《App違法違規收集使用個人信息行為認定方法》解讀

　　鑒于不少App存在侵害用戶隱私、權限濫用等諸多問題，2019年伊始，工信部、網信辦、公安部、市場監管總局四部門聯合發布了《關于開展App違法違規收集使用個人信息專項治理的公告》。2019年1月至12月，在全國范圍內組織開展了App違法違規收集使用個人信息專項治理工作。全年共檢測App多達460萬個，下架處置了違法違規App3.1萬個，集中核查了相關App線索3000余條，抓獲814人。

　　近日，工信部、網信辦、公安部、市場監管總局四部委聯合制定并公開發布了《App違法違規收集使用個人信息行為認定方法》（下稱《認定方法》），為認定App違法違規收集使用個人信息行為提供參考，為App運營者自查自糾和網民社會監督提供指引，深入落實了《網絡安全法》等法律法規。“一參考、一指引、一落實”奠基了《認定方法》在認定App違法違規收集使用個人信息行為方面的重要影響力。據悉，2020年App安全認證工作將依托《認定方法》全面鋪開。

　　《認定方法》共分為6項認定準則，包含31種場景，App運營者只有對照本方法及時、有效地自查自糾，才能減少或者避免被認定為違法違規收集使用個人信息行為，才能充分經受起相關部門、社會公眾的共同監督。

　　第一，“未公開收集使用規則”。該項相較于征求意見稿，一是明確了App應有易于閱讀的隱私政策，不僅強調要有，還要注重內容的易讀性，同時隱私政策中要明示收集使用個人信息的規則。二是將明顯提示用戶閱讀隱私政策等收集使用規則的時間點，固定在了App首次運行時，提示方式建議采取彈窗方式，在彈窗內展示內容摘要并放置隱私政策全文鏈接。三是著重強調了隱私政策要易于訪問，若進入App主界面后，需多于4次點擊等操作才能訪問，則可被認定為“未公開收集使用規則”。

　　第二，“未明示收集使用個人信息的目的、方式和范圍”。該項認定方法直擊SDK隱瞞收集個人信息的隱私安全問題，相較于征求意見稿，明確了逐項列舉的要求不僅適用于App自身收集使用個人信息的目的、方式和范圍，亦適用于App嵌入的第三方代碼、插件。同時為體現對個人敏感信息保護的突出性，要求每次在需要用戶提供個人敏感信息時，應同步告知用戶其目的，在收集個人敏感信息時，提出更加嚴格、更加具體的要求。但本項中的第二條（收集使用個人信息的目的、方式、范圍發生變化時，未以適當方式通知用戶，適當方式包括更新隱私政策等收集使用規則并提醒用戶閱讀等），筆者認為其中存在值得思量的地方，若App運營者隨著自身需要隨意改造隱私政策內容，通過適當方式告知用戶（例如進入首頁時使用彈窗提示，實踐中這種提示用戶關注度是很小的，用戶往往會直接選擇關閉彈窗），那么該如何鑒定此類現象？

　　第三，“未經用戶同意收集使用個人信息”。該項認定方法明確了運營者要合法合規收集使用個人信息，不得在未取得用戶授權的前提下收集用戶個人信息；不得違反用戶意愿收集個人信息；不得頻繁彈窗、干擾使用；不得超出授權范圍收集個人信息；不得以默認選擇同意隱私政策等非明示方式征求用戶同意；不得未經用戶同意私自更改用戶權限設置；不得故意欺瞞、掩飾收集使用個人信息；定向推送時，要提供非定向推送信息的選項；需向用戶提供撤回同意的途徑和方式；此外，運營者還要“知行合一”，不得違反其所聲明的收集使用規則。經過用戶同意收集使用個人信息，以及明確收集使用規則，不僅是為了告知用戶，更是為了提升運營者的行業規范。

　　第四，“違反必要原則，收集與其提供的服務無關的個人信息”。該項直指App過度索取權限、越界獲取個人信息等問題，一是強調實際收集的個人信息類型及索取的權限要與現有業務功能逐項對應，并且與現有業務功能直接相關。二是明確不得因用戶拒絕提供非必要個人信息或打開非必要權限，而拒絕提供業務功能，甚至變相強迫用戶同意收集非必要個人信息或打開非必要權限的行為。三是規范收集使用個人信息，需要符合必要性原則的基本要求，不得超范圍、超頻率采集，或者一次性打開多個可收集個人信息的權限。

　　第五，“未經同意向他人提供個人信息”。該項為對外提供個人信息的合法性給出了指引，一是明確App客戶端向第三方提供個人信息應征得同意或匿名化處理。二是規范數據傳輸至App服務器后，對外提供個人信息的合法性。三是確保App接入第三方應用提供個人信息應征得用戶同意。可以看出，前兩點對外提供經過匿名化處理無法識別特定個人且不能復原的，無需獲得用戶的同意，但接入第三方應用提供個人信息必須得到用戶的授權同意。

　　第六，“未按法律規定提供刪除或更正個人信息功能”或“未公布投訴、舉報方式等信息”。該項著重強調為用戶提供注銷權，保障用戶的行使權和投訴權。一是明確應提供刪除或更正個人信息和注銷賬號功能。二是不應設置不必要或不合理條件，妨礙用戶行駛權利。三是保障App后臺操作應與用戶操作保持一致，不得欺騙、誤導用戶，讓用戶誤以為已經完成刪除、注銷等操作。四是明確建立、公布投訴和舉報渠道，并在承諾時限內對用戶權利要求進行及時響應，最長承諾時限不得超過15個工作日。

　　《認定辦法》作為大數據時代我國第一部App個人信息保護規范指引，完善了征求意見稿諸多細節規定，更加具體地細化了App收集個人信息行為認定方法，并給了用戶更多的知情權、選擇權、注銷權、投訴權等規定，提高了嚴謹性和可執行性，為違規收集使用個人信息提供最根本的參考依據。雖然App運營者在收集使用用戶個人信息時，多了相對明確的限制，但也多了相對明確的合規指引。當然，App個人信息保護的規范工作仍在不斷探索，希望政府部門、App運營者、行業組織、社會公眾等繼續攜手共治，共同構建安全有序的網絡生態環境。（賽迪智庫網絡安全研究所）

　　轉自：中國電子報

　　【版權及免責聲明】凡本網所屬版權作品，轉載時須獲得授權并注明來源“中國產業經濟信息網”，違者本網將保留追究其相關法律責任的權力。凡轉載文章及企業宣傳資訊，僅代表作者個人觀點，不代表本網觀點和立場。版權事宜請聯系：010-65363056。

延伸閱讀