安全技术专家解读:《App违法违规收集使⽤个⼈信息⾏
为认定⽅法》
近年来,App违规收集个⼈信息、过度索权等侵害⽤户权益的现象饱受诟病,并引发了来⾃国家监管层⾯的⾼度关注。
⾃2019年初监管机构开展App违法违规收集使⽤个⼈信息专项治理以来,多次重点针对App⽆隐私协议、收集使⽤个⼈信息范围描述不清、超范围采集个⼈信息和⾮必要采集个⼈信息等情形,进⾏通报、责令期限整改、处以警告处罚,更有2款App被⽴为刑事案件开展侦查……
2019年12⽉30⽇,国家⽹信办、⼯信部、公安部和市场监管总局四部门联合印发《App违法违规收集使⽤个⼈信息⾏为认定⽅法》(以下简称《认定⽅法》),为监督管理部门认定App违法违规收集使⽤个⼈信息⾏为提供参考,为App运营者⾃查⾃纠和⽹民社会监督提供指引。
为了更加直观地说明监管机构对App违法违规收集使⽤个⼈信息⾏为的治理维度,百度安全对监管机构在2019年12⽉⾄2020年1⽉期间⼀系列执法重点进⾏剖析,并结合《认定⽅法》进⾏对应解读,其中涉及四部门App专项治理⼯作组通报的57款问题App、⼯信部公布的两批侵害⽤户权益⾏为App,以期能够帮助⼴⼤App开发及运营者快速了解监管机构治理的侧重点,从⽽快速对齐国家、⾏业安全标准与规范,规避App违法违规风险。
⼀ “未公开收集使⽤规则”
No.检测项简要分析隐私合规助⼿评估⽅
法举例
1在App
中没有
隐私政
策,或
者隐私明确要求App应公开隐私政策等⽂件,且隐私政策中
应当包含收集使⽤个⼈信息的具体规则。在实践中,
即使App公开了隐私政策,但App在⽤户⾸次登录时
向⽤户默⽰隐私政策的情况⼗分普遍,导致隐私政策
难以起到告知作⽤,因此本节要求App在⾸次运⾏时
全⾃动化智能探测
App是否有隐私政
策,包括⽆法通过弹
者隐私政策中没有收集使⽤个⼈信息规则;难以起到告知作⽤,因此本节要求App在⾸次运⾏时
猜猜他是谁的作文怎么写应以明显⽅式提⽰⽤户阅读。为了保护⽤户的知情
权,除了要求在App⾸次运⾏时以明显⽅式提供⽤户
阅读,还要求保证隐私政策在使⽤期间的易获得性。
最后,对于难以阅读的情形也进⾏了⾮穷尽式列举,
如未提供简体中⽂版等也构成“未公开收集使⽤规
则”。就App专项治理⼯作组通报的57款存在收集使
⽤个⼈信息问题App,其中:
1. 有12款App没有隐私政策;
2. 有10款App未通过明显⽅式提⽰⽤户阅读隐私政
策,如未使⽤弹窗提⽰或采⽤将字体缩⼩,颜⾊变浅
且放置在页⾯最底端的⽅式展⽰隐私政策链接;
3. 有14款App的隐私政策难以访问,如仅在注册或登
录界⾯展⽰隐私政策链接,注册或登录后,⽆法再
到隐私政策;进⼊主界⾯后,多于4次点击等操作才能
访问到隐私政策;
4. 有4款App的隐私政策难以阅读,如⽂字显⽰过
⼩、过密;隐私政策中存在较多错别字或者歧义句;
⽂字⽆⾃动换⾏;未提供简体中⽂版。
策,包括⽆法通过弹
窗、⽂本链接、常见
问题(FAQs)等形
式在App中到隐私
政策。
2在App
⾸次运
⾏时未通过弹窗等明显⽅式提⽰⽤户阅读隐私政策等收集使⽤规则;在App⾸次运⾏时未通过弹窗等明显⽅式提⽰⽤户阅读隐私政策等收集使⽤规则。明显⽅式包括但不限于:弹窗、明显位置URL。
3隐私政
策等收
集使⽤
规则难
以访问,如进⼊App主界⾯后,需多于4次点击等操作才能访问到;全⾃动化智能探测App是否有隐私政策。检查从App⾸页到隐私政策是否可以在4次(含)点击之内访问到。
4
隐私政策等收集使⽤规则难以阅读,如⽂字过⼩过密、颜⾊过全⾃动化智能探测App是否有隐私政策。
包括隐私政策等收集使⽤规则的⽂字过⼩过密、颜⾊过淡、模糊不清;隐私政策是否是简体中⽂版;检查隐私政策⽂字是否造成阅读困难,如没有⾃动换
⾊过淡、模糊不清,或未提供简体中⽂版等。难,如没有⾃动换⾏,段落划分不明确,存在较多错别字和歧义句等。
【法律依据】:
1) 《⽹络安全法》第四⼗⼀条第⼀款:⽹络运营者收集、使⽤个⼈信息,应当遵循合法、正
当、必要的原则,公开收集、使⽤规则,明⽰收集、使⽤信息的⽬的、⽅式和范围,并经被收
集者同意。
2) 《消费者权益保护法》第⼆⼗九条第⼀款:经营者收集、使⽤消费者个⼈信息,应当遵循
合法、正当、必要的原则,明⽰收集、使⽤信息的⽬的、⽅式和范围,并经消费者同意。经营
者收集、使⽤消费者个⼈信息,应当公开其收集、使⽤规则,不得违反法律、法规的规定和双
⽅的约定收集、使⽤信息。
⼆、 “未明⽰收集使⽤个⼈信息的⽬的、⽅式和范围”
No.检测项简要分析隐私合规助⼿
评估⽅法举例1
未逐⼀列出
App(包括委托的第三⽅或嵌⼊的第三⽅代码、插件)收集使⽤个⼈信息的⽬的、⽅式、范围等;本节要求App需明⽰收集使⽤个⼈信息的⽬的、⽅式、范
围。⾸先,要求App不仅要说明其⾃⾝收集使⽤个⼈信息
新年高级有质感的句子的详细情况,同时为了打击SDK等第三⽅在App上进⾏隐
秘收集的情况,也要求说明第三⽅SDK收集使⽤个⼈信息
的具体情况。第⼆,原则上App收集使⽤个⼈信息的合法
事由是获得⽤户同意,但如收集使⽤的⽬的在获得同意后
发⽣变化,或者App运营者增加了其他类型的⽬的等,那
么App运营者则需向⽤户告知变化的情况。第三,为了增
强⽤户对其个⼈信息,尤其是个⼈敏感信息的控制权,则
要求在App申请打开权限或者收集个⼈敏感信息时应同步
告知⽬的,且强调⽬的应⾜够明确,易于理解。第四,隐
私政策等⽂件应易于为普通⼈所理解,⽽不是只有律师等
专业⼈⼠才能看懂,App运营者不能使⽤晦涩、冗长的隐
私政策,如通篇都是法律术语。
就App专项治理⼯作组通报的57款存在收集使⽤个⼈信
基于百度⾃然
语⾔理解技
术,智能识别
隐私政策内
容,识别App
中集成的第三
⽅SDK。隐私
政策中是否明
⽰收集个⼈信
息的业务功
能。隐私政策
中是否明⽰各
项业务功能所
收集的个⼈信
息类型。
就App专项治理⼯作组通报的57款存在收集使⽤个⼈信息问题App,其中:
1. 有34款App未逐⼀列出嵌⼊的第三⽅SDK收集使⽤个⼈信息的⽬的、类型;
2. 有1款App未在收集使⽤个⼈信息的⽬的、⽅式和范围发⽣变化时,以更新隐私政策的⽅式告知⽤户。
3. 有51款App未在申请打开权限或收集个⼈敏感信息时,同步告知告知⽬的;
4. 有3款App的隐私政策等收集使⽤规则晦涩难懂、冗长繁琐,⽤户难以理解。息类型。
2收集使⽤
个⼈信息
的⽬的、
⽅式、范
围发⽣变
化时,未
以适当⽅
式通知⽤
户,适当
⽅式包括
更新隐私
政策等收
集使⽤规
则并提醒
⽤户阅读
等;基于百度⾃然语⾔理解技术,智能识别隐私政策内容。检查App 的业务功能并结合隐私政策,当
App的重要情况发⽣变更,如新增业务功能,使⽤个⼈信息的⽬的发⽣变更,是否会更新隐私政策等⽂件,并提醒⽤户重新阅读。
3
在申请打开可收集个⼈信息的权限,或申请收集⽤户⾝份证号、银⾏账号、⾏踪轨迹等个⼈敏感信息时,未同步告知⽤户其⽬的,或者⽬的不明确、难以理解;对App进⾏全⾃动化智能检测,智能发现App申请权限和要求⽤户输⼊个⼈敏感信息时是否存在违规⾏为。
4有关收集
使⽤规则
的内容晦
涩难懂、
冗长繁
琐,⽤户
难以理
解,如使
⽤⼤量专
业术语
等。隐私政策是否⼤量使⽤专业术语(⽤语不符合通⽤习惯),未使⽤标准化的数字、图⽰等。隐私政策是否存在较多错别字或歧义句。隐私政策是否逻辑结构混乱等。
法律依据:
1) 《⽹络安全法》第四⼗⼀条第⼀款:⽹络运营者收集、使⽤个⼈信息,应当遵循合法、正天问刘宇宁
当、必要的原则,公开收集、使⽤规则,明⽰收集、使⽤信息的⽬的、⽅式和范围,并经被收
集者同意。
2) 《消费者权益保护法》第⼆⼗九条第⼀款:经营者收集、使⽤消费者个⼈信息,应当遵循
合法、正当、必要的原则,明⽰收集、使⽤信息的⽬的、⽅式和范围,并经消费者同意。经营
者收集、使⽤消费者个⼈信息,应当公开其收集、使⽤规则,不得违反法律、法规的规定和双
⽅的约定收集、使⽤信息。
三、“未经⽤户同意收集使⽤个⼈信息”
No.检测项简要分析隐私合规助⼿评估⽅
法举例
生日快乐英文怎么写1征得⽤户同意
前就开始收集
个⼈信息或打
开可收集个⼈
信息的权限;
本节对未经⽤户同意收集使⽤个⼈信息⾏为作
出了更为明确和科学的界定,具体分为9种情
形:征得同意前收集(即私⾃收集)、拒绝后
仍收集或频繁申请权限、超出⽤户授权范围收
集、默⽰同意、未经同意更改设置、强制定向
推送、欺诈与诱骗、未提供撤回同意的途径、
违反承诺。通过明晰App是否具有以上任⼀⾏
为,从⽽判定⽤户意思表⽰是否真实,以充分
保障⽤户的⾃主选择权。
针对不同情形下未经同意收集⾏为的执法情况
如下:
1. ⼯信部通报的两批侵害⽤户权益的56款App
带蛇字的成语
中,有30款App存在征得同意前收集的⾏为;
App专项治理⼯作组通报的存在收集使⽤个⼈
信息问题的57款App中,有10款App存在征
得同意前收集的⾏为,收集的信息包括但不限
于:MAC地址、⽤户操作记录、设备ID、应⽤
程序列表、⽹页点击记录、⽤户地理位置。
2. ⼯信部通报的两批侵害⽤户权益的56款App秋天成熟的农作物
中,有1款App存在频繁申请权限的⾏为;
App专项治理⼯作组通报的存在收集使⽤个⼈
信息问题的57款App中,有12款App存在频
繁申请权限的⾏为,有5款App在⽤户不同意对App进⾏全⾃动化智能检测,结合隐私⾏为分析,⾃动发现未经⽤户同意的收集个⼈信息⾏为。
2⽤户明确表⽰
不同意后,仍
收集个⼈信息或打开可收集个⼈信息的权限,或频繁征求⽤户同意、⼲扰⽤户正常使⽤;对App进⾏全⾃动化智能检测,结合隐私⾏为分析,⾃动发现频繁骚扰⽤户的⾏为。
3实际收集的个
⼈信息或打开
的可收集个⼈
信息权限超出
⽤户授权范
围;基于百度⾃然语⾔理解技术,智能识别隐私政策内容。对App 进⾏全⾃动化智能检测,发现App实际收集⽤户个⼈信息的各种⾏为。判断是否有超出⽤户授权范围的⾏为。
4以默认选择同
意隐私政策等
⾮明⽰⽅式征
求⽤户同意;对App进⾏全⾃动化智能检测,发现隐私政策⼊⼝。⾃动分析是否有默认勾选同意隐私政策,没有“不
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论