辉说合规 ll App专项整治:您有一份自“救”(纠)宝典待查收
作者:世辉律师事务所 I 杨晓庆 I 陈晨
第一 收集用户个人信息必须合法合规
根据《App整改通知》,违规收集用户个人信息主要包括私自收集个人信息与超范围收集个人信息两类行为。
私自收集个人信息,即App未明确告知收集使用个人信息的目的、方式和范围并在获得用户同意前,收集用户个人信息,主要体现为: 1.未经同意就开始收集个人信息,比如App首次运行、在提示用户阅读隐私政策前就开始收集个人信息; 2.实际收集使用的个人信息超出用户授权的范围; 3.违背与用户约定,不按隐私政策中的收集使用规则收集使用个人信息; 4.用户明确拒绝后,仍收集个人信息。
敲黑板时间
用户同意是收集个人信息的必经程序,用户没有同意前,不可以收集!不可以收集!不可以收集!(重要的事情说三遍)因此,收集个人信息时,App服务提供者可以参照以下几点制定整改方案:
App各业务功能实际收集的个人信息类型应与隐私政策所描述的内容一致,不应超出隐私政策的范围;
当App申请打开系统权限时(不包括用户自行在系统设置中打开权限的情况),App应当明示使用该权限收集个人信息的目的(例如,提供网络约车服务,申请打开位置权限时,须告知用户是为了确定用户的当前位置,推荐周围上车点,搜索显示附近车辆信息); 如果涉及收集个人敏感信息(例如:身份证件号码、银行账号、个人生物识别信息、通信记录和内容、财产信息等),App应通过弹窗提示等显著方式向用户明示收集、使用个人信息的目的、方式、范围; App收集个人信息前应提供由用户主动选择同意或不同意的选项,不同意应仅影响与所拒绝提供个人信息相关的业务功能; 如果涉及收集年满14周岁未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的同意,并同时提供拒绝选项。
超范围收集个人信息,即App收集个人信息,非服务所必需或无合理应用场景,超范围或超频次收集个人信息,如通讯录、位置、身份证、人脸等,主要体现为:
1.实际收集的个人信息类型与现有业务功能无关,无关是指该类信息并非实现现有业务功能所必需;
2.在用户使用某项业务功能时,收集个人信息的频率等超出所使用的业务功能需要;
3.如提供未经注册即可使用(如支持浏览、游客模式)的业务功能,用户若不同意收集此类业务功能所需以外的个人信息,App拒绝提供所有服务;
4.新增业务功能时,需收集的个人信息超出原有同意范围,如用户不同意收集,则拒绝提供原有业务功能,新增业务功能将取代原有业务功能的除外。
敲黑板时间
收集个人信息应坚持最少必要原则,不收集与其提供的服务无关的个人信息,不申请打开手机无关个人信息的权限,只收集业务功能所必须的最小必要信息与最小必要权限[i],App服务提供者可以参照以下几点制定整改方案:
在判断各项业务功能所必须的最小必要信息与最小必要权限时,可参考2019年6月发布的《网络安全实践指南——移动互联网应用基本业务功能必要信息规范V1.0》与2019年10月24日发布的《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范(草案)》附录A[ii]与附录B;
当App拟收集的个人信息超出业务功能所必须的最小必要信息时,对于超出部分的个人信息,App应征得用户的授权同意。涉及个人敏感信息的,应逐项征得用户的明示同意;
当用户已经同意App收集某服务类型的最小必要信息时,App服务提供者不得因用户拒绝提供最小必要信息之外的个人信息而拒绝提供该类型服务;
App更新升级后,不应更改原有的系统权限设置。
第二 使用用户个人信息必须合规合法
《App整改通知》列举了目前比较常见的违规使用用户个人信息的两类行为,包括私自共享给第三方与强制用户使用定向推送功能。
私自共享给第三方,即App未经用户同意擅自与其他应用共享、使用其合法收集的用户个人信息,如设备识别信息、商品浏览记录、搜索使用习惯、常用软件应用列表等,主要体现为:
1.未经同意,且未做匿名化处理,从客户端直接向第三方提供个人信息,包括App客户端嵌入第三方代码、插件(如sdk)等方式向第三方提供;
2.数据传输至App服务器后,未经同意,且未经匿名化处理,向第三方提供其收集的个人信息。
强制用户使用定向推送功能,即App未向用户告知,或未以显著方式标示,擅自将收集到的用户搜索、浏览记录、使用习惯等个人信息,用于其定向向该用户推送或精准营销,且未提供用户关闭该功能的选项。
敲黑板时间
原则上,未经用户的事先同意,App服务提供者不得转让、共享其用户的个人信息,如App服务提供者因实际需要须使用其收集的个人信息,应当遵守以下几点要求:
App服务提供者拟转让、共享个人信息(去标识化处理的个人信息且无法重新识别或关联用户的除外)时,应当向用户告知其共享、转让个人信息的目的、数据接收方的类型及可能产生的后果,并事先征得用户的授权同意;
如果涉及个人敏感信息,还应当向用户告知个人敏感信息类型、数据接收方的身份和数据安全能力,并事先征得用户的明示同意;
在共享与转让过程中,须通过合同等方式明确数据接收方的责任与义务,并且准确记录和保存共享与转让情况;
在向用户提供业务功能的过程中使用个性化展示[iii]模式的,应显著区分(例如标明“定推”等字样,或通过不同的栏目、版块、页面分别展示)个性化展示的内容和非个性化展示的内容;
在向用户推送新闻信息服务的过程中使用个性化展示的,应为用户提供简单直观的退出或关闭个性化展示模式的选项;
当用户选择退出或关闭个性化展示模式时,向用户提供删除或匿名化该定向推送活动所基于的个人信息的选项;
需特别注意的是,App服务提供者涉及向第三方转移儿童个人信息的,还应当自行或者委托第三方机构进行安全评估。
第三 索取用户权限必须合理
《App整改通知》强调了不合理索取用户权限的三类行为:
不给权限不让用,即App安装和运行时,向用户申请与当前服务场景无关的权限,用户拒绝授权后,应用退出或关闭,具体表现为:
1.捆绑多项业务功能一揽子征求用户同意,不同意则不提供任何单一服务;
2.当用户拒绝某一业务功能收集个人信息的请求时,App停止提供其他业务功能。
敲黑板时间
当App提供多项需收集个人信息的业务功能时,App服务提供者不应违背用户的自主意愿,强迫用户接受产品或服务所提供的业务功能及相应个人信息收集请求:
当同一App有两种或两种以上服务类型时,App服务提供者应允许用户逐项开启和退出服务类型,且开启或退出的方式应易于操作;
应把用户自主作出的肯定性动作,如主动点击、勾选、填写等,作为产品或服务的特定业务功能的开启条件。App服务提供者应仅在用户开启该业务功能后,开始收集个人信息;
用户不授权同意使用、关闭或退出特定业务功能的,App服务提供者不应暂停用户自主选择使用的其他业务功能,或降低其他业务功能的服务质量。
频繁申请权限,即App在用户明确拒绝权限申请后,频繁申请开启通讯录、定位、短信、录音、相机等与当前服务场景无关的权限,骚扰用户。
敲黑板时间
对于用户明确拒绝使用、关闭或退出的特定业务功能,App不应再次询问用户是否打开该业务功能或相关系统权限。
过度索取权限,即App在用户未使用相关功能或服务时,提前申请开启通讯录、定位、短信、录音、相机等权限,或超出其业务功能或服务外,申请通讯录、定位、短信、录音、相机等权限。
敲黑板时间
再次强调,收集个人信息应坚持最少必要原则,只申请实现业务功能所必需的系统权限。此外,App在申请权限时,应当告知用户其收集使用个人信息的目的,并且其使用权限的行为应与隐私政策等文件描述内容一致。
第四 用户账号必须可注销
根据App专项治理工作组2019年3月发布的《App违法违规收集使用个人信息自评估指南》,App应该提供用户账号注销的功能,即用户拥有账号后,有权选择注销该账号,据此,App应避免出现未向用户提供账号注销服务(未说明账户注销的操作方法)或以下为用户注销账号设置障碍的操作:
1.“隐身大法”:将注销的功能界面隐藏在极为隐蔽之处,用户翻遍App上各项功能,也难以觅得“注销账户”的芳踪;
2.“拖延大法”:用户根据App提供的方法(人工客服、电子邮件、在线操作等)进行了注销的操作,但App迟迟不响应或者未在承诺时限内完成核查和处理,注销申请自此杳无音讯;
3.“证明你是你大法”:部分App注册时仅需提供手机号与验证码,而在注销时则要求用户进行身份核验,比如提供身份证、银行卡或者手持证件原件自拍。
敲黑板时间
有用有还,再用不难!用户是个人信息的所有权人,其有权随时注销其在某App上的账户及相关个人信息,作为App服务提供者,无权阻碍用户注销其账户并应按照以下要求调整其目前App运营中关于用户账户注销的安排:
App可以在隐私政策中明确说明账户注销的操作方法或者设置注销功能交互式页面,且该等注销方法应当简便易操作;
受理用户注销账号请求后,App服务提供者应当及时响应并处理,需要人工处理的,应在承诺时限内(原则上不超过十五天)完成核查和处理;
注销过程如果进行身份核验,需要用户重新提供个人信息的,不应多于注册、使用等服务环节收集的个人信息,且应尽量采取简化的方式减少用户负担;
身份核验时需收集个人敏感信息核验身份时,应明确对收集个人敏感信息后的处理措施,例如达成目的后立即删除或匿名化处理等;
注销过程不应设置不合理的条件或提出额外要求增加用户的义务,比如注销单个账户视同注销多个产品或服务,要求用户填写精确的历史操作记录作为必要注销条件等。
大辉哥:
宝典上完后,大辉哥还要啰嗦几句,自纠自查并非一场期末测试,宝典也非应试指南,切忌临时抱佛脚,个人信息保护工作还需App服务提供者从日常做起,在准备收集、使用前多想两步,个人信息保护合规道路就少走一段弯路,企业多一份责任感,用户添一份安全感。在数据产业创新和数字经济飞速发展的今天,每一位参与者都应谨记个人信息收集以及使用的红线,不要在违法边缘试探哦!
[i]根据2019年10月24日发布的《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范(草案)》,最小必要信息是指保障某一服务类型正常运行所最少够用的个人信息,包括一旦缺少将导致该类型服务无法实现或无法正常运行的个人信息,以及法律法规要求必须收集的个人信息;最小必要权限范围是指用于收集某一服务类型最小必要信息且需要个人信息主体主动授予的智能移动终端操作系统权限。
[ii]2019年6月发布的《网络安全实践指南——移动互联网应用基本业务功能必要信息规范V1.0》中还列明了地图导航、网络约车、即时通讯社交、社区社交、网络支付等16类基本业务功能正常运行所需要的个人信息,例如地图导航可能会需要收集用户的位置信息,其中精准定位信息仅用于确定用户的位置、进行地图搜索展示和导航服务,行踪轨迹仅用于在导航服务中判断实时路况及重新规划导航路线。
[iii]根据2019年10月22日发布的GB/T35273《信息安全技术 个人信息安全规范(征求意见稿)》,个性化展示是指基于特定个人信息主体的网络浏览历史、兴趣爱好、消费记录和习惯等个人信息,向该个人信息主体展示信息内容、提供商品或服务的搜索结果等活动。
版权与免责
本文章仅供业内人士参考,不应被视为任何意义上的法律意见。未经北京世辉律师事务所书面同意,本文章不得被用于其他目的。如需转载,请注明来源。如您对本文章的内容有任何问题,可联系本文作者杨晓庆律师、陈晨律师或您熟悉的其他世辉律师。
杨晓庆
合伙人
yangxq@shihuilaw.com
陈晨
律师
chench@shihuilaw.com
跨境投融资系列
跨境投融资系列 ‖ 新《外商投资法》要点简析
辉说互金系列
辉说基金系列
辉说期权系列
辉说并购系列
发行上市系列
其他
世辉专注于提供新经济领域的投融资、并购、上市、基金设立、财富管理等法律服务。
世辉团队已成功完成数百家企业的私募融资、并购、搭建红筹重组、红筹回归及上市项目。其中,世辉团队长期服务的数十家新经济企业已成为各自行业的领军者,如京东集团、京东物流、团车网、找钢网、京东数科、e代理、猎聘网、懂球帝、美柚、牛股王、慧科集团、学堂在线等。
世辉团队为众多顶级风险投资和私募基金提供过投融资及/或基金设立法律服务,如经纬中国、高榕资本、贝塔斯曼、华创资本、华兴资本、农银投资、昆仲资本、浅石创投、险峰长青、祥峰投资、IDG、新犁资本等。
世辉团队还为诸多业内大佬、公司及基金创始人提供信托结构搭建等家族财富管理方面的法律服务