清华大学金融科技研究院孵化
金融科技与金融创新全媒体

扫描分享

本文共字,预计阅读时间

12月30日,国家网信办等四部门联合发布了《App违法违规收集使用个人信息行为认定方法》(以下简称“办法”),该办法列举了6类31种App违法违规收集使用个人新的行为,为App运营者自查自纠和网民社会监督提供了指引。当日, App个人信息保护工作研讨会也在北京举办,App专项治理工作组成员何延哲也为大家进行了该办法的解读,本文将办法中需注意事项及笔者看法整理解读如下:

一、该办法的法律依据

此次认定办法的公布,主要根据《网络安全法》《消费者权益保护法》《电信和互联网用户个人信息保护规定》等文件,主要涉及条款为:

《网络安全法》第四十一条,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意

网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。

第四十二条,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。

第四十九条,网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。

《消费者权益保护法》第二十九条,经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。

《电信和互联网用户个人信息保护规定》第十二条,电信业务经营者、互联网信息服务提供者应当建立用户投诉处理机制,公布有效的联系方式,接受与用户个人信息保护有关的投诉,并自接到投诉之日起十五日内答复投诉人。

二、办法主要内容解读

(一)以下行为可被认定为“未公开收集使用规则”

2、在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;

【解读】弹窗是业内操作最为普遍的方式,但除了弹窗外,可以通过视频、红包奖励等多种方式提示用户来阅读隐私政策。

3、隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到;

【解读】隐私政策除了用户在注册APP时弹窗阅读外,需提供给用户日常查看的入口,且该入口需要明显,方便用户查看,具体程度明确要求为“不超过4次点击”,超过4次点击的将被视为“隐私政策等收集使用规则难以访问”。

4、隐私政策等收集使用规则难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等。

【解读】隐私政策除了需要向用户提供查看入口外,需要便于用户阅读,具体包括字体、颜色需适宜阅读,展示页面不得过宽,需提供简体中文版隐私政策等,不得以PDF版隐私政策进行展示。

(二)以下行为可被认定为“未明示收集使用个人信息的目的、方式和范围”

1、未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;

【解读】之前部分APP的隐私政策中仅列举了APP收集使用个人信息的目的、方式和范围,未列明委托的第三方或嵌入的第三方代码、插件所收集并使用的目的、方式及范围。此次认定办法要求隐私政策需要一一列举出APP及因使用该APP服务,APP委托的第三方或嵌入的第三方SDK收集使用个人信息的目的、方式、范围。

2、收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等;

【解读】当隐私政策的更新涉及到“收集使用个人信息的目的、方式、范围发生变化”时,需要提醒用户阅读并点击同意;若隐私政策仅调整文字表述,或举报电话等非实质影响用户个人信息合法权益的内容时,可不提醒用户阅读并点击同意。

(三)以下行为可被认定为“未经用户同意收集使用个人信息”

1、征得用户同意前就开始收集个人信息或打开可收集个人信息的权限;

【解读】用户在下载APP后未授权将个人信息提供给APP运营者前,APP不得收集用户个人信息。

2、用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用;

【解读】用户明确表示不同意将个人信息授权后,APP不得收集用户个人信息,或频繁征求用户同意,干扰了用户的正常使用。至于“频繁征求用户同意”的具体频率,目前尚没有进一步的细化规定。

4、以默认选择同意隐私政策等非明示方式征求用户同意;

【解读】隐私政策不得默认勾选,需用户明示同意。用户在点击同意隐私政策的选项时,建议APP运营者后台保留相关操作日志。

5、未经用户同意更改其设置的可收集个人信息权限状态,如App更新时自动将用户设置的权限恢复到默认状态;

【解读】APP更新时不得将用户同意或拒绝的权限,恢复至用户默认同意权限。一方面提示APP运营者不得通过更新的方式获得用户拒绝的权限,另一方面提示APP运营者关注是否因不同手机系统或APP程序原因,导致出现APP更新后获得用户拒绝的权限。

6、利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项;

【解读】APP运营者需向用户提供非定向推送信息的选项,例如新闻类APP,用户可选择是否获得定向推送信息。

四)以下行为可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”

5、仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;

【解读】“改善服务质量、提升用户体验”等表述过于笼统,未向用户提供更多的知情权或选择权,实践中APP运营者可通过其他方式来获取个人信息,如明确告知新增哪些具体功能,需收集哪些个人信息等方式。

6、要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。

【解读】用户在登录使用APP时,APP弹窗获取录音、定位等权限时,需在遵循必要性的原则下逐一弹出,且弹出时需告知用户获取该权限的具体使用目的,不能一次性将多个或所有权限全部弹出并要求用户同意。

(五)以下行为可被认定为“未经同意向他人提供个人信息”

2、既未经用户同意,也未做匿名化处理,数据传输至App后台服务器后,向第三方提供其收集的个人信息;

【解读】若未经用户同意时传递个人信息,需将该信息匿名化处理,且必须无法识别或恢复。同时,匿名化处理后的信息因不具备可识别性,从法律上已经不属于“个人信息”的范畴,所以若个人信息在不同主体之间传递或共享,需要获得用户同意。

(六)以下行为可被认定为“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”

4、更正、删除个人信息或注销用户账号等用户操作已执行完毕,但App后台并未完成的;

【解读】该办法要求用户更正或删除个人信息后,APP后台也需进行更正或删除,但是具体删除到什么程度,包括删除前哪些前置条件是合理的,哪里是不合理或不必要的,因实践中各类APP提供的产品或服务千差万别,仍需进一步研讨及论证。但是需要看到APP有相应的更正或删除操作,例如不能用户删除个人信息后,用户再次注册或登录时,之前的个人信息或历史交易记录仍在。

三、总结

截至目前,App专项治理工作组已收到网民举报信息1.23万条,涉及2300余款App,工作组选取了其中用户量大,与民众生活相关的App进行了评估,委托14家测评机构对1000余款App进行了技术测评,督促问题严重的近300款App进行整改,整改问题达800余个。

我们能够切身感受到很多常用的APP获取的个人信息更加明确,获取的弹窗权限也更少,并给了用户更多的知情权、选择权,甚至是注销权,保护了用户的个人信息及合法权益。App个人信息保护的规范工作还有很长的路要走,需要政府部门、APP运营者、行业组织、社会公众等携手共治,共同构建安全有序的网络生态环境。

[Source]

本文系未央网专栏作者发表,属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!

评论


发表评论
您的评论提交后会进行审核,审核通过的留言会展示在上方留言区域,请耐心等待。
猜你喜欢

扫描二维码或搜索微信号“iweiyangx”
关注未央网官方微信公众号,获取互联网金融领域前沿资讯。