赛迪智库网络安全研究所
鉴于不少App存在侵害用户隐私、权限滥用等诸多问题,2019年伊始,工信部、网信办、公安部、市场监管总局四部门联合发布了《关于开展App违法违规收集使用个人信息专项治理的公告》。2019年1月至12月,在全国范围内组织开展了App违法违规收集使用个人信息专项治理工作。全年共检测App多达460万个,下架处置了违法违规App3.1万个,集中核查了相关App线索3000余条,抓获814人。
近日,工信部、网信办、公安部、市场监管总局四部委联合制定并公开发布了《App违法违规收集使用个人信息行为认定方法》(下称《认定方法》),为认定App违法违规收集使用个人信息行为提供参考,为App运营者自查自纠和网民社会监督提供指引,深入落实了《网络安全法》等法律法规。“一参考、一指引、一落实”奠基了《认定方法》在认定App违法违规收集使用个人信息行为方面的重要影响力。据悉,2020年App安全认证工作将依托《认定方法》全面铺开。
《认定方法》共分为6项认定准则,包含31种场景,App运营者只有对照本方法及时、有效地自查自纠,才能减少或者避免被认定为违法违规收集使用个人信息行为,才能充分经受起相关部门、社会公众的共同监督。
第一,“未公开收集使用规则”。该项相较于征求意见稿,一是明确了App应有易于阅读的隐私政策,不仅强调要有,还要注重内容的易读性,同时隐私政策中要明示收集使用个人信息的规则。二是将明显提示用户阅读隐私政策等收集使用规则的时间点,固定在了App首次运行时,提示方式建议采取弹窗方式,在弹窗内展示内容摘要并放置隐私政策全文链接。三是着重强调了隐私政策要易于访问,若进入App主界面后,需多于4次点击等操作才能访问,则可被认定为“未公开收集使用规则”。
第二,“未明示收集使用个人信息的目的、方式和范围”。该项认定方法直击SDK隐瞒收集个人信息的隐私安全问题,相较于征求意见稿,明确了逐项列举的要求不仅适用于App自身收集使用个人信息的目的、方式和范围,亦适用于App嵌入的第三方代码、插件。同时为体现对个人敏感信息保护的突出性,要求每次在需要用户提供个人敏感信息时,应同步告知用户其目的,在收集个人敏感信息时,提出更加严格、更加具体的要求。但本项中的第二条(收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等),笔者认为其中存在值得思量的地方,若App运营者随着自身需要随意改造隐私政策内容,通过适当方式告知用户(例如进入首页时使用弹窗提示,实践中这种提示用户关注度是很小的,用户往往会直接选择关闭弹窗),那么该如何鉴定此类现象?
第三,“未经用户同意收集使用个人信息”。该项认定方法明确了运营者要合法合规收集使用个人信息,不得在未取得用户授权的前提下收集用户个人信息;不得违反用户意愿收集个人信息;不得频繁弹窗、干扰使用;不得超出授权范围收集个人信息;不得以默认选择同意隐私政策等非明示方式征求用户同意;不得未经用户同意私自更改用户权限设置;不得故意欺瞒、掩饰收集使用个人信息;定向推送时,要提供非定向推送信息的选项;需向用户提供撤回同意的途径和方式;此外,运营者还要“知行合一”,不得违反其所声明的收集使用规则。经过用户同意收集使用个人信息,以及明确收集使用规则,不仅是为了告知用户,更是为了提升运营者的行业规范。
第四,“违反必要原则,收集与其提供的服务无关的个人信息”。该项直指App过度索取权限、越界获取个人信息等问题,一是强调实际收集的个人信息类型及索取的权限要与现有业务功能逐项对应,并且与现有业务功能直接相关。二是明确不得因用户拒绝提供非必要个人信息或打开非必要权限,而拒绝提供业务功能,甚至变相强迫用户同意收集非必要个人信息或打开非必要权限的行为。三是规范收集使用个人信息,需要符合必要性原则的基本要求,不得超范围、超频率采集,或者一次性打开多个可收集个人信息的权限。
第五,“未经同意向他人提供个人信息”。该项为对外提供个人信息的合法性给出了指引,一是明确App客户端向第三方提供个人信息应征得同意或匿名化处理。二是规范数据传输至App服务器后,对外提供个人信息的合法性。三是确保App接入第三方应用提供个人信息应征得用户同意。可以看出,前两点对外提供经过匿名化处理无法识别特定个人且不能复原的,无需获得用户的同意,但接入第三方应用提供个人信息必须得到用户的授权同意。
第六,“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”。该项着重强调为用户提供注销权,保障用户的行使权和投诉权。一是明确应提供删除或更正个人信息和注销账号功能。二是不应设置不必要或不合理条件,妨碍用户行驶权利。三是保障App后台操作应与用户操作保持一致,不得欺骗、误导用户,让用户误以为已经完成删除、注销等操作。四是明确建立、公布投诉和举报渠道,并在承诺时限内对用户权利要求进行及时响应,最长承诺时限不得超过15个工作日。
《认定办法》作为大数据时代我国第一部App个人信息保护规范指引,完善了征求意见稿诸多细节规定,更加具体地细化了App收集个人信息行为认定方法,并给了用户更多的知情权、选择权、注销权、投诉权等规定,提高了严谨性和可执行性,为违规收集使用个人信息提供最根本的参考依据。虽然App运营者在收集使用用户个人信息时,多了相对明确的限制,但也多了相对明确的合规指引。当然,App个人信息保护的规范工作仍在不断探索,希望政府部门、App运营者、行业组织、社会公众等继续携手共治,共同构建安全有序的网络生态环境。