- 數據保護:合規指引與規則解析
- 劉新宇主編
- 16675字
- 2022-08-01 19:29:30
二、《網絡安全標準實踐指南—移動互聯網應用程序(App)收集使用個人信息自評估指南(征求意見稿)》與《App自評估指南》和《App違法違規認定方法》逐條對比解讀
2020年3月19日,信安標委秘書處發布《關于對〈網絡安全標準實踐指南—移動互聯網應用程序(App)收集使用個人信息自評估指南(征求意見稿)〉公開征求意見的通知》(信安秘字〔2020〕13號),對《網絡安全標準實踐指南—移動互聯網應用程序(App)收集使用個人信息自評估指南(征求意見稿)》(以下簡稱《App自評估指南(征求意見稿)》)公開征求意見。
《App自評估指南(征求意見稿)》在其摘要部分,介紹了其系列文件的發展歷程和一脈相承的關系,具體如下:
續表
接下來,將通過與《App自評估指南》《App違法違規認定方法》對比的方式,逐條解析《App自評估指南(征求意見稿)》。
評估點一:是否公開收集使用個人信息的規則
《網絡安全法》第41條規定,網絡運營者收集、使用個人信息,應當公開收集、使用規則。
《消費者權益保護法》第29條規定,經營者收集、使用消費者個人信息,應當公開其收集、使用規則。
【解讀】
相較于《App自評估指南》和《App違法違規認定方法》,《App自評估指南(征求意見稿)》首次明確列舉了相關要求依據的具體法律條文規定(注:前述規定系對完整條文規定的部分摘錄)。根據我們檢索威科先行、北大法寶數據庫,《網絡安全法》第41條規定和《消費者權益保護法》第29條規定,也是2019年600例個人信息相關行政處罰的主要處罰依據,需要App運營者高度重視,避免因違反前述規定而面臨潛在的行政處罰風險。
1.1 是否有隱私政策等收集使用規則
a)在App界面中能夠找到隱私政策,包括通過彈窗、文本鏈接、附件、常見問題(FAQs)等形式,且隱私政策可正常顯示。
b)隱私政策中需包含收集使用個人信息規則的相關內容。
c)隱私政策文本鏈接有效,且文本可正常顯示。
【解讀】
相較于《App自評估指南》評估點1,《App自評估指南(征求意見稿)》吸收了《App違法違規認定方法》第1.1條的規定,新增了“隱私政策中需包含收集使用個人信息規則的相關內容”,直指實踐中出現的形式上設置了隱私政策但隱私政策里面無收集使用個人信息規則的相關內容的問題。
從常見問題看,除前述問題外,本條規制的問題還包括:(1)無隱私政策;(2)隱私政策鏈接失效;(3)隱私政策鏈接點擊后打開的文本不是隱私政策的內容;(4)隱私政策點擊后文本無法正常顯示,如只可查看當前頁面內容無法滑動查看全文等。
1.2 是否提示用戶閱讀隱私政策等收集使用規則
a)App需在首次運行或用戶注冊時通過彈窗等明顯方式,提示用戶閱讀隱私政策。
b)避免使用灰色字體、縮小字號、鍵盤遮擋、置于邊緣等方式未突出顯示隱私政策鏈接。
【解讀】
相較于《App自評估指南》評估點3、評估點20和《App違法違規認定方法》,《App自評估指南(征求意見稿)》強化了“避免使用灰色字體、縮小字號、鍵盤遮擋、置于邊緣等方式未突出顯示隱私政策鏈接”的要求。根據App專項治理工作組公開通報,部分App存在采用將字體縮小,顏色變淺且放置在頁面最底端的方式展示隱私政策鏈接,未通過明顯方式提示用戶閱讀隱私政策的問題。
從彈窗頁面中隱私政策鏈接的放置看,一般會采用與彈窗大小相適配的字號,通過加下劃線、字體顏色設置成綠色等醒目顏色來突出顯示,放置在彈窗的中間或者下方(但不宜放置在下方最邊緣處),彈窗內容無遮擋,點擊隱私政策鏈接后即可跳轉至正常顯示的隱私政策文本。
1.3 隱私政策等收集使用規則是否易于訪問
a)用戶進入App主功能界面后,通過4次(含)以內的點擊,能夠訪問到隱私政策。
b)在App常規交互界面展示隱私政策鏈接,避免僅在注冊/登錄界面展示隱私政策鏈接,或只能以咨詢客服等方式查看隱私政策的情形。
c)隱私政策以單獨成文的形式發布,而不是作為用戶協議、用戶說明等文件中的一部分存在。
【解讀】
相較于《App自評估指南》評估點3和《App違法違規認定方法》,《App自評估指南(征求意見稿)》新增了“在App常規交互界面展示隱私政策鏈接,避免僅在注冊/登錄界面展示隱私政策鏈接,或只能以咨詢客服等方式查看隱私政策的情形”的要求,直指實踐中存在的隱私政策僅在注冊/登錄時展示,進入App界面后無法找到隱私政策,或者為了找到隱私政策需要翻遍App所有頁面才能找到隱私政策,或者為了查看隱私政策需要專門聯系客服才可能查看隱私政策等隱私政策難以訪問的問題。
從建議角度看,建議將隱私政策放置在常見、方便尋找的位置,一般宜放置在“我的-設置”或“我的-關于”或“常見問題”的子欄目,在該等位置相對方便用戶查找。此外,需要指出的是,隱私政策應向所有用戶展示,而非僅向特定VIP用戶或其他特定類型的用戶展示,否則仍然可能會被認定為隱私政策難以訪問。
1.4 隱私政策等收集使用規則是否易于閱讀
a)隱私政策文本文字顯示方式(字號、顏色、行間距、清晰度等)不會造成閱讀困難。
b)需提供簡體中文版隱私政策。
c)隱私政策的內容需符合通用的語言習慣,使用標準化的數字、圖示,避免出現錯別字或有歧義的語句。
【解讀】
相較于《App自評估指南》評估點4,《App自評估指南(征求意見稿)》吸收了《App違法違規認定方法》第1.4條“未提供簡體中文版隱私政策”的規定,同時吸收了《個人信息安全規范》第5.5c)條的“個人信息保護政策的內容應清晰易懂,符合通用的語言習慣,使用標準化的數字、圖示等,避免使用有歧義的語言”。
根據App專項治理工作組公開通報,部分App在登錄界面中未提供簡體中文版的隱私政策。部分APP隱私政策難以閱讀,具體表現包括:(1)隱私政策中存在較多錯別字、歧義句;(2)文字顯示過小、過密:(3)段落劃分不明確;(4)文字沒有自動換行,需要手動橫向滑動才可以閱讀完一行文字。
從建議角度看,在中國境內運營的App運營者,至少應該提供簡體中文版隱私政策,包括登錄時展示鏈接對應的文本和進入App界面后查看的隱私政策文本。如面向在中國境內的外國人提供服務,可以在提供中文版隱私政策的同時,也提供英語或其他語言版本的隱私政策。從隱私政策文本內容看,應重視文本內容的撰寫,建議由法務人員或者數據保護部門工作人員,根據法律法規相關規定,參照《App違法違規認定方法》《App自評估指南(征求意見稿)》和《個人信息安全規范》等文件和國家標準,結合本公司實際情況,制定適用于本公司的隱私政策。制定好隱私政策后,至少應委托公司內部其他法務或者數據保護部門其他工作人員進行文字校對、內容復核,宜委托數據保護專業律師進行專業的優化,避免出現文字錯誤、歧義句、大段摘抄其他運營者隱私政策而未調整公司名稱、與本公司實際情況大相徑庭等問題。
1.5 是否公開App運營者的基本情況
a)隱私政策應對App運營者基本情況進行描述,至少包括組織或公司名稱、注冊地址或常用辦公地址、個人信息保護工作機構或相關負責人聯系方式。
【解讀】
相較于《App自評估指南》評估點9,《App自評估指南(征求意見稿)》借鑒了《個人信息安全規范》第5.5a)1)條個人信息保護政策內容“個人信息控制者的基本情況,包括主體身份、聯系方式”的規定,解決了集團統一隱私政策模式下無法單列某家公司名稱的問題,解決了如果必須公布個人信息保護相關負責人聯系方式可能給該等負責人造成不必要的電話騷擾等問題,提高了該要求的可執行性。
1.6 是否公開收集使用個人信息的其他規則
a)隱私政策應說明發布、生效或更新日期。
b)隱私政策應對個人信息存放地域(境內、境外哪個國家或地區)、存儲期限(法律規定范圍內最短期限或明確的期限)、超期處理方式進行明確說明。
c)如果App運營者將個人信息用于用戶畫像、個性化展示等,隱私政策中應說明其應用場景和可能對用戶產生的影響。
d)如果存在個人信息出境情形,隱私政策中應將出境個人信息類型逐項列出并顯著標識(如字體加粗、標星號、下劃線、斜體、不同顏色等);如果不存在個人信息出境情形,則明確說明。
e)隱私政策中應對App運營者在個人信息保護方面采取的措施和具備的能力進行說明,如身份鑒別、數據加密、訪問控制、惡意代碼防范、安全審計等。
f)如果存在個人信息對外共享、轉讓、公開披露等情況,隱私政策中應明確以下內容:①對外共享、轉讓、公開披露個人信息的目的;②涉及的個人信息類型;③接收方類型或身份。
g)隱私政策中應對以下用戶權利和相關操作方法進行明確說明:①個人信息查詢;②個人信息更正;③個人信息刪除;④用戶賬戶注銷;⑤撤回已同意的授權。
h)隱私政策中至少提供以下一種申訴渠道:①電子郵件;②電話;③在線客服;④在線表單。
注:相關定義和內容可參考GB/T 35273《個人信息安全規范》。
【解讀】
相較于《App自評估指南》評估點10-17,《App自評估指南(征求意見稿)》主要調整了以下兩點:
第一點,前述1.6b)條對個人信息存放地域的說明要求,從說明境內境外即可調整為如在境外需要說明是境外哪個國家或地區。此舉旨在方便監管部門和社會公眾更好地了解個人信息境外存放的具體情況,可以據此判斷在該等國家或地區存儲個人信息可能面臨的安全風險等。
第二點,在前述1.6d)條新增“如果不存在個人信息出境情形,則明確說明”的要求。對于App運營者來說,存在個人信息出境情形,需要按照該條的規定將出境個人信息類型逐項標出并顯著標識,不存在個人信息出境情形,也需要在隱私政策中說明“您的個人信息將存儲于中華人民共和國境內,不會進行跨境傳輸”或類似表述。
評估點二:是否明示收集使用個人信息的目的、方式和范圍
《網絡安全法》第41條規定,網絡運營者收集、使用個人信息,應當公開收集、使用規則。
《消費者權益保護法》第29條規定,經營者收集、使用消費者個人信息,應當公開其收集、使用規則。
2.1 是否逐一列出App(包括委托的第三方或嵌入的第三方代碼、插件)收集使用個人信息的目的、方式、范圍等a)完整、清晰、區分說明各業務功能所收集的個人信息。隱私政策中所述內容應與App實際業務相符,并逐項說明各業務功能收集個人信息的目的、類型、方式,不應使用“等、例如”等方式不完整列舉。
注:業務功能是指App面向個人用戶所提供的一類完整的服務,如地圖導航、網絡約車、即時通訊、網絡社區、網絡支付、新聞資訊、網上購物、短視頻、快遞配送、餐飲外賣、交通票務、婚戀相親、房屋租售、求職招聘、二手車交易、金融借貸等。
b)如App使用Cookie等同類技術(包括腳本、Clickstream、Web信標、Flash Cookie、內嵌Web 鏈接等)收集個人信息,應向用戶說明使用該類技術收集個人信息的目的、類型、方式。
c)如App嵌入了第三方代碼、插件(如SDK)收集個人信息,應說明第三方類型,及收集個人信息的目的、類型、方式,說明方式包括隱私政策、彈窗提示、文字備注、文本鏈接等。
d)如委托的第三方或嵌入的第三方代碼、插件直接將個人信息傳輸至境外的,應明確說明跨境傳輸個人信息的目的、類型和接收方等。
【解讀】
相較于《App自評估指南》評估點5-7.21-22,《App自評估指南(征求意見稿)》主要調整了以下三點:
第一點,吸收了《App違法違規認定方法》第2.1條“未逐一列出App(包括委托的第三方或嵌入的第三方代碼、插件)收集使用個人信息的目的、方式、范圍等”的表述作為《App自評估指南(征求意見稿)》第2.1條的表述,將App自身收集使用個人信息的目的、方式和范圍和App嵌入的第三方代碼、插件進行集中規定。
第二點,細化對于SDK、第三方代碼等收集個人信息的規定,強調要求說明第三方類型及收集個人信息的目的、類型、方式,直指實踐中普遍存在的SDK違規收集使用個人信息問題。根據App專項治理工作組通報的問題App顯示,過半App存在SDK違規問題。對此,建議App運營者:(1)全面梳理App接入的SDK,包括手機廠商SDK、第三方SDK等;(2)與接入的SDK服務商充分溝通或通過SDK服務商公示的服務條款、個人信息保護政策等相關文本了解SDK收集的個人信息類型;(3)將接入的SDK和該等SDK收集的個人信息類型寫入隱私政策,通過獲得用戶對隱私政策的明示同意來獲得對于接入SDK和對外提供個人信息的同意。此外,可供借鑒的做法為,部分App已經將接入的SDK的服務條款、隱私政策等相關文本的鏈接放置在App隱私政策的最后,方便用戶快速查看和了解接入的SDK的具體情況。
第三點,新增“如委托的第三方或嵌入的第三方代碼、插件直接將個人信息傳輸至境外的,應明確說明跨境傳輸個人信息的目的、類型和接收方等”要求。根據App專項治理工作組通報的問題App,存在部分App既未經用戶同意,也未做匿名化處理,通過客戶端嵌入的Crashlytics等SDK將收集Android ID等個人信息傳輸到境外某服務器。對此,建議在隱私政策中明確說明跨境傳輸個人信息的目的、類型和接收方等,需要指出的是,這里使用的“接收方”而非“接收方類型”,簡單說明接收方類型可能無法滿足此處的要求。
2.2 是否以適當的方式通知用戶收集使用個人信息的目的、方式、范圍發生的變化a)收集使用個人信息的目的、方式和范圍發生變化時,應以適當方式通知用戶,適當方式包括更新隱私政策并以信息、郵件、彈窗等方式提醒用戶閱讀發生變化的條款等。
【解讀】
相較于《App自評估指南》評估點18,《App自評估指南(征求意見稿)》吸收了《App違法違規認定方法》第2.2條“收集使用個人信息的目的、方式、范圍發生變化時,未以適當方式通知用戶,適當方式包括更新隱私政策等收集使用規則并提醒用戶閱讀等”的規定,將通知用戶發生變化的情形限定為“收集使用個人信息的目的、方式、范圍發生變化”,不再強調“業務功能變更、個人信息出境情況變更、個人信息保護相關負責人聯系方式變更”等情形下的通知。
從文字意思看,此處要求為“應提醒用戶閱讀”,不再要求獲得用戶重新授權,似乎可以理解為App運營者App首次運行時獲得用戶授權后,后續可以隨意變更授權文本和內容,而對用戶要做的僅僅是告知,該要求有待進一步商榷,具體適用有待監管部門進一步明確。
從建議角度看,建議App運營者在收集使用個人信息的目的、方式和范圍發生變化時,應更新隱私政策、個人信息查詢授權書等授權文本,通過彈窗、推送通知、紅點提示、電子郵件、信函、電話等適當方式提醒用戶閱讀,特別是閱讀發生重要變化的條款,并通過用戶手動點擊確認、手動勾選等方式獲得用戶的再次授權。
2.3 是否同步告知申請打開權限和要求提供個人敏感信息的目的
a)在申請打開可收集個人信息的權限時,App應通過顯著方式(如彈窗提示等)同步告知用戶其目的,對目的的描述應明確、易懂。
注:常見可收集個人信息的系統權限有:
iOS系統:定位、通訊錄、日歷、提醒事項、照片、麥克風、相機、健康;
Android系統:日歷、通信記錄、相機、通訊錄、位置、麥克風、電話、傳感器、短信、存儲。
b)在要求用戶提供個人敏感信息(用戶身份證號、銀行賬號、行蹤軌跡等)時,App應通過顯著方式(如彈窗提示、文字備注、文本鏈接等)同步告知用戶其目的,對目的的描述應明確、易懂。
注:個人敏感信息包括身份證件號碼、個人生物識別信息、銀行賬號、通信記錄和內容、財產信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14歲以下(含)未成年人的個人信息等。(該定義見GB/T 35273《個人信息安全規范》3.2節)
【解讀】
相較于《App自評估指南》評估點20,《App自評估指南(征求意見稿)》吸收了《App違法違規認定方法》第2.3條“在申請打開可收集個人信息的權限,或申請收集用戶身份證號、銀行賬號、行蹤軌跡等個人敏感信息時,未同步告知用戶其目的,或者目的不明確、難以理解”的要求,強化了對于打開個人信息權限時和申請個人敏感信息時應單獨告知目的,對目的的描述應明確、易懂。需要指出的是,根據本條規定,僅將個人敏感信息的處理規則在隱私政策中告知,已經無法滿足要求。
根據App專項治理工作組通報的問題App顯示,未同步告知申請打開權限或要求提供個人敏感信息的目的,高居通報問題數量之首,通報存在問題的App中56.32%的App存在該問題。從具體問題看,常見表現形式包括:(1)僅彈窗提示“是否允許××獲取您的設備信息/訪問您設備上的照片/獲取此設備的位置信息等信息”,未在彈窗頁面告知獲取前述信息的目的;(2)個人資料填寫頁面,僅設置身份證號、銀行賬號等內容的填寫框和上傳區域,未告知收集該等個人敏感信息的目的。
對于申請可收集個人信息權限,建議App運營者通過彈窗的方式告知收集相應個人信息的目的,例如“××想訪問您的位置,為了向您提供附近的商品、店鋪及優惠資訊”,并征得用戶的同意。
對于收集個人敏感信息,建議App運營者參照《個人信息安全規范》3.2節和附錄B劃定個人敏感信息范圍,在申請收集用戶個人敏感信息時,在用戶手動填寫頁面增加文字說明、彈窗提示、放置文本鏈接或App主動收集個人敏感信息時通過彈窗提示等方式,告知收集該等個人敏感信息的目的。以文字說明為例,可采取括號標注、下方小字標注等方式,但字體不宜過小以免造成閱讀困難。
2.4 收集使用規則是否易于理解
a)有關收集使用規則的內容應簡練、結構清晰、重點突出,避免使用晦澀難懂的詞語(如使用大量專業術語)和冗長煩瑣的篇幅。
【解讀】
相較于《App自評估指南》,《App自評估指南(征求意見稿)》吸收了《App違法違規認定方法》第2.4條“有關收集使用規則的內容晦澀難懂、冗長煩瑣,用戶難以理解,如使用大量專業術語等”的規定,新增收集使用規則應易于理解的要求。
根據App專項治理工作組通報的問題App顯示,存在部分App有關個人信息收集使用規則的內容晦澀難懂、冗長煩瑣,用戶難以理解的問題。建議App運營者盡量使用普通用戶可以理解的語言和表述方式,避免大量使用技術術語、法律專業術語等說明收集使用規則,隱私政策的內容編排、體例等參考《個人信息安全規范》附錄D的模板,確保隱私政策等收集使用規則易于理解。
評估點三:收集使用個人信息是否征得用戶同意
《網絡安全法》第41條規定網絡運營者收集、使用個人信息,應“經被收集者同意”且“不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息”。
《消費者權益保護法》第29條規定經營者收集、使用消費者個人信息,應“經消費者同意”且“不得違反法律、法規的規定和雙方的約定收集、使用信息”,“經營者未經消費者同意或者請求,或者消費者明確表示拒絕的,不得向其發送商業性信息。”
3.1 收集個人信息或打開可收集個人信息的權限前是否征得用戶同意
a)App收集個人信息前應提供由用戶主動選擇同意或不同意(包括退出、上一步、關閉、取消等)的選項。
b)未征得用戶同意時,不應收集個人信息或打開可收集個人信息權限。如App首次打開時,在用戶未得知收集個人信息的目的前,App就開始收集個人信息。
注:征得同意,指個人信息主體通過書面聲明或主動做出肯定性動作,對其個人信息進行特定處理做出明確授權的行為。肯定性動作包括個人信息主體主動作出聲明(電子或紙質形式),主動勾選,主動點擊“同意”“注冊”“發送”“撥打”,主動填寫或提供等。
c)不應在征得用戶同意前,利用Cookie等同類技術、或私自調用可收集用戶個人信息的權限等方式收集個人信息。
【解讀】
相較于《App自評估指南》評估點23-24,《App自評估指南(征求意見稿)》吸收了《App違法違規認定方法》第3.1條“征得用戶同意前就開始收集個人信息或打開可收集個人信息的權限”和第3.4條“以默認選擇同意隱私政策等非明示方式征求用戶同意”的規定,強調收集個人信息或打開可收集個人信息的權限前應征得用戶明示同意。
根據App專項治理工作組通報的問題App顯示,存在部分App在征得用戶同意前就開始收集設備ID、MAC地址、用戶操作記錄、應用程序列表等個人信息。用戶同意作為《網絡安全法》規定的收集用戶信息的法定基礎,也是我國現行網絡安全生態下App運營者收集用戶信息的主要合法來源。App運營者要合法合規收集使用個人信息,就需要能夠證明已經獲得用戶同意,且能夠證明用戶同意的時間點先于收集使用行為。在未獲得用戶同意前,不得收集用戶任何個人信息。
3.2 用戶明確表示不同意收集后是否仍收集個人信息或打開可收集個人信息的權限a)用戶通過拒絕提供個人信息、不同意收集使用規則、拒絕提供或關閉權限等操作,明確拒絕App收集某類個人信息后,不應以任何形式收集該類個人信息或打開可收集個人信息的權限。
【解讀】
相較于《App自評估指南》,《App自評估指南(征求意見稿)》吸收了《App違法違規認定方法》第3.2條“用戶明確表示不同意后,仍收集個人信息或打開可收集個人信息的權限……”的規定,新增用戶明確表示不同意收集后不應收集個人信息或打開可收集個人信息的權限的要求。
根據App專項治理工作組通報的問題App顯示,存在部分App在用戶撤銷電話權限授權,明確表示不同意收集該類個人信息后,仍通過其他途徑收集設備IMEI號等個人信息。如果在用戶明確表示不同意收集后仍然收集個人信息或打開可收集個人信息的權限,App運營者將失去收集該等個人信息的合法性基礎,而且從主觀惡性角度分析,容易加劇監管部門對App運營者主觀惡性的認定,也容易引起用戶的反感、不信任和恐慌,害怕該等App存在更多的暗箱操作,可能導致用戶流失。
3.3 用戶明確表示不同意收集后是否頻繁征求用戶同意、干擾用戶正常使用a)用戶明確表示不同意收集后,不應在每次重新打開App,或使用某一業務功能時,向用戶頻繁(如48小時內)詢問是否同意收集個人信息。
b)用戶明確表示不同意收集后,不應在每次重新打開App,或使用某一業務功能時,向用戶頻繁(如48小時內)詢問是否同意打開可收集個人信息的權限。
注:用戶選擇使用App的某一具體功能觸發征得同意的動作,不屬于頻繁干擾情形。如用戶自行選擇使用拍攝、掃碼等功能,App需獲取“相機”權限。
【解讀】
相較于《App自評估指南》評估點28和《App違法違規認定方法》第3.2條,《App自評估指南(征求意見稿)》主要調整了以下兩點:
第一點,首次明確了用戶明確表示不同意收集后頻繁征求用戶同意、干擾用戶正常使用的時間認定標準,即“48小時內”,與《個人信息安全規范》附錄C.4b)條規定的“除非個人信息主體主動選擇開啟擴展功能,在48小時內向個人信息主體征求同意的次數不應超過一次”標準相近。
第二點,在本條注的部分增加了例外情形,即用戶主動使用某業務功能觸發征得同意的情況下,不屬于對用戶的頻繁干擾。以舉例中拍攝、掃碼等獲取“相機”權限進行分析,如果用戶現在想要使用該等功能但又拒絕提供“相機權限”,拍攝、掃碼功能將無法使用。若48小時內用戶再次或者多次想使用拍攝、掃碼等功能,仍然可以征求獲取“相機”權限。但如果用戶不想使用拍攝、掃碼等功能,只想使用無需“相機”權限的App其他業務功能,但用戶每次打開App,均彈窗征求獲取用戶“相機”權限,就會被認定為頻繁干擾用戶。
3.4 實際收集的個人信息或打開的可收集個人信息權限是否超出用戶授權范圍a)App收集使用個人信息的過程應與其所聲明的隱私政策等收集使用規則保持一致。如實際收集的個人信息類型、申請打開的可收集使用個人信息的系統權限、調用系統權限函數的行為應與隱私政策所描述內容一致,不應超出隱私政策所述范圍。
【解讀】
相較于《App自評估指南》評估點25,《App自評估指南(征求意見稿)》吸收了《App違法違規認定方法》第3.3條“實際收集的個人信息或打開的可收集個人信息權限超出用戶授權范圍”的規定,增加了對打開權限的規定,內容未發生實質變化。
隱私政策等獲得用戶授權的文本公示收集使用個人信息規則,用戶對App運營者會按照隱私政策收集使用個人信息會形成合理期待。運營者不應利用隱私政策等用戶授權文本宣示合法合規收集使用個人信息,但實際操作中卻未按照用戶授權范圍收集使用個人信息。當面一套背后一套,主觀惡意明顯,不可取。
3.5 是否以默認選擇同意隱私政策等非明示方式征求用戶同意
a)在首次運行App或用戶注冊時,不應采用默認勾選隱私政策等非明示方式征求用戶同意;
b)注冊(包括登錄即代表注冊)的選項與同意隱私政策等的因果邏輯關系應清楚,且主動提示用戶閱讀以顯著方式展示的隱私政策等收集使用規則后,執行下一步注冊/登錄等動作。
【解讀】
相較于《App自評估指南》評估點20,《App自評估指南(征求意見稿)》吸收了《App違法違規認定方法》第3.4條“以默認選擇同意隱私政策等非明示方式征求用戶同意”的規定,并首次對注冊與同意隱私政策提出因果邏輯清楚的要求。
建議App運營者在用戶首次運行或注冊App時,通過彈窗或者要求用戶手動勾選的方式同意隱私政策,盡量避免使用“注冊即代表同意隱私政策”等方式獲得用戶的同意。
3.6 是否未經用戶同意更改其設置的可收集個人信息權限狀態
a)未經用戶同意,不應私自更改用戶設置的收集個人信息權限。
b)App更新升級后,不應自動將用戶設置的權限恢復到默認狀態。
【解讀】
相較于《App自評估指南》評估點29,《App自評估指南(征求意見稿)》吸收了《App違法違規認定方法》第3.5條“未經用戶同意更改其設置的可收集個人信息權限狀態,如App更新時自動將用戶設置的權限恢復到默認狀態”的規定,新增了“未經用戶同意,不應私自更改用戶設置的收集個人信息權限”的要求。
建議申請調用個人信息權限應獲得用戶的同意,不得未經用戶同意私自更改用戶權限設置,不得利用系統更新升級更改原有的系統權限設置。
3.7 App利用用戶個人信息和算法定向推送信息時,是否提供非定向推送信息的選項a)App存在利用用戶個人信息和算法定向推送信息情形(包括利用個人信息和算法推送新聞和信息、展示商品、推送廣告等),應提供拒絕接受定向推送信息,或者停止、退出、關閉相應功能的機制,或者不基于個人信息、用戶畫像等推送的模式、選項。
注:相關定義和內容可參考GB/T 35273《個人信息安全規范》。
【解讀】
相較于《App自評估指南》,《App自評估指南(征求意見稿)》吸收了《App違法違規認定方法》第3.6條“利用用戶個人信息和算法定向推送信息,未提供非定向推送信息的選項”的規定,并對該規定進行了細化。
需要指出的是,與《個人信息安全規范》第7.5c)條規定不同的是,本條對提供非定向推送信息選項的要求不再限于推送新聞信息,而是擴充至推送新聞和信息、展示商品、推送廣告等,基本涵蓋了個性化推送的主要場景。從實操角度看,可供參考的一種模式為,為用戶提供關閉個性化推送的按鈕,用戶關閉個性化推送后,推送的數量不會減少但不再基于用戶的個人信息和個人畫像進行精準推送。
3.8 是否以欺詐、誘騙等不正當方式誤導用戶同意收集個人信息或打開可收集個人信息的權限a)App所明示收集使用個人信息的目的應真實、準確,不應故意欺瞞、掩飾收集使用個人信息的真實目的。如以紅包、金幣、抽獎等方式誘騙用戶打開可收集個人信息的通訊錄權限后,立即上傳所有通訊錄信息。
【解讀】
相較于《App自評估指南》,《App自評估指南(征求意見稿)》吸收了《App違法違規認定方法》第3.7條“以欺詐、誘騙等不正當方式誤導用戶同意收集個人信息或打開可收集個人信息的權限,如故意欺瞞、掩飾收集使用個人信息的真實目的”的規定,并提供了示例。
分析本條的示例,其真正目的在于獲取通訊錄信息,但擔心用戶拒絕或者不愿提供,通過紅包、金幣、抽獎等方式,來降低或者消除用戶對于打開通訊錄權限的疑慮、感知,用戶甚至無法知曉該等App收集通訊錄的目的,違反了合法性原則要求。而該等App收集用戶通訊錄,可能也與其業務開展無必然關聯,可能也同時違反必要性原則要求。
3.9 是否向用戶提供撤回同意收集個人信息的途徑、方式
a)App應向用戶提供撤回同意收集個人信息的途徑、方式,并在隱私政策等收集使用規則中予以明確。
b)如用戶拒絕或撤回特定業務功能收集個人信息的授權時,App不應暫停提供其他業務功能,或降低其他業務功能的服務質量。
c)如用戶拒絕或撤回可收集個人信息的權限時,不得影響用戶正常使用與該權限無關的功能,除非該權限是保證App正常運行所必需。
【解讀】
相較于《App自評估指南》評估點23,《App自評估指南(征求意見稿)》吸收了《App違法違規認定方法》第3.8條“未向用戶提供撤回同意收集個人信息的途徑、方式”的規定,并吸收了《個人信息安全規范》第5.3e)條“個人信息主體不授權同意使用、關閉或退出特定業務功能的,不應暫停個人信息主體自主選擇使用的其他業務功能,或降低其他業務功能的服務質量”的規定。
建議App運營者在隱私政策中向用戶說明撤回同意收集個人信息的途徑、方式,用戶拒絕提供或撤回同意提供某些個人信息,僅應影響與該等個人信息相關的業務功能,不得影響其他業務功能的正常使用,除非該等個人信息或收集個人信息權限為App正常運行所必需。
3.10 是否違反其所聲明的收集使用規則,收集使用個人信息
a)App應嚴格遵循其披露的隱私政策等收集使用規則,開展個人信息處理活動,如個人信息使用目的發生變化的,應再次征得用戶同意。
【解讀】
相較于《App自評估指南》,《App自評估指南(征求意見稿)》吸收了《App違法違規認定方法》第3.9條“違反其所聲明的收集使用規則,收集使用個人信息”的規定,旨在強調App運營者應言行一致,收集使用規則不僅是告知用戶,更是對運營者的約束。
如個人信息使用目的發生變化的,App運營者應按照《App自評估指南(征求意見稿)》第2.2條規定的方式告知用戶,并再次征得用戶同意,這里的“同意”宜作明示同意理解。
評估點四:是否遵循必要原則,僅收集與其提供的服務直接相關的個人信息
4.1 是否收集與業務功能無關的個人信息
a)不應收集與業務功能無關的個人信息。
b)App不應申請打開與業務功能無關的可收集個人信息的權限。
【解讀】
相較于《App自評估指南》評估點27,《App自評估指南(征求意見稿)》吸收了《App違法違規認定方法》第4.1條“收集的個人信息類型或打開的可收集個人信息權限與現有業務功能無關”的規定,除增加對可收集個人信息權限的要求外,內容未發生實質變化。
4.2 用戶是否可拒絕收集非必要信息或打開非必要權限
a)App收集業務功能非必要的個人信息或申請打開非必要權限時,應征得用戶同意,用戶不同意不得拒絕提供相應業務功能。
b)App不應將同意收集其他業務功能所需的個人信息或同意打開其他業務功能所需可收集個人信息權限,作為業務功能打開的前提條件。
c)如App提供無需注冊即可使用(如瀏覽、游客模式)的業務模式,當用戶拒絕支撐瀏覽、游客等模式以外的個人信息收集行為,App不應拒絕提供服務。
注:必要信息指與基本業務功能直接相關的個人信息,缺少該個人信息則基本業務功能無法實現。必要信息范圍可參考《信息安全技術移動互聯網應用程序(App)收集個人信息基本規范》(征求意見稿),如果業務類型不在該標準內,則應根據其業務特點,參考該規范相關定義和理念自行判定。
【解讀】
相較于《App自評估指南》評估點26,《App自評估指南(征求意見稿)》吸收了《App違法違規認定方法》第4.2條“因用戶不同意收集非必要個人信息或打開非必要權限,拒絕提供業務功能”的規定,強調應確保用戶可拒絕收集非必要信息或打開非必要權限,并且不會因此影響用戶正常使用業務功能。
需要指出的是,此處增加了對于App提供無需注冊即可使用(如瀏覽、游客模式)業務模式下收集個人信息的必要性要求,即“當用戶拒絕支撐瀏覽、游客等模式以外的個人信息收集行為,App不應拒絕提供服務”,旨在將瀏覽、游客等無需注冊即可使用模式落到實處,若提供該等模式就僅收集滿足該等模式所需的信息。
此外,本條注指出必要信息范圍的界定可參考《App收集信息基本規范(征求意見稿)》,如果屬于該規范列示的30種常用服務類型,超出該規范列舉的最小必要范圍,需要審慎考量與現有業務功能的關聯性。若難以給出合理解釋,建議及時進行調整。
4.3 是否以非正當方式強迫收集用戶個人信息
a)根據用戶主動填寫、點擊、勾選等自主行為,作為App的各個業務功能打開或開始收集使用個人信息的條件。
b)App新增業務功能申請收集的個人信息超出用戶原有同意范圍時,不應因用戶拒絕新增業務功能收集個人信息的請求,拒絕提供原有業務功能,新增業務功能取代原有業務功能的除外。
c)不應僅以改善服務質量、提升用戶體驗、定向推送信息、研發新產品等為由,強制要求用戶同意收集其個人信息并以此作為提供服務的條件。
d)App不得以捆綁方式強制要求用戶一次性同意打開多個可收集個人信息權限。如將安卓版App的targetSdkVersion值設置低于23,通過聲明機制,在安裝App時要求用戶一次性同意打開多個可收集個人信息權限。
【解讀】
相較于《App自評估指南》評估點24,《App自評估指南(征求意見稿)》主要調整了以下三點:
第一點,吸收了《App違法違規認定方法》第4.3條“App新增業務功能申請收集的個人信息超出用戶原有同意范圍,若用戶不同意,則拒絕提供原有業務功能,新增業務功能取代原有業務功能的除外”的規定,新增該要求。實踐中,隨著公司戰略、市場行情、消費需求等的變化,App運營者新增業務功能的情況非常普遍。對此需要根據該條的要求,超出原有個人信息同意范圍收集個人信息的,如用戶不同意,只影響新增業務功能的使用,不得拒絕提供原有業務功能。但新增業務取代原有業務功能導致業務功能發生變更的除外。
第二點,吸收了《App違法違規認定方法》第4.5條“僅以改善服務質量、提升用戶體驗、定向推送信息、研發新產品等為由,強制要求用戶同意收集個人信息”的規定,新增該要求。在實踐中,相當數量的App在隱私政策中將改善服務質量、提高用戶體驗、定向推送信息、研發新產品單獨表述為業務功能和收集使用目的,并將其作為“利器”而肆意收集使用與業務功能無關的用戶個人信息。建議將改善服務質量、提高用戶體驗、定向推送信息、研發新產品等目的與其他業務功能相結合,確保收集使用個人信息的類型與具體業務功能相對應。
第三點,將安卓版App的targetSdkVersion值設置低于23的問題作為示例,突出一攬子授權的問題。根據App治理工作組發布的《App們,還在一次性申請權限?》顯示,目前國內主流的安卓系統App已經將targetSdkVersion值設置大于23。以用戶手機比較老、操作版本低等理由,將targetSdkVersion值設置小于23,已經無法有效應對監管部門的核查和質疑。建議App運營者及時予以調整。如果確實出于向下兼容已停止更新App的需要,一次性全部啟用可收集用戶個人信息的權限,建議提醒用戶在安裝完畢后逐項關閉權限,需要申請某項權限時,再彈窗告知收集個人信息的目的并獲得用戶的同意。
4.4 收集個人信息的頻度是否超出業務功能實際需要
a)App收集個人信息的頻度不應超出業務功能實際需要,在使用App某業務功能過程中,應僅收集與當前業務功能相關的個人信息。
b)在未打開App或后臺運行App時,App不應收集用戶個人信息,除非App業務功能需要后臺運行時繼續提供服務,如導航功能。
c)App接入第三方應用時,應提醒用戶關注第三方應用收集使用個人信息的規則,不得私自截留第三方應用收集的個人信息。
【解讀】
相較于《App自評估指南》,《App自評估指南(征求意見稿)》吸收了《App違法違規認定方法》第4.4條“收集個人信息的頻度等超出業務功能實際需要”的規定,并對該規定進行了細化。
根據App專項治理工作組通報的問題App顯示,部分App存在收集設備IMEI號、IMSI號、地理位置、手機號等個人信息和調用電話等權限的頻度,超出業務功能實際需要。根據本條要求,舉例來說,即使App已經獲得用戶收集其地理位置的同意,但如果用戶沒有打開App、后臺運行App或者當前使用的業務功能不需要地理位置信息,就不應該收集用戶的地理位置信息。例外情況在于,如果在后臺運行的情況下,App的業務功能如導航功能,需要借助地理位置信息方能繼續提供服務,則可以繼續收集地理位置信息。
需要探討的是,本條新增c款對接入第三方應用提出了相應要求,提醒用戶關注第三方應用收集使用個人信息的規則,可以參考本文前面提到的在隱私政策附件放置第三方應用收集使用個人信息規則鏈接的方式。不得私自截留第三方應用收集的個人信息,旨在確保第三方應用的正常使用。但整體來看,本款似乎與本條主要規定的“收集個人信息的頻度是否超出業務功能實際需要”沒有必然關聯,可以關注該款的位置后續是否會進行調整。
評估點五:是否未經同意向他人提供個人信息
5.1 向他人提供個人信息前是否征得用戶同意
a)如App存在從客戶端直接向第三方發送個人信息的情形,包括通過App客戶端嵌入第三方代碼、插件(如SDK)等方式,應事先征得用戶同意,經匿名化處理的除外。
b)如個人信息傳輸至App服務器后,App運營者向第三方提供其收集的個人信息,應事先征得用戶同意,經匿名化處理的除外。
c)如App接入第三方應用,當用戶使用第三方應用時,應事先征得用戶同意后,再向第三方應用提供個人信息,用戶獲知應用為第三方且在知悉收集使用個人信息規則后,自行同意提供給第三方的除外。
【解讀】
相較于《App自評估指南》評估點22,《App自評估指南(征求意見稿)》吸收了《App違法違規認定方法》第5條“以下行為可被認定為‘未經同意向他人提供個人信息’……”的具體規定,旨在強調向第三方提供個人信息,均應獲得用戶的同意,這里宜根據本指南第1.6f)條和第2.1條的規定,通過隱私政策、個人信息查詢使用授權書等授權文本告知用戶對外提供個人信息的目的、個人信息類型和接收方類型或身份。
相較于《App違法違規認定方法》第5條,本條新增了“用戶獲知應用為第三方且在知悉收集使用個人信息規則后,自行同意提供給第三方的除外”的例外情形。舉例來說,微信某小程序通過彈窗方式,告知用戶想要獲得用戶的昵稱、頭像、地區、性別、手機號碼等個人信息用于某目的,用戶若點擊允許,即代表用戶自行同意微信將該等個人信息提供給該小程序。該場景下是小程序征得用戶的同意,而非微信征得用戶的同意。
評估點六:是否按法律規定提供刪除或更正個人信息功能,或公布投訴、舉報方式等信息
6.1 是否提供有效的注銷用戶賬號功能
a)App應提供有效的注銷賬號的途徑(如在線操作、客服電話、電子郵件等),并在用戶注銷賬號后,及時刪除其個人信息或進行匿名化處理,法律法規另有規定的除外。
b)受理注銷賬號請求后,App運營者應在承諾時限內(承諾時限不得超過15個工作日,無承諾時限的,以15個工作日為限)完成核查和處理。
c)注銷賬號的過程應簡單易操作,不應設置不必要或不合理的注銷條件,如提供額外的個人敏感信息用于身份驗證,或未明確注銷所需個人敏感信息在注銷成功后是否會刪除等。
注:相關內容可參考GB/T 35273《個人信息安全規范》。
【解讀】
相較于《App自評估指南》評估點30,《App自評估指南(征求意見稿)》吸收了《App違法違規認定方法》第6.2條“為更正、刪除個人信息或注銷用戶賬號設置不必要或不合理條件”和第6.3條“雖提供了更正、刪除個人信息及注銷用戶賬號功能,但未及時響應用戶相應操作,需人工處理的,未在承諾時限內(承諾時限不得超過15個工作日,無承諾時限的,以15個工作日為限)完成核查和處理”的規定,新增前述兩條的要求。
建議App運營者:首先,提供賬號注銷功能,并在隱私政策中明確說明用戶注銷賬號的操作方法。其次,提供的用戶賬號注銷功能應方便用戶操作,且能切實保障用戶賬號注銷的有效實現,避免故意設置操作障礙。最后,如果通過郵箱或客服的方式受理用戶注銷賬號的請求,應及時響應,給予用戶已經受理的答復,避免用戶請求發出后石沉大海,再無音信。需要人工處理的,應在承諾時限內(承諾時限不得超過15個工作日,無承諾時限的,以15個工作日為限)完成核查和處理。
6.2 是否提供有效的更正或刪除個人信息
a)App應提供有效的查詢、更正、刪除個人信息的途徑。
b)用戶無法通過在線操作方式及時響應個人信息查詢、更正、刪除請求的,App運營者應在承諾時限內(承諾時限不得超過15個工作日,無承諾時限的,以15個工作日為限)完成核查和處理。
c)查詢、更正和刪除個人信息的過程應簡單易操作,不應設置不必要或不合理的條件。
d)用戶更正、刪除個人信息等操作完成時,App后臺應同步執行完成相關操作。
【解讀】
相較于《App自評估指南》評估點31,《App自評估指南(征求意見稿)》吸收了《App違法違規認定方法》第6.2條“為更正、刪除個人信息或注銷用戶賬號設置不必要或不合理條件”、第6.3條“雖提供了更正、刪除個人信息及注銷用戶賬號功能,但未及時響應用戶相應操作,需人工處理的,未在承諾時限內(承諾時限不得超過15個工作日,無承諾時限的,以15個工作日為限)完成核查和處理”和第6.4條“更正、刪除個人信息或注銷用戶賬號等用戶操作已執行完畢,但App后臺并未完成的”的規定,新增前述3條要求。
建議App運營者切實提供有效的、簡單易操作的查詢、更正、刪除個人信息的途徑,不設置操作障礙,如實告知用戶更正、刪除個人信息及注銷賬戶的實際進展,在App后臺完成相應操作后,再向用戶提示相關操作已執行完畢。如在操作過程中出現突發情況導致暫時無法實現更正、刪除或注銷操作,應及時告知用戶原因并如實告知操作進展,不得在未完成操作之前提示用戶操作已完成。
6.3 是否建立并公布個人信息安全投訴、舉報渠道
a)App運營者應建立并公布可受理個人信息安全問題相關的投訴、舉報渠道,受理可采取在線操作、客服電話、電子郵件等方式。
b)App運營者應妥善受理用戶關于個人信息相關的投訴、舉報,并在承諾時限內(承諾時限不得超過15個工作日,無承諾時限的,以15個工作日為限)受理并處理。
【解讀】
相較于《App自評估指南》評估點32,《App自評估指南(征求意見稿)》吸收了《App違法違規認定方法》第6.5條“未建立并公布個人信息安全投訴、舉報渠道,或未在承諾時限內(承諾時限不得超過15個工作日,無承諾時限的,以15個工作日為限)受理并處理的”的要求,將受理并處理個人信息安全投訴舉報的時間從15天放寬至15個工作日,有助于App運營者更妥善地處理該等投訴舉報。
正如《App自評估指南(征求意見稿)》在其摘要部分指出的那樣,其內容重點參照了《App違法違規認定方法》和《個人信息安全規范》等相關國家標準,并將檢測評估工作經驗融入其中,App違法違規使用個人信息行為的相關認定標準漸趨一致,對實務中出現的新問題能夠及時地作出判斷和回應。App運營者應高度關注《App自評估指南(征求意見稿)》,參照其具體規定進行相應合規安排,并關注其正式版出臺進度和內容變化。