一、背景
(一)四部门开展APP违法违规收集使用个人信息专项治理
为规范个人信息收集使用行为,提升个人信息保护水平,2019年1月25日,中央网信办、工业和信息化部、公安部、市场监管总局等四部门(以下简称“四部门“)发布《关于开展App违法违规收集使用个人信息专项治理的公告》(以下简称“公告”)[1],决定自2019年1月至12月,组织开展App违法违规收集使用个人信息专项治理。《公告》指出移动互联网应用程序(App)在使用、收集个人信息时,存在App强制授权、过度索权、超范围收集个人信息、违法违规使用个人信息等问题。
受四部门委托,全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立了App专项治理工作组。
2019年5月24日,App专项治理工作组公布《百款常用App申请收集使用个人信息权限情况》[2]。App专项治理工作组对“百度糯米”等下载量大的100款App申请权限以及强制开启权限进行了分析统计,共分析了“读取通信录”“访问精准定位”“录音”等与个人信息收集使用密切相关的26个重点权限。
2019年7月19日,App专项治理工作组并发布《关于督促40款存在收集使用个人信息问题的APP运营者尽快整改的通知》[3],要求相关App运营者限期整改。
(二)工业和信息化部开展APP侵害用户权益专项整治
2019年10月31日,工业和信息化部印发《关于开展APP侵害用户权益专项整治工作的通知》[4],决定开展APP侵害用户权益专项整治工作。整治内容主要包括四个方面8类问题,具体为“(一)违规收集用户个人信息方面:1.私自收集个人信息;2.超范围收集个人信息。(二)违规使用用户个人信息方面:3.私自共享给第三方;4.强制用户使用定向推送功能。(三)不合理索取用户权限方面:5.不给权限不让用;6.频繁申请权限;7.过度索取权限。(四)为用户账号注销设置障碍方面:8.账号注销难。”
2019年12月19日,工信部信息通信管理局印发《关于侵害用户权益行为的APP(第一批)通报》[5],对41款存在问题的App进行通报;2020年1月3日,工信部信息通信管理局印发《关于下架第一批侵害用户权益APP名单的通报》[6],对3款未完成整改的App进行下架处理;2020年1月9日工信部信息通信管理局印发《关于侵害用户权益行为的APP(第二批)通报》[7],对15款存在问题的App进行通报。
四部门的专项治理和工信部的专项整治工作,是国家保护个人信息、完善App治理体系、提升App治理能力的重要举措,同时也对App运营者收集使用个人信息的法律合规工作提出了更高要求。
二、具体问题分析
关于个人信息保护的规定,散见于各项法律、行政法规、部门规章、规范性文件及国家标准中。本文主要梳理本次专项治理和专项整治工作中所依据的相关政策法规。
(一)个人信息的概念与范围
《民法总则》第111条规定“自然人的个人信息受法律保护”,首次将个人信息纳入民法的保护范围,但是并未明确规定个人信息的概念及范围。《网络安全法》等法律、部门规章中规定了个人信息的概念、范围,但是表述的模式不尽相同:模式一:定性描述+开放性列举;模式二:定性描述;模式三:开放性列举。具体如下:
1.在定性描述方面
相关法律、部门规章对个人信息定性描述的差异主要体现在信息的内容上。《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定,个人信息不仅包括“识别自然人个人身份的各种信息”还包括“反映自然人活动情况的各种信息”;而《网络安全法》等其他法律、部门规章规定,个人信息仅包括“识别自然人个人身份的各种信息”。这反映出关于个人信息的概念和内涵在我国法律层面还存在着不一致的情况,未来可能通过立法统一规定。
推荐性国家标准《信息安全技术 个人信息安全规范(征求意见稿)》(2019.10.22 版本)[1]对个人信息的定性描述是“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。”,与上述刑事司法解释的规定相一致。该标准作为推荐性国家标准,虽然不具有法律上的强制执行力,但是它能够为App运营企业数据合规提供重要指引。“ 《个人信息安全规范》标准将针对处理个人信息的各类组织(包括机构、企业等),提出具体的保护要求,定位为我国个人信息保护工作的基础性标准文件,为今后开展与个人信息保护相关的各类活动提供参考,为制定和实施个人信息保护相关法律法规奠定基础,为国家主管部门、第三方测评机构等开展个人信息安全管理、评估工作提供指导和依据。[2]”总体而言,该标准为企业提供了落实个人信息保护工作的一个良好法律实践,本标准对个人信息的保护水准达到或高于法律的要求,但不及于最佳实践。遵守并落实标准的各项要求,可以确保企业符合法律法规的各项要求,也有利于企业在法律允许的范围内开展各项数据业务[3]。
2.在开放性列举方面
由于开放性列举是非穷尽式的列举,各类法律法规的列举不完全一致,是正常的。一般来说,个人信息包括:自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
《信息安全技术 个人信息安全规范(征求意见稿)》(2019.10.22 版本)对个人信息进行了更大范围、非穷尽的列举:“个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。” 并通过附录形式对个人信息进行了更为详尽的非穷尽式列举,包括13个方面、近百种信息。
建议相关企业在数据合规工作中,以该标准为指引,认识到个人信息不仅包括识别自然人身份的信息、也包括反映自然人活动情况的信息,对两种信息的处理都要符合《网络安全法》等法律法规的要求。在判定某项信息是否属于个人信息,应参照该标准提供的方法,即“一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人,个人信息应有助于识别出特定个人。二是关联,即从个人到信息,如已知特定自然人,由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)即为个人信息。符合上述两种情形之一的信息,均应判定为个人信息。”。在个人信息处理中,还应注意到个人信息、个人敏感信息的差异。
(二)个人信息收集、使用规则
《网络安全法》《消费者权益保护法》对个信息收集使用均作出明确规定,包括“遵循合法、正当、必要的原则”、“公开收集、使用规则”、“明示收集、使用信息的目的、方式和范围”、“经被收集者同意”、“不得收集与其提供的服务无关的个人信息”、“确保其收集的个人信息安全”等规则要求。结合《App违法违规收集使用个人信息行为认定方法》[4]、《App违法违规收集使用个人信息自评估指南》[5],本文认为App收集使用个人信息遵循以下规则:
1.用户是否知情
用户是否知情,是指App运营者是否明确告知用户其要收集使用用户个人信息这一客观事实,以及其对信息处理的各种规则。只有在用户知情的前提下,App运营者才有权收集使用用户信息。该项规则对App运营者提出两方面的义务:
(1)公开收集、使用规则
本项义务主要是针对App的隐私政策文本,隐私政策文本在形式上和内容上应符合一定的要求。形式上要求包括隐私政策独立成文、易于访问、易于阅读。内容上要求包括隐私政策清晰说明App各项业务功能及所收集个人信息类型、信息处理规则及用户权益保障机制、隐私政策不设置不合理条款。App运营者可以对照《App违法违规收集使用个人信息自评估指南》之“一、隐私政策文本”部分,进行自查自纠。
同时《App违法违规收集使用个人信息行为认定方法》通过反面列举的方式,认为以下行为可被认定为“未公开收集使用规则”:
①在App中没有隐私政策,或者隐私政策中没有收集使用个人信息规则;②在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;③隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到;④隐私政策等收集使用规则难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等。
(2)明示收集、使用信息的目的、方式和范围
本项义务是针对隐私政策的具体内容,隐私政策内容应包括信息收集使用的目的、收集使用的方式、收集使用的信息范围。App运营者可以对照《App违法违规收集使用个人信息自评估指南》之“评估项5:收集个人信息应明示收集目的、方式和范围”部分,进行自查自纠。
同时《App违法违规收集使用个人信息行为认定方法》通过反面列举的方式,认为以下行为可被认定为“未明示收集使用个人信息的目的、方式和范围”:①未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;②收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等;③在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解;④有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等。
相关影片资源迅雷下载推荐
App运营推广计划方案
一、App运营推广概念引用百度百科的概念:对运营过程的计划、组织、实施和控制,是与产品生产和服务创造密切相关的各项管理工作的总称。从另一个角度来讲,运营管理也可以指为对生产和提供公司主要的产品和服务的系 ...
APP运营,App运营推广计划方案
2.用户是否同意
用户是否同意,是指在用户知情的前提下,用户是否同意App运营者收集使用其个人信息、是否同意App运营者向他人提供用户个人信息。只有在用户同意的前提下,App运营者才能进行相关的操作。该项规则对App运营者提出两方面的义务:
(1)未经用户同意,不得收集使用个人信息
App运营者可以对照《App违法违规收集使用个人信息自评估指南》之“评估项6:收集使用个人信息应经用户自主选择同意,不应存在强制捆绑授权行为”部分,进行自查自纠。
同时《App违法违规收集使用个人信息行为认定方法》通过反面列举的方式,认为以下行为可被认定为“未经用户同意收集使用个人信息”:①征得用户同意前就开始收集个人信息或打开可收集个人信息的权限;②用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用;③实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围;④以默认选择同意隐私政策等非明示方式征求用户同意;⑤未经用户同意更改其设置的可收集个人信息权限状态,如App更新时自动将用户设置的权限恢复到默认状态;⑥利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项;⑦以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的;⑧未向用户提供撤回同意收集个人信息的途径、方式;⑨违反其所声明的收集使用规则,收集使用个人信息。
(2)未经用户同意,不得向他人提供个人信息
《App违法违规收集使用个人信息行为认定方法》通过反面列举的方式,认为以下行为可被认定为“未经同意向他人提供个人信息” :①既未经用户同意,也未做匿名化处理,App客户端直接向第三方提供个人信息,包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息;②既未经用户同意,也未做匿名化处理,数据传输至App后台服务器后,向第三方提供其收集的个人信息;③App接入第三方应用,未经用户同意,向第三方应用提供个人信息。
3.收集的信息是否必要
收集的信息是否必要,是指App运营者不得收集与其提供的服务无关的个人信息。是否必要应从以下两个方面进行考量:形式要求,收集的信息是否在隐私政策所述范围内;实质要求,收集的信息是否与App的功能、服务相关,是否是最小必要信息[6]。App运营者可以对照《App违法违规收集使用个人信息自评估指南》之“评估项7:收集个人信息应满足必要性要求”部分,进行自查自纠。
《App违法违规收集使用个人信息行为认定方法》通过反面列举的方式,认为以下行为可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”:①收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;②因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;③App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;④收集个人信息的频度等超出业务功能实际需要;⑤仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;⑥要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。
4.用户的相关权利是否得到保障
主要是指《网络安全法》规定的43条[7]、49[8]条两种情形,即支持用户注销账号、更正或删除个人信息,及时反馈用户申诉。App运营者可以对照《App违法违规收集使用个人信息自评估指南》之“三、App运营者对用户权利的保障”部分,进行自查自纠。
《App违法违规收集使用个人信息行为认定方法》通过反面列举的方式,认为以下行为可被认定为“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”:①未提供有效的更正、删除个人信息及注销用户账号功能;②为更正、删除个人信息或注销用户账号设置不必要或不合理条件;③虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理;④更正、删除个人信息或注销用户账号等用户操作已执行完毕,但App后台并未完成的;⑤未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理的。
5.用户的个人信息是否得到安全保护
主要是指《网络安全法》第42条规定的“网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”
《App违法违规收集使用个人信息自评估指南》、《App违法违规收集使用个人信息行为认定方法》均未提及数据安全保护这一极为重要问题。
《信息安全技术 个人信息安全规范(征求意见稿)》(2019.10.22 版本)中“9.个人信息安全事件处置”“10.组织的管理要求”部分,对数据安全保护提出了明确要求,建议App运营者参照执行。
综上,App在收集使用个人信息时应严格遵守用户知情、用户同意、最小必要、权利保障、数据安全等五项规则。违反相关规则,将承担相应的法律责任。
(三)法律责任
依据《网络安全法》、《消费者权益保护法》《刑法》等相关法律法规,违规收集使用个人信息可能承担的法律责任包括:
1.民事责任
依据《消费者权益保护法》第50条,经营者侵害消费者个人信息依法得到保护的权利的,应当承担停止侵害、恢复名誉、消除影响、赔礼道歉,并赔偿损失等民事责任。
2.行政责任
依据《网络安全法》第64条,网络运营者违规收集使用个人信息的,应当承担警告、没收违法所得、罚款、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等行政责任。
3.刑事责任
根据《刑法》第253条及相关司法解释,App运营者违规收集使用个人信息,构成侵犯公民个人信息罪的,应当承担“三年以下有期徒刑或者拘役,并处或者单处罚金”或者“三年以上七年以下有期徒刑,并处罚金”的刑事责任。
三、结论与建议
(一)App运营者应严格按照《App违法违规收集使用个人信息自评估指南》、《App违法违规收集使用个人信息行为认定方法》进行长期、持续的自我评估、自查自纠、自我监督,规范开展相关工作。
(二)App运营者应参照《信息安全技术 个人信息安全规范》(征求意见稿2019.10.22 )、《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范》(征求意见稿 2020.01.15 )等国家标准,遵守并落实标准的各项要求,确保企业符合《网络安全法》等法律法规的各项要求,不断提高个人信息保护水平。
(三)App运营者在收集使用个人信息过程中,应依据相关法律法规、部门规章、政策文件以及国家标准,严格遵守用户知情、用户同意、最小必要、权利保障、数据安全等五项规则,防范法律风险。
[1] App治理工作组:《GB/T 35273<信息安全技术个人信息安全规范>最新版征求意见稿》,载“App个人信息举报”微信公众号,2019年10月24日。
[2] 洪延青、姚相振、何延哲:《个人信息安全须用规范“保驾”》,载http://www.cac.gov.cn/2016-12/22/c_1120160205.htm,访问日期2020年2月22日。
[3] 陈际红、包达:《企业如何适用<个人信息安全规范>》,载《中伦视界》,2018年2月8日。
[4] 关于印发《App违法违规收集使用个人信息行为认定方法》的通知(国信办秘字〔2019〕191号)。
[5] App治理工作组:《App违法违规收集使用个人信息自评估指南》,载“App个人信息举报”微信公众号,2019年3月1日。
[6] 保障某一服务类型正常运行所最少够用的个人信息,包括一旦缺少将导致该类型服务无法实现或无法正常运行的个人信息,以及法律法规要求必须收集的个人信息。《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范(征求意见稿)》(2020年1月15日版 )
[7] 《网络安全法》第43条:个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
[8] 《网络安全法》第49条:网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。网络运营者对网信部门和有关部门依法实施的监督检查,应当予以配合。
[1] 全文链接:http://www.cac.gov.cn/2019-01/25/c_1124042599.htm
[2] 全文链接:http://www.cac.gov.cn/2019-05/24/c_1124538535.htm
[3] 全文链接:http://www.cac.gov.cn/2019-07/19/c_1124770732.htm
[4] 全文链接:http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057709/n3057714/c7506181/content.html
[5] 全文链接:http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057709/n3057714/c7574782/content.html
[6] 全文链接:http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057709/n3057714/c7596872/content.html
[7] 全文链接:http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057709/n3057714/c7619605/content.html
相关影片资源迅雷下载推荐
app运营推广那点事:app推广必备工具有哪些
对于app运营推广那点事,很多小伙伴都很熟悉。而为了更快更好地完成app推广运营的任务或业绩,一个优秀的app运营都会有一些自己得心应手的app推广工具。今天活动盒子小编来介绍一些app运营高手们都在用的app推广工具 ...
APP运营,app运营推广那点事:app推广必备工具有哪些
