给APP运营者支招:一文梳理移动互联网应用程序(App)收集使用个人信息自评估指南
为期一年的四部委[1]App违法违规收集使用个人信息专项治理行动(下称“专项行动”)在2020年初取得了阶段性成果[2]。此次专项行动执法范围之广、力度之强,在政府部门针对个人信息保护的行政管理历史上均属罕见。专项行动体现出国家对于个人信息保护的强烈决心,同时,广大用户的积极参与也反映出用户对于个人信息保护的迫切需求。
参与专项治理行动的四部委各自依据网络安全法对相关违法违规App采取了系列执法行动:工信部从2019年12月19日开始到2020年8月31日已经连续多月对涉及侵害用户个人信息等权益的App进行通报整改并对其中未予整改的部分App采取了全网下架的处罚;公安部更是在2019年年底重拳出击,重点针对App无隐私协议、收集使用个人信息范围描述不清、超范围采集个人信息和非必要采集个人信息等情形,对27款App责令限期整改,对63款App的运营单位处以警告处罚,对10款App的运营单位处以罚款处罚,另有2起App违法违规案件被立为刑事案件开展侦查。同时,公安部要求100款App下架整改,其中不乏头部金融机构和互联网企业运营的App;网信部门除采取通告整改之外,还对有关App采取了频道停更等措施,从以往的执法案例来看,此类措施对App运营将造成较大影响。虽然到目前为止,行政执法部门对于违法违规的App运营者还是主要采取警告、罚款等相对较轻的行政处罚措施,但是按照网络安全法第六十四条[3]的规定,行政执法部门可以处以违法所得一倍以上十倍以下罚款,对于情节严重的,甚至可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
在专项行动取得了阶段性成果的同时,对于个人信息使用监管常态化的呼声也水涨船高。执法力度的整体增强,势必将对App运营者们提出更高的管理要求;与此同时,运营者们也急需一份明确的合规指引,以评估自身的操作实践与合规风险。
在这样的背景下,全国信息安全标准化技术委员会于2020年7月22日发布了《移动互联网应用程序(App)收集使用个人信息自评估指南》(下称“自评估指南”)。自评估指南在四部委2019年11月制定的《App违法违规收集使用个人信息行为认定方法》(国信办秘字【2019】191号,下称“认定方法”)基础上,进一步为企业通过App程序合理合法地使用用户个人信息提出了自查建议。综合而言,自评估指南对认定方法中的执法要点进行了进一步的细化和梳理,其反映的问题与建议极具实务性,对于执法者开展执法工作和运营者开展运营活动,均具有较高的参考意义。同时,自评估指南关注的每一项要点都能对应网络安全法的具体条文,这就意味着评估要点将成为App运营者评估自身行为是否违法以及判断是否会受到行政处罚的重要依据。如果说认定方法是一位严师,告诉运营者什么事情不能做,那么自评估指南就是一位挚友,为运营者开展管理工作出谋划策。
因此,我们特撰写此文,围绕着自评估指南中的要点,结合相应案例,对相关法律进行分析,以期为运营者完善个人信息保护工作、应对有关部门监管提供法律建议。
评估点一:是否公开收集使用个人信息的规则
评估点一的核心是运营者应当如何合规地将隐私政策等规则呈现给用户。对此,自评估指南对收集使用规则的评估重点未放在对文本内容本身的规范,而将关注点聚焦于呈现规则的形式。自评估指南列举了五个评估要点,包括:是否公开隐私政策等收集使用规则;是否提示用户阅读隐私政策等收集使用规则;隐私政策等收集使用规则是否易于访问;隐私政策等收集使用规则是否易于阅读;以及公开的收集使用规则是否完整。在公安部通报的典型案例中,“健康天津”App的运营单位就因涉嫌无隐私协议收集用户位置信息的违法违规行为被天津市公安局武清分局网安支队处以行政警告并责令限期整改。
对于此评估点,自评估指南中较有借鉴意义的建议有:
认定方法中对于首次运行App可以采用的隐私政策展示形式仅描述为“弹窗等”形式。自评估指南对其他形式进行了建议,对于以“文本链接”、“附件”、“常见问题(FAQs)”等方式展示隐私政策均给予了肯定;
认定方法规定,“需多于4次点击等操作”才能访问到的收集使用规则的,将被视为难以访问。自评估指南给出了一种具有可操作性的合规实施方案:例如通过“我--设置--关于”或者“我的--设置--隐私”等用户熟悉路径展示隐私政策,不频繁变更展示隐私政策的路径。
对于保证文本易读性的要求,自评估指南建议,运营者可以采用与App内其他文本相同的样式来展示隐私政策文本。
评估点二:是否明示收集使用个人信息的目的、方式和范围
评估点二对应认定方法中的四项违规行为,规定了四个评估要点,包括:是否逐一列出收集使用个人信息的目的、方式、范围;收集使用个人信息的目的、方式、范围发生变化时是否通知用户;是否同步告知申请打开权限和要求提供个人敏感信息的目的;以及收集使用规则是否易于理解。在公安部通报的典型案例中,“折疯了海淘”App就因未明示数据采集用途,涉嫌违规收集用户信息被杭州市公安局西湖分局立案调查,其运营单位“杭州橙子信息科技有限公司”最终被处以行政警告并责令限期整改。
评估点二虽然涉及到了展示的内容,但相对应的合规重点仍在于展示形式本身:
1. 对于认定办法中的收集使用个人信息的目的、方式、范围发生变化时,“未以适当方式通知用户”,自评估指南列举式地介绍了何为“适当方式”。自评估指南第2.2条推荐使用的方式包括“推送消息、邮件、弹窗、红点提示等方式”;
2. 对于如何告知申请打开权限与要求提供个人敏感信息的目的,自评估指南均推荐运营者可以采用“弹窗提示、用途描述等显著方式告知”。
评估点三:是否征得用户同意后才收集使用个人信息
评估点三的关注重点在于收集个人信息的程序正当,并将其归纳为十个评估要点,包括:收集个人信息或打开可收集个人信息权限前是否征得用户同意;用户明确表示不同意收集后是否仍收集个人信息;用户明确表示不同意收集后是否频繁征求用户同意、干扰用户正常使用;实际收集的个人信息是否超出用户授权范围;是否以默认选择同意隐私政策等非明示方式征求用户同意;是否未经用户同意更改其设置的可收集个人信息权限状态;存在定向推送信息情形的是否提供非定向推送信息的选项;是否以不正当方式误导用户同意收集个人信息;是否向用户提供撤回同意收集个人信息的途径、方式;是否违反其所声明的收集使用规则。在公安部通报的典型案例中,“趋势密码”App未经用户同意收集使用精准定位等个人信息,涉嫌超范围收集用户信息等违法违规行为,经上海市公安局徐汇分局网安支队立案调查,其运营单位“上海益秋投资管理有限公司”被处以行政警告。
对比认定方法,自评估指南的体例设计基本一致,下述建议对于运营者有一定的参考价值:
1. 自评估指南建议在收集个人信息的页面中为用户提供“退出”、“上一步”、“关闭”、“取消””等按键,保障用户有权不同意个人信息的收集;
2. 对于“频繁”征求用户同意、干扰用户正常使用中何为“频繁”,自评估指南认为少于48小时就可能被认为达到“频繁”的程度;
3. 自评估指南同时明确了“隐私政策等收集使用规则未发生变化时无需反复征求用户同意。如App更新后,隐私政策无变化时,无需再次征求用户同意隐私政策”。
评估点四:是否遵循必要原则,仅收集与其提供的服务相关的个人信息
评估点四囊括了四项评估要点,更为实质性地涉及到了收集使用个人信息规则的内容本身。四项评估要点包括:是否收集与业务功能无关的个人信息;用户是否可拒绝收集非必要信息或打开非必要权限;是否以非正当方式强迫收集用户个人信息;以及收集个人信息的频度是否超出业务功能实际需要。在工信部8月31日公布的2020年第四批侵害用户权益App中,不少App的行为就违反了必要原则。自评估指南对此评估点给出了一些提示性的参考建议:
1. 对于“用户是否可拒绝收集非必要信息”,自评估指南建议运营者向用户提供“无需注册即可使用的服务模式(如仅浏览、游客模式)”,并保证“当用户拒绝同意该类服务模式以外的个人信息收集行为时,不影响其使用仅浏览等功能”;
2. 自评估指南认为运营者不应“以捆绑方式强制要求用户一次性同意打开多个可收集个人信息权限”。
评估点五:是否经用户同意后才向他人提供个人信息
评估点五主要处理收集用户个人信息的运营者向第三方提供用户个人信息的行为,评估要点包括:向他人提供个人信息前是否征得用户同意;以及向接入的第三方应用提供个人信息前是否经用户同意。
自评估指南对向第三方提供个人信息时征得用户同意进行了细化。网络安全法第四十二条第一款规定“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”由此可见,运营者向第三方提供收集的个人信息,必须取得用户的同意或者将个人信息进行“无法识别特定个人且不能复原”的处理,即“匿名化”处理。自评估指南明确,对于“匿名化”的定义可以参考GB/T35273-2020《信息安全技术个人信息安全规范》(以下简称“《个人信息安全规范》”)3.14节。根据该标准的规定,匿名化是指“通过对个人信息的技术处理,使得个人信息主体无法被识别或者关联,且处理后的信息不能被复原的过程”,同时该标准亦规定了“个人信息经匿名化处理后所得的信息不属于个人信息”。
另一方面,自评估指南第5.2条重点强调了向“接入的”第三方提供个人信息的有关规定。网络运营者提供的产品或服务中通常接入或嵌入有具备收集个人信息功能的第三方产品或服务,若网络运营者向提供此类产品或服务的第三方提供个人信息,即属于自评估指南第5.2条规制的范畴。自评估指南第5.2条中向“接入的”第三方提供个人信息的有关规定与2020年《个人信息安全规范》新增内容——9.7“第三方接入管理”有着密切联系。自评估指南也提示第三方接入管理相关内容可参考上述《个人信息安全规范》9.7节,进一步释放出第三方接入将成为后续监管重点的信号。同时,我们也关注到在工信部关于侵害用户权益行为的App(第二批)通报中,“一点资讯”、“男衣库”、“绿城生活”等App就因私自共享个人信息给第三方而被列入通报。
评估点六:是否提供删除或更正个人信息功能,或公布投诉、举报方式等信息
评估点六中的评估要点包括:是否提供有效的注销用户账号功能;是否提供有效的更正或删除个人信息途径;以及是否建立并公布个人信息安全投诉、举报渠道。值得注意的是,认定方法与自评估指南相较于网络安全法在此评估点上更进了一步,不仅对于运营者提供删除或更正个人信息功能提出了要求,还对提供注销用户账号功能等内容进行建议。例如,自评估指南推荐了提供注销账号的方法建议,包括“在线操作”、“客服电话”、“电子邮件”等注销途径。App专项治理工作组关于61款App存在收集使用个人信息问题的通告中不少知名App在该项评估点下的违法违规行为值得企业引以为戒。
我国对于网络环境中个人信息保护的立法越来越成体系,即将于2021年1月1日生效的民法典更是明确将自然人的个人信息作为受法律保护的对象予以规定。在信息时代,任何运营者都将面对成千上万用户的个人信息,面临有关部门的常态化监管,随时面临有关部门的监管。我们系统梳理了自评估指南,希望能够给参与市场竞争的运营者支支招,告诉运营者哪些是法律上不可触碰的红线,哪些法律鼓励的康庄坦途,并且祝愿运营者们可以“带着镣铐跳舞”,在合法合规地收集、使用个人信息的前提下,利用个人信息更好的为消费者服务,将业务发展壮大。
[1] “四部委”分别为:国家互联网信息办公室、工业和信息化部、公安部与国家市场监督管理总局。[2] 根据App专项治理工作组的统计,在专项行动期间,工信部对236款App运营者下发整改通知书,公开通报56款App,下架3款App;公安部检测评估了3.1万余款App,累计调查核查相关违法违规线索3129条,依法整改2090款App,依法查处1121款App,集中曝光100款存在违法违规使用个人信息行为的App;市场监管总局立案查处各类侵害消费者个人信息案件1474件,查获涉案信息369万余条,罚没款1946万余元,组织执法联动4225次,开展行政约谈3526次。[3]《中华人民共和国网络安全法》第六十四条 网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
作者简介:王渝伟律师是观韬中茂上海办公室合伙人,主要执业领域为网络安全、数据合规及数据竞争法,风险投资与私募股权,证券市场的争议解决。王律师常年担任首席数据官联盟等国内大数据行业联盟的首席律师及专家组成员,为互联网、银行、基因、大数据、零售领域的上市公司提供数据合规的解决方案及咨询,同时为大数据、区块链、人工智能、网络安全、金融科技、云计算等领域的国内外科技公司提供该领域的法律服务。
Email: wangyw@guantao.com
作者简介:喻劼律师是观韬中茂上海办公室的合伙人。喻劼律师专注于知识产权及不正当竞争领域的法律服务,在知识产权及科技交易的设计与授权、争议解决以及合规方面经验丰富。他曾协助客户谈判并制定过大量知识产权及技术交易文件,并曾成功代理许多涉及艺术作品、计算机软件、商业秘密等的争议案件。喻劼律师毕业于美国乔治城大学,获法学硕士学位。喻劼律师于2011年获得中华人民共和国律师执业资格,于2014年获得美国纽约州律师执业资格。
Email: yuj@guantao.com