总第33期 《个人信息保护法》背景下的APP个人信息保护
针对App收集使用个人信息的合规监管一致是网信办、公安部、工信部以及国家计算机病毒应急处理中心等政府部门或者协会整治个人信息收集使用违规行为的前沿阵地。各部门也经常性公布APP违反个人信息保护的案例。本期专题结合最近生效的《个人信息保护法》以及此前不同部门的监管经验,探求APP个人信息保护要点。
要点1:“知情同意”要求的完善
虽然《个人信息保护法》第13条在“知情同意”之外,列举了6项无需个人同意即可处理个人信息的正当理由。但对于作为商事主体的一般App运营者而言,“知情同意”毫无疑问仍然是最为重要的“合法处理依据”。在《个人信息保护法》出台之前,无论是《民法典》第1035条的规定还是《网络安全法》第41条的规定,均仅原则性地设定“知情同意”要求,即要求收集个人信息的主体,应当“公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意”。但就规则中应当具体涵盖的内容,上述法律并没有进一步的明确规定:而《个人信息保护法》则对此进行了直接回应,明确对《隐私政策》应当包含的内容提出了要求(“内容性”要求)。不仅仅是对于内容调整,《个人信息保护法》还对“知情同意”提出了更高的“操作性”要求:例如,《个人信息保护法》第17条第3款要求将“处理规则应当公开,并且便于查阅和保存”。根据上述的法律要求,App运营者应当在App中设置专门的页面以供用户查询相关的处理规则(这点在实践中大部分App已经做到),同时应当向用户提供下载方式,以满足“保存”要求。我们理解,后者目前大部分App还未实现该等功能。
合规建议:
我们建议App运营者尽快对“内容性”要求和“操作性”要求进行自查,以保证“知情同意”要求的合规。
要点2:重申正当授权要求
《个人信息保护法》再次重申了授权正当性的要求。无论是工信部主导的“侵害用户权益行为App通报”系列,还是网信办主导的“App违法违规使用个人信息”系列,实际上都对App申请权限的正当性提出要求:例如,“App强制、频繁、过度索取权限”作为一种违法行为,几乎每次都会出现在各类通报之中。
在梳理监管经验的《网络安全标准实践指南-移动互联网应用程序(App)系统权限申请指南》中,“一揽子授权”“强迫授权”和“私自调用权限”等行为均已经被监管部门认定为违法违规收集使用个人信息的行为。而《个人信息保护法》在第5条提出的“处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息”要求,则将App运营者的“正当授权”要求上升为法律层面的要求。
合规建议:
考虑到《个人信息保护法》下近乎“严苛”的行政责任,结合2021年4月发布的《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》(“《App个人信息保护规定(征)》”)和《App违法违规认定方法》中的规定,我们建议App运营者应当尽快审核App调取权限存在“误导、欺诈、胁迫”的情形,尤其是:
- 是否在调用权限前,明确告知用户权限申请目的;
- 在用户同意前已经默认打开权限的情形;
- 故意欺瞒、掩饰收集使用个人信息的真实目的,向用户调取权限;
- 用户不同意后,仍然频繁征求用户同意;
- 实际打开权限的范围大于声明的权限范围;
- 是否存在“默认勾选”同意的情况;
- 是否根据实际使用情况进行“动态申请”;
- 是否存在版本更新后,自动调整用户设置的权限设置状态的情况;
- 是否要求用户必须一次性打开多个系统权限。
要点3:“最小必要”要求的再一次明确
《个人信息保护法》对于App治理的第3个关键要点,则是“最小必要原则”的一再重申,例如:
- 个人信息处理应当具有明确、合理的目的,并与处理目的直接相关,采取对个人信息影响权益最小的方式(第6条)
- 收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息(第6条)
- 除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间(第19条)
- 只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息(第28条)
合规建议:
如果说“知情同意”还仅仅是对于文本的合规工作提出要求,那么“最小必要”原则如同一条紧箍,“实质性”地规范App收集使用个人信息的实践。对于App运营者而言,在《个人信息保护法》正式生效之前,要尽快将个人信息保护工作的中心从前端(文本端)转移到后端(实践端)中来。
要点4:敏感个人信息处理要求
《个人信息保护法》为敏感个人信息的保护设定专章,足见监管部门对于保护该等类型个人信息的重视程度。对于App运营者而言,《个人信息保护法》下对于“敏感个人信息”的特别保护,将极大地改变App各项功能的提供方式。
《个人信息保护法》继承了《个人信息安全规范(2020版)》对敏感个人信息范围的界定模式,将其定义为“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”,除了通常的“生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息”之外,出于加强对于未成年人信息保护的目的,特别将“14岁以下未成年人的个人信息”亦列入至“敏感个人信息”的范围之内,将对游戏类App和二次元类App运营者的业务模式产生极大的影响。
根据《个人信息保护法》的规定,处理敏感个人信息,需要满足如下的要求:要点5:用户权利的实现机制
《个人信息保护法》一再强调对于个人信息主体权益的保护,并将《民法典》下的“查询、复制、异议、更正和删除”个人信息的权利进一步细化,形成专门的“个人在个人信息处理活动中的权利”一章。一改过去立法的“粗略”,《个人信息保护法》在维护个人信息主体的权益“着墨颇多”,对于App运营者设计与用户权利相关的页面将产生重大的影响,例如:
- App是否落实“查询”机制,使得用户可以了解App运营者收集个人信息的范围
- App是否落实“复制”机制,使得用户可以获取个人信息的副本
- App是否落实“异议”机制,使用用户可以要求更正和补充
- App是否落实“可撤回同意”机制,使得用户可以自主关闭权限/限缩收集个人信息的范围
- App是否存在“个人信息删除”机制(例如注销账户机制)
- App是否存在“自动化决策”(例如cookies,个性化推荐等)
合规建议:
考虑到上述的合规要求将对App的产品逻辑/UI界面/推送方式等产生重大的影响,我们建议App运营者尽快开展相应的调整,以满足《个人信息保护法》下对个人信息主体权益的高保护要求。
一、App个人信息保护执法回顾
2018年1月,工信部信息通信管理局就加强用户个人信息保护约谈一些头部互联网公司;8月,人民银行办公厅关于发布《开展支付安全风险专项排查工作的通知》,排查客户端应用软件敏感信息保护等问题;11月,中消协发布《100款App个人信息收集与隐私政策测评报告》,指出App普遍存在涉嫌过度收集或使用个人信息的情况;12月,教育部办公厅发布《关于严禁有害APP进入中小学校园的通知》,提出要保障学生信息和数据安全。
2019年1月,四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,在全国范围组织开展App违法违规收集使用个人信息专项治理;3月,App专项治理工作组(由四部门委托信安标委、中消协、ISC、CSAC成立)发布《App违法违规收集使用个人信息自评估指南》,2019年通报了256款App违法违规收集使用个人信息的问题;11月,工信部发布《关于开展APP侵害用户权益专项整治工作的通知》,面向App服务提供者、App分发服务提供者,重点对违规收集用户个人信息、违规使用用户个人信息、不合理索取用户权限、为用户账号注销设置障碍等问题进行整治,对236款App运营者下发整改通知书,公开通报56款App、下架3款App;2019年,公安部开展深入“净网2019”专项行动,集中曝光100款存在违法违规收集使用个人信息行为的APP。
2020年7月,工信部发布《关于开展纵深推进APP侵害用户权益专项整治行动的通知》,面向App服务提供者、软件工具开发包(SDK)提供者、应用分发平台,重点对违规收集、使用用户个人信息和骚扰用户、欺骗误导用户、应用分发平台管理责任落实不到位等问题进行整治。
2021年5月-6月,在《常见类型移动互联网应用程序必要个人信息范围规定》正式施行后,国家网信办发布了4批App违法违规收集使用个人信息情况的通报,主要针对违反必要原则问题,共涉及17类351款App;2021年8月25日,工信部发布《关于侵害用户权益行为的APP通报(2021年第9批,总第18批)》,通报了210款App。
根据以上执法案例,App个人信息保护的执法部门主要包括工信部门、网信部门、公安部门、市场监管部门以及教育部门、人民银行等。
经统计、分析工信部、国家网信办2021年的App个人信息保护执法案例,可以发现:
1、不同部门执法各有侧重。工信部重点关注“违规收集、使用个人信息”、“超范围收集个人信息”、“App强制、频繁、过度索取权限”等问题;国家网信办重点关注“违反必要原则,收集与其提供的服务无关的个人信息”、“未经用户同意收集使用个人信息”、“未按照法律规定提供删除或更正个人信息功能”等问题。
2、中央与地方联动。国家网信办在2021年7月发布了浙江省App专项治理工作组《关于萌拍拍等57款App违法违规收集使用个人信息情况的通报》;工信部从2021年第4批开始披露地方通信管理局上报的App通报信息,其中北京、浙江、广东为上报App通报信息的主要省市。
3、执法彻底。2021年7月、8月,工信部分别发布了2批“回头看”的通报,指出某些App存在问题整改不彻底、将整改过的问题改回原样、技术手段对抗、同一问题在不同地域整改不一致等问题,并再次督促整改或下架。
相关新闻:
● 工信部通报43款APP违规调用通信录、位置信息等问题
● 14款APP存隐私不合规行为 涉嫌超范围采集个人隐私
二、执法趋势
综上,App个人信息保护执法呈现出以下三方面的趋势:
一是执法活动常态化,例如工信部针对App个人信息保护的执法;
二是执法对象扩大化,执法对象从App运营者扩展至App全产业链;
三是执法问题深入化,从重点关注违法违规收集使用个人信息问题深入到必要性问题、弹窗信息问题等。
可以预见,《个人信息保护法》正式施行后,针对App个人信息保护的执法将会更加频繁、更加严格。
一是资质合规。在资质合规方面,企业应当根据App的主要功能、提供的产品或服务,结合相关行业的法律规定,梳理App所必备的资质许可。例如,金融类App可能需要取得相应的金融许可证、医疗类App可能需要取得互联网医疗信息服务许可证、视频类App可能需要取得信息网络传播视听许可证、游戏类App可能需要取得网络文化经营许可、涉及收取费用的可能需要取得增值电信业务经营许可证等。若未取得相应的资质许可,则可能会存在App上线审核不通过或者被下架的风险。同时,企业也应当积极申请App相关认证、备案以及开展评估,例如中央网信办、市监总局推动建立的App个人信息安全认证以及中国互联网金融协会牵头开展的金融App实名备案、中国信通院泰尔实验室的App个人信息安全评估、国家计算机病毒应急处理中心的App安全认证等,以提升App的合规性。
二是内容合规。在内容合规方面,对于企业自身发布、展示的内容,App应当特别注意《广告法》上的合规要求以及知识产权侵权、不正当竞争方面的风险;对于用户发布的内容,App应当建立内容审核及处置机制,涉及不合法、不合规的内容应当禁止或限制发布,涉及侵犯他人合法权益的内容,当权利人向企业提出异议时,企业应当及时采取处置措施,并留存相关审核处置记录,避免承担连带责任。
三是技术合规。在技术合规方面,App应当定期开展安全检测,及时修复安全漏洞,避免嵌入恶意程序实施“流氓行为”(如自动捆绑安装、执行用户未授权的其他操作的呢过)、“窃取隐私”、“恶意扣费”等行为,避免实施流量劫持等行为。
四是个人信息生命周期合规。在个人信息生命周期合规方面,App应当在系统权限获取以及个人信息收集、存储、使用、加工、传输、提供、公开、删除等各环节依法采取相应的合规措施,在委托处理、共享个人信息以及第三方接入管理(如SDK等)环节,应当做好第三方的合规准入管理以及过程监督,避免风险传导。同时,企业应当建立个人信息相关权益(包括知情权、决定权、限制/拒绝权、查阅/复制权、撤回同意权、可携权、删除权等)保障机制,保障用户的合法权益。
- 刑事立法
《刑法修正案(七)》
《刑法修正案(九)》
《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》
- 行政立法
《全国人民代表大会常务委员会关于加强网络信息保护的决定》
《电信和互联网用户个人信息保护规定》
《消费者权益保护法》
《网络安全法》
《儿童个人信息网络保护规定》
《数据安全管理办法(征求意见稿)》
《个人信息出境安全评估办法(征求意见稿)》
《数据安全法》
《个人信息保护法》
- 民事立法
《民法总则》第111条
《民法典》人格权编
《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》
- App个人信息保护相关“特别法”
《移动互联网应用程序信息服务管理规定》
《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》
《网络安全标准实践指南—移动互联网应用程序(App)个人信息保护常见问题及处置指南》
《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》
《常见类型移动互联网应用程序必要个人信息范围规定》
- App个人信息保护的五大要点 [杨迅,通力律师事务所]
- App个人信息保护立法、执法趋势及合规要点解析 [王艺、赵艳明、虞晨,植德律师事务所]