App运营者⾃查指南:《App违法违规收集使⽤个⼈信息⾏为认定⽅法》评估案
例
继2019年1⽉25⽇,国家互联⽹信息办公室、⼯业和信息化部、公安部、市场监管总局发布《关于开展App违法违规收集使⽤个⼈信息专项治理的公告》,四部门近期联合制定并发布了《App违法违规收集使⽤个⼈信息⾏为认定⽅法》(国信办秘字[2019]191号)(以下简称《认定⽅法》)。《认定⽅法》的出台,为监督管理部门认定App违法违规收集使⽤个⼈信息⾏为提供参考,为App运营者⾃查⾃纠和⽹民社会监督提供指引。
App专项治理⼯作组对照《认定⽅法》,结合近千款App评估中发现的典型问题,进⾏具体分析解读,供各界参考。
观沧海原文及翻译⼀、典型“未公开收集使⽤规则”⾏为
法律法规依据:
•《⽹络安全法》第四⼗⼀条规定⽹络运营者收集、使⽤个⼈信息时,应当“公开收集、使⽤规则”。
万里长城的历史简介和资料•《消费者权益保护法》第⼆⼗九条规定经营者收集、使⽤消费者个⼈信息,“应当公开其收集、使⽤规则”。
典型⾏为:
•仅在官⽹、应⽤商店中展⽰隐私政策⽽在App内⽆法到隐私政策的,或隐私政策链接⽆效、⽂本不能正常显⽰的,或隐私政策中没有包含该App收集使⽤个⼈信息规则。
互换灵魂•App⾸次运⾏,未通过明显⽅式提⽰⽤户阅读个⼈信息收集使⽤规则;只在注册/登录界⾯展⽰隐私政策链接,进⼊App主界⾯后,⽆法到隐私政策;刻意使⽤灰⾊字体、缩⼩字号、遮挡、置于边缘与背景颜⾊相近等⽅式未突出显⽰隐私政策链接(图1.1);⽤户注册时,注册/登录界⾯⽆隐私政策链接如(图1.2)。
•隐私政策访问路径设置过深,多于4次点击操作访问到;或路径设置过偏,要通过搜索、等⽅式才能访问到。
•隐私政策⽂本字号、颜⾊、⾏间距、列宽、清晰度等设置造成⽤户阅读困难,如隐私政策⽂本字号过⼩(图1.3),隐私政策⽂本列宽设置⼤于屏幕(图1.4),隐私政策⽆法完整显⽰。
⼆、典型“未明⽰收集使⽤个⼈信息的⽬的、⽅式和范围”⾏为
法律法规依据:
•《⽹络安全法》第四⼗⼀条规定⽹络运营者收集、使⽤个⼈信息,应“明⽰收集使⽤个⼈信息的⽬的、⽅式和范围”。•《消费者权益保护法》第⼆⼗九条规定经营者收集、使⽤消费者个⼈信息,应“明⽰收集、使⽤信息的⽬的、⽅式和范围”。
典型⾏为:
•App嵌⼊第三⽅SDK存在收集个⼈信息的情况,但未在隐私政策⾥说明其收集使⽤个⼈信息的⽬的、⽅式、范围。•App隐私政策中未完整列举逐项说明App实际业务功能收集使⽤个⼈信息类型、⽬的、⽅式。
•仅依赖系统弹窗但未在向⽤户申请收集个⼈信息的权限时告知申请的⽬的(图2.1)或未同步告知⽤户收集使⽤个⼈敏感信息的⽬的(图2.2)。
•App主动进⾏权限申请的⼆次弹窗,但仅重复申请权限⽽未告知⽬的(图2.3),或⽬的描述不明确,⽤户⽆法得知App收集该类个⼈信息真实⽬的(图2.4)。
•隐私政策内容晦涩难懂、逻辑结构混乱、⽤语不符合通⽤习惯(图2.5、图2.6)。
usbcleaner三、典型“未经⽤户同意收集使⽤个⼈信息”⾏为
法律法规依据:
•《⽹络安全法》第四⼗⼀条规定⽹络运营者收集、使⽤个⼈信息,应“经被收集者同意”且“不得违反法律、⾏政法规的规定和双⽅的约定收集、使⽤个⼈信息”。
•《消费者权益保护法》第⼆⼗九条规定经营者收集、使⽤消费者个⼈信息,应“经消费者同意”且“不得违反法律、法规的规定和双⽅的约定收集、使⽤信息”,“经营者未经消费者同意或者请求,或者消费者明确表⽰拒绝的,不得向其发送商业性信息。”
典型⾏为:
•App安装后,未经⽤户同意就收集设备MAC地址、应⽤程序列表等个⼈信息;⽤户明确表⽰不同意提供位置信息后,仍通过收集设备IP地址、通讯、Wifi信息等计算出⽤户地理位置等个⼈信息。
•⽤户不同意收集⾮必要的个⼈信息或打开⾮必要权限,App每次启动仍索要⽤户已明确拒绝提供的系统权限或个⼈信息;⽤户使⽤与已拒绝的系统权限或个⼈信息⽆关的功能时频繁提⽰⽤户授权同意。
•在申请可收集个⼈信息权限时,声明只使⽤其中与业务相关信息,实际上却收集并上传了该权限可允许的所有信息;实际收集的个⼈信息特别是个⼈敏感信息超出隐私政策等相关规则的范围;未真实披露收集使⽤个⼈信息的⽬的,欺骗⽤户打开可收集个⼈信息的权限(图3.1、图3.2)。
•采⽤默认勾选同意隐私政策(图3.3)等⾮明⽰⽅式使⽤户略过隐私政策;注册或登录的选项与同意
隐私政策的因果逻辑关系不清楚(图3.4),使⽤户易略过隐私政策。
四、典型 “违反必要原则,收集与其提供的服务⽆关的个⼈信息”⾏为
法律法规依据:
•《⽹络安全法》第四⼗⼀条规定“⽹络运营者不得收集与其提供的服务⽆关的个⼈信息”。
•《消费者权益保护法》第⼆⼗九条规定“经营者收集、使⽤消费者个⼈信息,应当遵循合法、正当、必要的原则”。典型⾏为:
•App收集的个⼈信息类型或打开可收集个⼈信息的权限,超出其业务功能所需,如计算器⼯具类App申请打开位置权限、输⼊法类App申请打开通讯录权限等(如图4.1、图4.2);
•强制索要的系统权限或个⼈信息⾮App运⾏所需的必要条件,如⾦融类App不同意打开通讯录和位置权限、地图类App不同意打开短信权限,则拒绝提供所有业务功能,中介类App拒绝提供银⾏卡号、持卡⼈⾝份证号、银⾏预留⼿机号等信息进⾏银⾏卡认证,则不允许发布任何信息等。
•App后台⾃动收集⽤户设备IMEI号、IMSI号、地理位置等信息过于频繁,超出业务功能实际需要,如某App平均每秒获取10次IMEI号,⾮地图导航类App平均每秒上传6次GPS定位信息。
•安卓版App将软件安装包中的targetSDKversion属性值设置为低于23,安装时,要求⽤户⼀次性打开多个可收集个⼈信息的权限(如图4.3、图4.4)。
五、典型“未经同意向他⼈提供个⼈信息”⾏为
法律法规依据:
•《⽹络安全法》第四⼗⼆条规定⽹络运营者“未经被收集者同意,不得向他⼈提供个⼈信息。但是,经过处理⽆法识别特定个⼈信息且不能复原的除外”。
典型⾏为:
•未告知⽤户对外提供、转让个⼈信息的⽬的、类型及接收⽅⾝份,且数据未经处理即通过客户端或嵌⼊的SDK等代码、插件提供给了第三⽅。
•未告知⽤户个⼈信息出境情形,将数据传输⾄。
•未告知也未经⽤户同意,将个⼈信息直接提供给接⼊的⼩程序、、服务应⽤等第三⽅主体。
六、典型“未按法律规定提供删除或更正个⼈信息功能”或“未公布投诉、举报⽅式等信息”⾏为
法律法规依据:
•《⽹络安全法》第四⼗三条规定“个⼈发现⽹络运营者违反法律、⾏政法规的规定或者双⽅的约定收集、使⽤其个⼈信息的,有权要求⽹络运营者删除其个⼈信息;发现⽹络运营者收集、存储的其个⼈信息有错误的,有权要求⽹络运营者予以更正。⽹络运营者应当采取措施予以删除或者更正”。
•《⽹络安全法》第四⼗九条规定“⽹络运营者应当建⽴⽹络信息安全投诉、举报制度,公布投诉、举报⽅式等信息,及时受理并处理有关⽹络安全的投诉和举报。”
•《电信和互联⽹⽤户个⼈信息保护规定》第⼗⼆条规定“电信业务经营者、互联⽹信息服务提供者应当建⽴⽤户投诉处理机制,公布有效的联系⽅式,接受与⽤户个⼈信息保护有关的投诉,并⾃接到投诉之⽇起15⽇内答复投诉⼈。”
典型⾏为:
•App中提供的更正、删除个⼈信息及注销⽤户账号渠道⽆法完成相应的操作;未在承诺时间内完成相应操作;客户端提⽰⽤户注销成功后,原账号相关信息仍保留在App后台服务器上。
老年娱乐•注销时,要求⽤户提供⼿持⾝份证正反⾯照⽚,更正个⼈信息时要求提供⼈脸认证信息等个⼈敏感信息;
•未建⽴并公布个⼈信息安全投诉、举报渠道;未按照法律法规要求或App承诺时限受理并处理⽤户个⼈信息投诉、举报。
结语
以上以案例分析⽅式为判别App违法违规收集使⽤个⼈信息⾏为提供参考,便于App运营者和⽹民了解《认定⽅法》条款之所指,从⽽更有针对性地提升保护个⼈信息⽔平和能⼒。同时,建议对App违法违规收集使⽤个⼈信息⾏为进⾏认定时应当秉承科学、客观、审慎的态度,以现有法律法规为根本依据,对于发现的问题需全⾯分析得出结论。⽐如,问题是否具备典型性、是否为普遍性问题、是否已存在解决⽅案、对个⼈权益的影响程度、对产业⽣态可能带来的影响等等。
个⼈信息保护的问题,已经开始步⼊“深⽔区”,⽽这其中对于个⼈信息保护与开发利⽤、产业⽣态创新与发展等⽅⾯的探讨将更加深⼊、复杂、具体。安全从来不是⼀个“孤⽴”的问题,如何以“治理⼯作”为契机,探索适应于当下安全态势和舆情趋势、有利于遏制违法违规乱象、有助于保障产业⾼质量发展的持续监督机制,是“当务之急”,也是“长久之计”。
【版权提⽰】葫芦娃集团尊重与保护知识产权。若发现平台⽂章/图⽚存在版权问题,请及时与我们联系并处理。
篮球入门
【免责声明】部分内容/图⽚转载⾃其他媒体,⽬的在于传递更多信息,并不代表葫芦娃集团赞同其观点和对其真实性负责。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论