2019年10月22日,美国联邦贸易委员会(Federal Trade Commission,以下简称“FTC”)首次针对三款追踪类App亮剑,禁止该App开发者,Retina-X StudiosLLC及其所有人James N. Johns Jr.继续销售该等App。该等追踪类App不仅能够秘密地监控其他人的手机和设备的位置,还能追踪移动设备使用者的通话、短信、图片、物理移动位置和浏览历史记录等信息。目前,FTC消费者保护机构已于该公司达成和解,FTC的公告全文翻译参见FTC“首次针对追踪类App提起诉讼”的官方声明中文翻译(DPO社群出品)。“追踪类App”这个名词听起来可能陌生和抽象,然而实际生活中我们都接触过类似的产品或服务,类似的场景如家长可以随时儿童智能电话手表的佩戴者所在位置并进行监控。本文将从介绍追踪类App出发,分析追踪类App存在的问题与合规难点,以及企业如何保护个人信息、防范风险三个方面进行分析。
以本案中受到处罚的、主打父母监控儿童的App—TeenShield为例:
图片为TeenShield App官网展示的App功能页面。如左边的导航栏所示,该App通过收集相关数据上传至云端,家长可以登录网页随时监控儿童的地理位置、通讯记录、短信内容、WhatsApp消息内容等,实现全方位监控。儿童智能手表的工作原理也是类似的。例如,智能手表的实时监听功能是在手表内置一块GPS芯片,而这块芯片会源源不断将孩子(佩戴者)所在的地理位置等通过无线方式发送到云端的服务器,而父母通过手机就能通过访问服务器自动获取到孩子所在的位置。
正如这款App的宣传噱头是“帮助父母更好的、全方位监督儿童对移动设备的使用,使儿童远离危险”,这种追踪类App之存在的确存在合理之处,特别是对于容易受到网络世界诱惑与沉迷的儿童而言存在一定的保护作用,FTC的判决也没有完全禁止这类App的存在。然而,如何确保该类App仅用于正当用途,以及如何对收集来的个人信息加以足够的安全保护措施,是该类App面临的两大合规要点。1. 如何确保该类App仅用于正当用途
在笔者看来,这个问题是最为首要,也是最难以落地的一个挑战。客观来讲,企业开发App后,实际是很难控制该App被谁安装、安装在谁的手机上,以及被用于何种用途。即便是FTC在公告中给出了相关指导,如要求App开发者做出声明,确定App仅用于监控儿童或员工,但如何让App开发者作出声明,以及怎样的声明是切实有效的,均没有相关指南。面临这种宽泛的规定,使得Retina-X公司(即本案被指控的公司)弃步不前。虽然指控的公告是在2019年10月22日做出的,但该公司自2018年云存储被黑客入侵的消息被曝出后不久该公司便关停了此服务,至今仍未重启该项目。FTC的公告中的很大篇幅均在说明Retina-X公司对收集来的数据没有尽到足够的安全保护义务,具体表现为没有采用和实施合理的信息安全制度和程序对其App进行安全测试,没有对负责产品开发和维护的第三方服务提供商进行监督,包括没有进行安全评估与审计我国的相关法律法规、国家标准也有类似的要求。就对收集的个人信息进行安全保护而言,我国《网络安全法》第21条规定,网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施……;《数据安全管理办法(征求意见稿)》第6条的规定,网络运营者应当按照有关法律、行政法规的规定,参照国家网络安全标准,履行数据安全保护义务,建立数据安全管理责任和评价考核制度,制定数据安全计划,实施数据安全技术防护……。针对委托第三方进行管理的情形,《信息安全技术个人信息安全规范(征求意见稿)》(10.22版)第8.1条d)款规定,个人信息控制者应对受委托者进行监督,方式包括对受委托者进行审计等。这一个要求相较于上一条更具实践解决性,企业如若遵守了相关规范,则在一定程度上证明对个人信息尽到了安全保护义务,降低相关风险。三、企业如何做好合规措施,提前防范相关风险
鉴于本案的借鉴意义,我们建议开发追踪类App的企业采取以下措施规避相关风险:例如,在用户下载App,每次安装在不同的手机上时均需要签署电子手写的同意书,明确仅用于监控儿童的用途,以此尽可能地证明企业已采取措施避免App用于不法用途,并在接受到用户举报时立即采取必要措施,例如切断相关人员对该用户的访问,避免损害扩大。2. 实施足够的安全保护措施,保障收集的个人信息的安全性本案中的FTC举证Retina-X未尽安保义务的证据之一为黑客在2017年2月至2018年两次成功访问该公司的云存储账户,并删除某些信息,故建议企业应根据有关国家网络安全标准的要求,如有需要实时更新必要的管理和技术措施,防止个人信息的泄漏、损毁、丢失、篡改等。建议企业对安全措施有效性进行审计,必要时开展网络安全等级保护评估、获取网络安全认证证书,如ISO27001、ISO27018、ISO22301等。4. 存在委托第三方处理的,应确保第三方具有足够的数据安全能力对于委托第三方进行处理的情形,建议企业对委托行为进行个人信息安全影响评估,确保受委托者达到相应的数据安全能力。如果受托方是新的供应商,那么需要通过合规checklist对供应商进行更为严格的审查,逐一判断能力资质等是否符合公司的隐私保护要求。并且,需要通过合同或者定期审计的方式对受委托者进行审计与监督,一旦发现或得知受委托者没有履行个人信息安全保护责任的,应立即要求受托者停止相关行为,并采取有效补救措施控制或消除个人信息面临的安全风险。目前我国有关个人保护的立法仍处于探索和发展的状态,建议达到一定规模的企业任命个人信息保护负责人和个人信息保护工作机构(至少成立协调机构),除对企业产品或服务上线发布前进行检测、开展个人信息影响安全评估外,应实时关注有关个人信息保护的立法与监管动态,当有新的法律法规或者国家标准出台时,应及时审查企业采取措施的合规状况,更新合规举措。如果App是针对特殊类型主体所开发的,或者收集的信息是特殊敏感的个人信息,还需要针对性地了解与该特殊类型主体相关的以及如何保护个人敏感信息的特殊规定。如果App还向其他国家发行的,还需要及时了解境外所涉及法域的法律、法规。