11 月，国家网信办会同相关部门研究起草的《网络数据安全管理条例》公开征求意见，其中“个人信息保护”章节详细规定了知情同意、最小必要、权利保障、生物特征信息等方面的要求，并明确提出处理一百万人以上个人信息应视为重要数据处理者进行管理。

强制收集非必要个人信息问题明显减少，启动弹窗索要无关权限问题多发

App 打开后强制要求收集个人信息是用户普遍反感的违规行为之一。《常见类型移动互联网应用程序必要个人信息范围规定》明确“App 不得因用户不同意收集非必要个人信息，而拒绝用户使用 App 基本功能服务”。然而，很多 App 尽管不再强制收集，仍在首次启动就弹窗索要多个无关权限，用户对此较为反感，由此产生的投诉举报比较集中。监测显示，在华为、小米、VIVO、OPPO、腾讯应用宝等主流应用商店近三个月新上架应用中，平均每月有近 1000款存在此问题的应用上架。

超范围收集个人信息行为治理成效初显，但“七类”隐蔽问题仍需紧盯不放

深入技术分析发现，App 超范围收集个人信息的问题目前主要包括七种情形：一是敏感权限声明超出必要范围；二是权限索取超出必要范围；三是收集数据的敏感性超出必要范围；四是收集数据的具体内容超出必要范围；五是收集方式超出必要范围；六是收集频率超出必要范围；七是收集场景超出必要范围。

中小应用“知情同意”问题较多，集中表现为同意前收集、频繁索权等违规行为

知情同意是处理个人信息的基本前提条件之一。《个人信息保护法》进一步细化了“基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出”等要求。根据国家网信办等四部委发布的《App 违法违规收集使用个人信息行为认定方法》，目前常见违反知情同意要求的问题集中表现为以下四类：一是征得用户同意前收集个人信息；二是用户拒绝后频繁征求用户同意，干扰用户正常使用；三是诱导用户同意收集个人信息；四是个人信息定向推送但无法关闭。

移动应用无隐私政策问题持续向好，存量问题应用仍需下架清理

隐私政策是用户了解应用处理个人信息目的、规则、方式、范围等信息的重要途径，也是《个人信息保护法》告知同意要求中，最主要的告知手段。监测发现，App 无隐私政策问题呈现下降趋势，平台企业公开收集使用规则的意识显著增强，，但部分中小应用商店审核机制尚未健全，仍有 7.8 万款存量问题需进行下架清理。

明示收集使用个人信息行为日趋重视，未明示敏感数据收集与“一揽子”同意问题突出

《个人信息保护法》规定，在处理个人信息前应当真实、准确、完整地向个人告知收集使用个人信息的目的、方式、范围等内容，从而充分保证用户的知情权。在敏感数据明示收集方面，监测发现 60.7%的应用收集了安卓ID等设备唯一标识信息，55.4%的应用收集了应用列表信息，13.7%的应用收集了剪切板信息，此类信息可用于人物画像、个性化推送等业务，敏感程度较高，App 应向用户明示并取得授权。

在隐私政策明示说明方面，监测数据与人工抽验结果显示，隐私政策存在隐瞒个人信息收集行为、“一揽子”同意等违规问题较为突出。一是隐瞒敏感个人信息收集行为，例如，电话、短信拦截功能涉及通话记录和短信等高度敏感权限，隐私政策应清晰告知是否收集用户主叫通话记录和全部短信内容等敏感内容。二是隐瞒个人信息对外共享行为，例如，面部特效、私信、客服等功能利用第三方 SDK 实现的，应清晰告知可能将用户人脸信息、私信内容、客服记录等共享至第三方。三是要求“一揽子”同意隐私政策全部条款甚至不合理条款。

SDK收集行为普遍存在，处理活动需规范和整治

监测数据表明，一款 App 平均嵌入 10 款以上 SDK(软件开发工具包，Software Development Kit)，通过 SDK 实现认证登录、消息推送、访问统计等功能，一些自主开发水平较低的中小应用甚至主要功能也完全依靠SDK 实现。在监测中发现，第三方 SDK 收集行为不规范引发的 App 违规问题日益凸显。一是同类型中各款 SDK 收集个人信息范围差异较大；二是 SDK 的权限调用和声明行为不规范。

账号注销功能基本具备，设置不合理条件等违规行为仍需重视

按照《个人信息保护法》第十五条要求，“基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。”监测发现，目前多数 App已经提供了账号注销功能，但实际使用过程中发现其中不少App 设置了不合理条件和障碍，导致注销困难。例如，抽样检测发现约 9.7%的 App 存在不同程度的注销困难问题，包括：捆绑注销问题，即申请注销时强制要求将用户在同一运营者旗下的所有 App 账号全部注销；注销时过度索要个人信息问题，即申请注销时，要求用户提交在注册和正常使用App 时都未涉及的额外个人信息，否则不予注销；注销周期过长问题，即账号注销响应时间超过《App 违法违规收集使用个人信息行为认定方法》等规定的 15 日期限。

举报受理与宣传教育齐头并进，有效发挥社会监督作用

国家网信办指导中国网络空间安全协会设立 App 违法违规收集使用个人信息行为投诉报受理平台，及时接收处理群众问题反映。同时，积极开展科普宣传，通过微信公众号等渠道发布与个人信息保护相关的政策法律法规解读、违规案例、专家解读、知识科普等文章，组织业内专家撰写一系列面向各种受众群体的专业论著，及时向公众传递个人信息保护理念，传授个人信息保护知识，提升公众个人信息保护意识与能力，有效发挥社会监督作用。

报告的第二部分，从鼓励示范应用、持续专项治理、关键环节把关、强化标准规范、完善投诉举报、加大宣传教育、推进行业自律等方面提出了工作思路和建议。

此次向社会公开发布该报告，旨在及时反映当前App收集使用个人信息整体情况，为行业企业和全社会了解当前App个人信息安全形势提供参考。同时，对广大App运营者以及应用商店、智能终端等平台积极落实主体责任、提升个人信息保护水平起到参考监督作用，对社会公众提高个人信息安全意识起到宣传促进作用。

陆续更新，敬请期待

版权归闪涛律师团队所有，未经许可不得转载。

如认为本文侵犯版权，请及时联系闪涛律师团队。

团队介绍

闪涛律师团队专注于提供涉外法律服务、“一带一路”海外投资、跨境争议解决、公司法务、并购、解散、破产、清算、金融、证券、私募、区块链、人工智能、智能合约、大数据等领域。

闪涛律师，广东广信君达律师事务所高级合伙人，广东外语外贸大学法学院教授、硕士研究生导师，中南财经政法大学博士研究生。

闪涛律师是中华全国律师协会涉外法律事务领军人才库人选，司法部“全国千名涉外律师人才名录”，司法部、全国律师协会“一带一路”跨境律师人才库首批成员，司法部、全国律师协会“一带一路”项目沙特阿拉伯国别协调人，广东省涉外律师领军人才库成员。

往期回顾

数据安全

数据安全 | 金融数据安全的标准来了！