总第19期 从近期监管通报看App个人信息合规要点
2021年5月21日,国家互联网信息办公室公布了对短视频、浏览器、求职招聘等公众大量使用且常见的105款App违法违规收集使用个人信息情况的通报,显示众多知名App均在一定程度上存在个人信息收集使用的合规问题。此前,5月1日,网信办通报了15款输入法类App、17款地图导航类App以及1款即时通信类App;5月10日,网信办通报了36款安全管理类App以及48款网络借贷类App,重点关注必要性问题。
本期专题通过对近期通报的解读分析,结合《常见类型移动互联网应用程序必要个人信息范围规定》《App违法违规收集使用个人信息行为认定方法》等文件梳理监管思路,对App运营者的数据合规提供实务指引。
2021年5月1日,通报33款App,类别包括输入法类(15款)、地图导航类(17款)和即时通信类(1款)。
2021年5月10日,通报84款App,类别包括安全管理类(36款)和网络借贷类(48款)。
2021年5月21日,通报105款App,类别包括短视频类(19款)、浏览器类(34款)、求职招聘类(51款)和实用工具类(1款)。
三次通报所涉的9类App,与网信办秘书局等于2021年3月12日发布的《常见类型移动互联网应用程序必要个人信息范围规定》所列App类型保持一致:
1.(三十三)输入法类,基本功能服务为“文字、符号等输入”,无须个人信息,即可使用基本功能服务。
2.(一)地图导航类,基本功能服务为“定位和导航”,必要个人信息为:位置信息、出发地、到达地。
3.(三)即时通信类,基本功能服务为“提供文字、图片、语音、视频等网络即时通信服务”,必要个人信息包括:(1)注册用户移动电话号码;(2)账号信息:账号、即时通信联系人账号列表。
4.(三十四)安全管理类,基本功能服务为“查杀病毒、清理恶意插件、修复漏洞等”,无须个人信息,即可使用基本功能服务。
5.(十二)网络借贷类,基本功能服务为“通过互联网平台实现的用于消费、日常生产经营周转等的个人申贷服务”,必要个人信息包括:(1)注册用户移动电话号码;(2)借款人姓名、证件类型和号码、证件有效期限、银行卡号码。
6.(二十九)短视频类,基本功能服务为“不超过一定时长的视频搜索、播放”,无须个人信息,即可使用基本功能服务。
7.(三十二)浏览器类,基本功能服务为“浏览互联网信息资源”,无须个人信息,即可使用基本功能服务。
8.(十一)求职招聘类,基本功能服务为“求职招聘信息交换”,必要个人信息包括:(1)注册用户移动电话号码;(2)求职者提供的简历。
9.(三十八)实用工具类,基本功能服务为“日历、天气、词典翻译、计算器、遥控器、手电筒、指南针、时钟闹钟、文件传输、文件管理、壁纸铃声、截图录屏、录音、文档处理、智能家居助手、星座性格测试等”,无须个人信息,即可使用基本功能服务。
(一)未经用户同意收集使用个人信息
在公布的105款App中,有49款App涉及未经用户同意收集使用个人信息。根据网信办印发的《App违法违规收集使用个人信息行为认定方法》(以下简称“《认定办法》”),未经用户同意收集使用个人信息主要涉及App是否在收集个人信息前征得用户的明示同意,如是否在用户未阅读并同意隐私政策时,即开始已收集个人信息或开启用户权限;是否使用不合法的方式收集个人信息,如欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限;以及是否尊重用户的自主意愿,不强迫用户接受App的个人信息收集请求。总体而言,App在收集个人信息时应当遵循合法、正当、必要原则,不过度收集个人信息,尊重用户的自主意愿。
(二)未公开收集使用规则;未明示收集使用个人信息的目的、方式和范围
在公布的105款App中,仅有15款App涉及未公开收集使用规则,其中2款App还涉及未明示收集使用个人信息的目的、方式和范围。根据《认定办法》,未公开收集使用规则主要涉及App是否向用户提供隐私政策或提供的隐私政策是否难以访问等问题,如用户难以在App中找到隐私政策文本等;而未明示收集使用个人信息的目的、方式和范围均主要涉及提供的隐私政策等授权文本是否全面披露个人信息收集的目的、方式和范围,并在上述内容发生变化时,及时通知用户。App运营者可以参考《GB/T 35273-2020 信息安全技术 个人信息安全规范》(“《个人信息安全规范》”)等监管文件的要求更新、完善授权文本。
(三)未按法律规定提供删除或更正个人信息功能
在公布的105款App中,仅9款App涉及未按法律规定提供删除或更正个人信息功能。根据《认定办法》,未按法律规定提供删除或更正个人信息功能主要涉及用户权利响应的设置,如是否提供有效的更正、删除个人信息及注销用户账号功能;App后端服务器是否会更正、删除个人信息及注销用户账号;以及是否在15个工作日内受理并处理相关请求等。从近期执法所展现出的趋势来看,必须看到个人信息处理的必要性原则逐渐成为执法热点,而个人信息处理必要性与具体业务的紧密关联性,也为App监管以及企业合规带来了新的挑战。
(四)违反必要性原则,收集与提供的服务无关的个人信息
《常见类型移动互联网应用程序必要个人信息范围规定》确立了App处理个人信息的基本要求,即不得因为用户不同意提供非必要个人信息,而拒绝用户使用其基本功能服务;其中,必要个人信息是指保障App基本功能服务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务。《规定》对地图导航、网络约车、即时通信、网络社区、网络支付、网络借贷等39类App基本功能服务识别、列举了所对应的必要个人信息种类。据此,App运营者应当识别App自身的基本功能服务,并根据《规定》划定该基本功能服务的“必要个人信息”范围。App运营者收集的超出该范围的个人信息,若也不属于App非基本功能服务所必须的个人信息,则可能被认定为违反必要性原则收集与App提供的服务无关的个人信息。
5月10日《通报》对安全管理类和网络借贷类共84款App违反必要性原则收集个人信息进行了通报,而5月21日《通报》针对短视频类、浏览器类、求职招聘类和实用工具类共105款App违反必要原则收集个人信息进行通报。对于两份《通报》,我们建议App运营者关注以下重点问题:
- 两份《通报》首次基于《规定》对违反必要性原则的个人信息收集进行通报并作为认定违法违规的最主要事由,标志着App监管步入深水区,执法部门未来可能将在监管活动中对个人信息处理的必要性开展全面的实质性审查。
- 当前《规定》采用了穷举法对39类App基本功能服务对应的必要个人信息进行列举,且采取了较严的保护态度。例如,《规定》要求安全管理类、短视频类、浏览器类、实用工具类的基本功能服务均无须收集个人信息;《规定》列出的网络借贷类基本功能服务的必要个人信息,也未包括用于业内较常见的判断借款人信用情况的个人信息类型。考虑到《通报》并未明确说明相关App具体收集了哪些“与其提供的服务无关的个人信息”,企业需密切关注监管实践中对各类App具体业务功能对应的必要个人信息范围的进一步解释。
- 《通报》并未明确如何识别“基本功能服务”,企业可以参考《个人信息安全规范》附录C的C.2条“区分基本业务功能和扩展业务功能”提供的方法,结合实际情况区分自身App的基本功能服务以及各类拓展功能服务。
第一,形式上的文本问题,例如,是否公开收集使用规则、是否默认勾选同意隐私政策等。尽管目前因此类问题被通报的情况越来越少,但这些仍是最易被大众感知的问题,也是做好App个人信息合规工作的最基础的要求,因此我们建议企业首先对这类问题予以关注,避免犯“低级错误”。
第二,实质上的文本问题,指的是隐私政策和其他相关授权文本是否已严格遵循了“告知同意”的原则。这要求App的开发运营者应当逐项检查各项授权文本,重点关注是否已逐项说明了个人信息的收集使用场景、是否说明了个人信息全生命周期的流转过程;如果是收集个人敏感信息,或者打开收集个人信息的权限,是否同步向用户告知目的且告知应当清晰具体等问题。
第三,实践操作问题。App的隐私政策应是对App运营者个人信息处理活动实事求是的书面表达。隐私政策写的再好,也离不开App运营者在实践操作中的合规落实。例如,《规定》要求“App不得因为用户不同意提供非必要个人信息,而拒绝用户使用其基本功能服务”,这事实上要求企业应当其对开发运营的App进行基本功能服务和附加/扩展业务功能进行区分。但现实中很多App提供的是多元化的服务,区分基本功能服务和附加/扩展业务功能并非易事,需要综合考量App的商业定位、目标使用人群的合理期待、企业的战略布局等诸多复杂因素。
第四,逐项对标梳理和项目管理。App个人信息合规是一项系统性的工作,要求企业有个人信息合规全局观,充分了解相关法律、法规、规范性文件和国家标准中的具体要求,逐项对标梳理与App相关的个人信息处理活动、法律文本、App展示设计等内容。此外,App个人信息合规工作不但涉及企业的法律和合规部门,还涉及商务运营、市场、IT、网络安全等其他部门,企业宜以项目管理的形式,做好项目规划,充分调动各部门的积极性,迅速有序地开展App个人信息合规工作。
序号 自查要点 细化内容 1 隐私政策的独立性与易读性 是否有隐私政策 是否有儿童个人信息保护规则隐私政策是否单独成文 隐私政策是否易于访问 隐私政策是否易于阅读 2 各类业务功能及所收集个人信息类型是否清晰说明 是否明示收集个人信息的业务功能 业务功能与所收集个人信息类型是否一一对应 是否明示各项业务功能所收集的个人信息类型 是否以改善功能、优化体验等为由收集个人信息 是否显著标识个人敏感信息类型 3 个人信息处置规则及用户权益保障是否清晰说明 App运营者的基本情况 个人信息存储和超期处理方式 强制定向推送信息 个人信息出境情况 个人信息安全保护措施和能力 对外共享、转让、公开披露个人信息规则 用户权利保障机制 征得授权同意的例外 个人信息的展示限制 用户申诉渠道和反馈机制 隐私政策时效 隐私政策更新 4 隐私政策等文件中是否设置不合理条款 隐私政策等文件是否存在免责等不合理条款 5 收集个人信息是否明示收集目的、方式、范围 是否同步告知申请打开个人信息权限目的 是否同步告知申请提供个人敏感信息的目的 若使用Cookies及其同类技术收集个人信息是否想用户明示 若通过嵌入第三方代码插件收集个人信息的功能是否向用户明示 应用分发平台责任落实不到位方面 6 用户自主选择同意,是否存在强制捆绑授权行为 收集个人信息前是否征得用户自主选择同意 是否存在将多项业务功能和权限打包要求用户一揽子接受的情形 是否存在过度声明权限情形 是否超频率收集个人信息 是否征得用户同意读取剪切板 是否存在不给权限不让用 App频繁自启动和关联启动 私自截留第三方应用收集的个人信息 是否以不正当方式误导用户同意收集个人信息 7 收集个人信息是否满足必要性要求 实际收集的个人信息类型是否超出隐私政策描述范围 收集与业务功能有关的非必要信息是否经用户自主选择同意 是否存在用户明确拒绝后继续索要权限打扰用户 是否收集与业务功能无关的个人信息 App更新是否更改系统权限设置 8 用户注销账户、更正或删除个人信息功能支持 是否支持用户注销账号 是否支持用户查询、更正或删除个人信息 9 用户申诉反馈 是否及时反馈用户申诉
/ 网信办通报 工信部通报 执法依据 《网络安全法》、《App违法违规收集使用个人信息行为认定方法》、《常见类型移动互联网应用程序必要个人信息范围规定》等 《网络安全法》、《电信条例》、《电信和互联网用户个人信息保护规定》、《关于开展纵深推进APP侵害用户权益专项整治行动的通知》等 监管执法重点关注问题 未经同意收集使用个人信息;未公开收集使用规则;未明示收集使用个人信息的处理规则;个人信息处理违反必要性原则;未及时更正或删除个人信息等。网信办较为关注个人信息处理行为的合规性,如隐私政策文本是否充分、用户的个人信息权利请求是否可以被充分响应等;近期尤其关注App个人信息处理的必要性的实质性审查。 违规收集个人信息;APP强制、频繁、过度索取权限;欺骗误导用户下载APP;应用分发平台上的APP信息明示不到位;强制用户使用定向推送功能等。工信部更加从软件功能层面关注App是否违反了个人信息保护的规则,如是否未经用户授权即开始收集个人信息或开通权限、App是否频繁索取权限等。 整改流程 被通报的App运营者应当于通报发布之日起15个工作日内完成整改,并将整改报告加盖公章发至国家网信办邮箱,逾期未完成整改的国家网信办将依法予以处置。 被通报的App运营者一般需在7日内完成整改,逾期不整改的,工信部将依法依规组织开展相关处置工作。 强制措施 《通报》并没有明确网信办对逾期不整改的企业应采取的强制措施。目前仅《网络安全法》第六十四条规定了“有关部门”对于非法收集使用个人信息的处罚措施,但并未进一步明确网信办的执法权限。但鉴于《个人信息保护法(草案二次审议稿)》拟将网信办负责统筹协调个人信息保护工作和相关监督管理工作,网信办的具体执法权限预期将在该法出台后进一步细化。 根据《移动智能终端应用软件预置和分发管理暂行规定》,工信部可以要求相关应用商店对逾期未整改的App进行下架处理。同时,根据工信部近期公布的《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》,除下架处置外,对于下架后仍未按要求完成整改的App,工信部可以对其采取断开接入等必要措施。实践中,工信部已对部分侵害用户权益且未按要求整改的App采取下架处理。
- 人非刀俎 我亦不必为鱼肉——从网信办通报抖音等105款App违法违规收集使用个人信息情况说起 [彭凯、周晨黠、姜莉丽、陈婷婷、许中华,金诚同达律师事务所]
- 必要性原则成为个人信息执法新热点,App监管步入深水区 [宁宣凤、蒋科、吴涵、林云汉、张凯勋,金杜律师事务所]
- 网信办三周通报222款个人信息违规App,执法严查下企业如何做好App个人信息合规? [杨洪泉、陈扬,安杰律师事务所]