查看原文
其他

原创 | App收集个人信息合规问题

法律未来 互联网法律大会 2022-07-15

免费订阅请点击上方“互联网法律大会”



本文作者


黄孝怡


浙江大学法律硕士



案情简介

近日,iOS 15系统上架了一款监控App的软件,美团App因此被爆出后台持续24小时、每隔5分钟收集一次定位信息。事后,美团工程师公开澄清,此为iOS 15系统日志的软件的系统错误,同时反击该软件自身的安全性和保密性。事件引起轩然大波,同时又一次触动大众对大数据安全问题的敏感神经。



具体分析

随着手机App的普及,人们越来越依赖随之而来的各种便利,无论是动态分享、休闲娱乐、网络购物、银行理财、医院就医、外卖、打车都因App的应用变得多彩而便捷。但与此同时,App运营者掌握了海量的用户信息,也隐含着巨大的侵权风险。一方面,App运营者要御防黑客攻击导致信息泄露,另一方面,某些App自身也存在违规收集和处理个人信息的行为,“大数据杀熟”问题屡见不鲜,严重侵害了用户的个人信息。


但大众对于大数据收集问题不必过于焦虑,我国有关部门对APP数据收集的监管力度和执法力度逐年增大,众多App被勒令整改甚至下架。19年初,中央网信办、工信部、公安部、市场监管总局四部委联合开展App违法违规收集使用个人信息专项治理,采用文本核查、试用验证、技术检测等多手段对App进行全面检查。工信部更是多次对App违规收集个人信息“回头看”,保证App数据安全。同时,多部法律、法规、指南相继出台,个人信息保护从粗放到精细,例如《网络安全法》确定了App数据收集的“合法、必要、正当”三大原则,今年11月生效的《个人信息保护法》则进一步对App收集个人信息合规问题做出了明确规定。


01

隐私政策

隐私条款是用户获知App收集信息的范围和使用目的最直观的方式,但是用户在注册时往往因为急于使用而忽略隐私条款,因此隐私条款的独立完整、易读、易获取是首要形式条件。经过整顿,大部分App均采用了独立的隐私条款,并将其置于设置页面。调查研究显示,从主页获取隐私条款的路径步骤超过4步,用户的兴趣会大幅下降,因此多于4次点击才能访问到的隐私政策将会被认为是难以访问。


以美团为例,进入主页后需要通过点击“我的→设置→关于美团→美团规则→隐私政策→《美团隐私政策》”共6步才能获取隐私协议,隐藏很深。同时,在设置页面中还有“隐私管理”这样具有迷惑性的路径,如果不是目的性很强的用户,极有可能放弃寻找隐私文本。相比之下,B站仅需要“我的→设置→《隐私政策》”3步即可获得《哔哩哔哩隐私政策》,同时设置页面还有隐私权限管理按钮,用户可以在此界面清晰地了解自己授权了哪些功能及相关权限使用规则,也可以很方便的关闭部分权限。


02

告知与同意

除了形式条件以外,隐私协议必须明确告知收集个人信息的范围、方式和使用目的,未经用户同意,App不得自行收集个人信息。目前,许多App存在以“一揽子同意”和“反复弹窗”的方式影响用户的正常使用现象,这违反了App数据收集的“最小必要原则”。App在登陆界面即要求所有功能权项,如果用户不同意则不能使用App的全部功能,或者App在用户明确拒绝后,以弹窗形式频繁要求授权,干扰用户使用。这些行为都违反了《App收集个人信息基本规范》的规定。


在首次使用时,App是否以弹窗形式提示用户阅读隐私协议也很重要。目前,大部分App的授权模式从以前的默认同意变为默认不同意,在登陆页面以彩色字体要求用户勾选同意才可进入应用。并且,多数用户对隐私协议的关注是不足的,因此,随着App合规的进一步推进,涉及个人敏感信息的部分应当取得单独同意,仅仅在隐私协议中列出敏感信息的收集仍有可能被认定为未明示告知。App运营者需要结合应用场景,以弹窗方式同步、明确告知收集范围和使用目的,获得即时授权。


在某些情况下,为了实现一键登陆、第三方支付、地图导航等等功能,App会接入由第三方提供的软件开发包(SDK),这些SDK也会涉及到信息收集。因此除自身收集用户数据之外,App通过SDK或其他方式向第三方提供个人信息也需要以弹窗形式告知并得到用户同意。


实务中,有的APP在隐私条款中设置链接转跳到第三方应用的隐私条款,也有App直接全部列出第三方应用和权限,如哔哩哔哩就兼采这两种方式——列明+链接。除此以外,App应当与第三方形成合作合同,明确SDK可收集信息范围,保证用户信息安全。但App仍需要对合作方SDK进行严格的安全监测,当数据安全事故发生时,App不可以已签订合作合同为由进行免责抗辩。


03

撤回同意与注销信息

用户在授权App收集数据之后,仍然有撤回同意的权利。一般情况下,用户可以在手机的应用管理中改变App权限,App不得因此向用户关闭全部应用功能。App有定向推送功能的,还必须在App内提供关闭个性化内容和广告推荐的选项,且关闭不能影响用户的正常使用。


最后,App运营者要保障用户个人信息主体权利,提供更正、删除、注销个人信息的方便路径。这里的方便是指注销难度至少不高于授权,App用各种理由妨碍用户注销的都会受到执法部门处罚。除法律法规规定要保存订单信息外,App注销用户账户同时必须删除所收集的个人信息,并保证SDK的同步删除;因法律法规保存信息的,应当向用户明确存储期限,定期删除。



写在最后

App信息收集合规给App平台提供了轨道,一方面是限制,另一方面也是指引。信息收集合规是数据合理合法使用的前提,App平台应当在法律允许的范围内探索数据使用转化的途径,最大限度地利用大数据分析,优化资源分配,提高市场效率。


END


浙江大学《互联网与法学》课程成果

本文作者:黄孝怡 

本文编辑:钱依晴

本文审阅:涂懿敏

(限于篇幅,文中注释均已省略)

(本文观点和内容与本公众号无关)

延伸阅读:

原创 | 直播电商是不是广告?主播是不是代言人?

原创 | 错价网购合同的单方撤销权探讨

原创 | 试论外链屏蔽解除的影响

主     编:吴   芮

副  主  编:尚   鹏

来稿请投:zjulaw@aliyun.com

转载须授权


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存