律师解读:该部分主要说明了《APP违法违规认定方法》(征求意见稿)的制定依据。
《网络安全法》等法律法规和国家标准《个人信息安全规范》,已经明确提出了个人信息保护的要求,但立足于App违法违规收集使用个人信息专项治理行动的具体需求,还需要对前述法律法规、国家标准中的要求进行针对性细化,明确认定依据和标准。因此,在4月18日新华社报道指出“中央网信办、工信部、公安部、市场监管总局针对当前App强制授权、过度索权、超范围收集个人信息等网民反映强烈的问题,将抓紧出台必要的管理规范和相关标准”仅仅半个月的时间之后,《APP违法违规认定方法》(征求意见稿)就开始公开征求意见,可见App专项治理行动快速有序推进的信心和决心。
1.没有隐私政策、用户协议,或者隐私政策、用户协议中没有相关收集使用规则的内容;
律师解读:该条主要要求需要具有相关收集使用规则。
从实践角度,结合《App自评估指南》评估点1、评估点2和评估点20,建议隐私政策单独成文,在用户协议和隐私政策中均明确相关收集使用规则的内容,并在用户协议对应部分明确具体内容可进一步阅读隐私政策。
2.在App安装、使用等过程中均未通过弹窗、链接等方式提示用户阅读隐私政策,或隐私政策链接无效、文本无法正常显示;
律师解读:该条主要要求提示阅读隐私政策并确保隐私政策可读性,进而确保收集使用规则方便用户阅读。
结合《App自评估指南》评估点1、评估点3、评估点4和评估点20,参考《个人信息安全规范》(征求意见稿)第5.6条注2的要求,建议在App安装、注册或首次开启时,主动通过弹窗、链接等方式提示用户阅读隐私政策,展示隐私政策的主要或核心内容,确保隐私政策链接有效、位置突出、无遮挡,文本可以正常显示,文本文字显示方式(字号、颜色、行间距等)不会造成阅读困难。
3.进入App主功能界面后,多于4次点击、滑动才能访问到隐私政策;
律师解读:该条主要要求隐私政策需要易于访问。
实践中,大部分主流App均能通过4次以内(包含4次)的点击、滑动访问到隐私政策,部分App甚至能够做到2次的点击、滑动即可访问到隐私政策。从隐私政策放置位置看,一般放置在“我的-设置”或“我的-关于”的子栏目。
结合《App自评估指南》评估点3,建议确保进入App主功能界面后,4次以内点击、滑动能够访问到隐私政策,并按照一般放置位置进行放置,确保从普通用户角度能够易于访问。
4.其他违反公开收集使用规则要求的情形。
律师解读:该条主要用于对违反公开收集使用规则要求的兜底。
对于前3条列示以外的、实践中用户问题反映强烈、影响较为广泛的违反公开使用规则要求的情形,可能会依据该条被认定为违规行为。但也正因该条的兜底作用和适用范围的不明确,在适用该条时应该会相对谨慎。
二、没有明示收集使用个人信息的目的、方式和范围的情形
1.收集使用信息的目的违反合法、正当、必要原则,如仅仅以改善程序功能、提高用户体验、定向推送等为目的收集用户个人信息;
律师解读:该条主要要求明示收集使用个人信息的目的并确保符合合法、正当、必要的基本原则。
《个人信息安全规范》(征求意见稿)在其附录C的C.1b)条已经提出“不应将改善服务质量、提升用户体验、研发新产品单独作为基本业务功能”的要求。在实践中,相当数量的App在隐私政策中将改善程序功能、改善服务质量、提高用户体验、研发新产品、定向推送单独表述为业务功能和收集使用目的,并据此收集使用用户个人信息。
建议按照合法、正当、必要原则的要求,将改善程序功能、提高用户体验、定向推送、研发新产品等目的与其他业务功能相结合,确保收集使用个人信息的类型与具体业务功能相对应。
2.没有逐一列出收集个人信息的类型、频率,特别是针对个人敏感信息;
律师解读:该条主要要求逐项列举收集个人信息特别是个人敏感信息的类型和频率。在《App自评估指南》评估点7的基础上,结合《个人信息安全规范》的要求,该条增加了列示收集个人信息频率的要求。
建议逐项列示每个业务功能收集的个人信息特别是个人敏感信息的类型、频率,并按照本认定方法第四部分第2条的要求,根据满足所使用的业务功能需要的频率来收集个人信息。
3.收集使用个人信息的目的、方式和范围发生变化,未以适当方式通知用户,适当方式包括更新隐私政策并提醒用户重新阅读授权等;
律师解读:该条主要要求在重要情况变更导致隐私政策更新时需要对用户进行适当通知。《App自评估指南》评估点18列举了更多需要更新隐私政策的情形和通知方式。
建议在发生业务功能变更、个人信息出境情况变更、收集使用个人信息的目的、方式和范围发生变化、个人信息保护相关负责人联络方式变更等情形时,应更新隐私政策,并通过电子邮件、信函、电话、推送通知等适当方式通知用户,提醒用户重新阅读并进行授权。
4.在申请可收集个人信息的权限时,未告知收集使用的目的,如在申请调阅通讯录时没有说明原因;
律师解读:该条主要要求申请可收集个人信息的权限时需要告知收集使用的目的。
《App自评估指南》评估点20对此也进行了明确。App治理工作组公布的阶段性进展显示,31%的App在申请打开收集个人信息相关权限时,未明确告知用户。而在实践中,申请调阅通讯录成为违规申请打开收集个人信息权限的重灾区,大量App存在申请调阅通讯录的权限并且已实际调阅了用户通讯录的情形,而该等调阅通讯录的行为并非其业务功能所必需,也无法说明其对应的业务功能。
建议在申请可收集个人信息的系统权限时,告知用户收集使用权限的目的,特别是在业务功能所必需的情况下申请调阅用户通讯录时,明确说明调阅用户通讯录的目的。需要指出的是,结合《App自评估指南》评估点20的要求,用户自行在系统设置中打开系统权限允许App使用的情况下,不在该条规制范围内。
5.每次要求用户提供个人敏感信息时,如身份证号、银行卡号等,未同步实时说明原因;
律师解读:该条主要要求在需要用户提供个人敏感信息时每次应同步实时说明原因。该条是首次提出的针对个人敏感信息的更加细化、更加严格的要求,充分体现对于个人敏感信息的突出保护。
建议参照《个人信息安全规范》及其征求意见稿附录对于个人敏感信息的举例,明确个人敏感信息的范围。结合《App自评估指南》评估点20的规定,在每次要求用户提供个人敏感信息时,通过弹窗提示等显著方式同步实时说明收集使用目的、方式、范围等原因,并明确告知对应的业务功能及拒绝提供的影响。
6.有关收集使用规则的内容晦涩难懂、冗长繁琐;
律师解读:该条主要要求收集使用规则内容的易读性。
公示收集使用规则的目的就在于方便用户阅读并获得用户的授权,内容晦涩难懂、冗长繁琐将制造阅读障碍,不利于用户权益的保障。
建议结合《个人信息安全规范》及其征求意见稿第5.6c)条的要求,确保收集使用规则的内容清晰易懂,符合通用的语言习惯,使用标准化的数字、图示等,避免使用有歧义的语言。
7.其他没有明示收集使用个人信息的目的、方式和范围的情形。
律师解读:该条主要用于对违反明示收集使用个人信息的目的、方式和范围要求的兜底。
对于前6条列示以外的、实践中用户问题反映强烈、影响较为广泛的没有明示收集使用个人信息的目的、方式和范围的情形,可能会依据该条被认定为违规行为。但也正因该条的兜底作用和适用范围的不明确,在适用该条时应该会相对谨慎。
1.未经同意就开始收集个人信息,如App首次运行、提示用户阅读隐私政策前就开始收集个人信息;
律师解读:该条主要要求需要获得用户同意后方可收集个人信息。
用户同意作为《网络安全法》规定的收集用户信息的法定基础,也是在我国现行网络安全生态下收集用户信息的合法来源。
结合《App自评估指南》评估点24的要求,建议在App首次运行、提示用户阅读隐私政策等情形下,根据用户主动填写、点击、勾选等自主行为获得用户同意后再开始收集用户个人信息。
2.用户明确拒绝后,仍收集个人信息,如用户不同意被收集地理位置信息时仍然收集;
律师解读:该条主要要求用户明确拒绝后不得收集个人信息。用户明确拒绝后仍然收集个人信息,丧失了收集个人信息的合法性基础。
建议收集个人信息应获得用户的同意,用户明确拒绝后不得通过隐秘收集等方式继续收集个人信息。
3.实际收集使用的个人信息超出用户授权的范围;
律师解读:该条主要要求实际收集使用的个人信息与用户授权的范围应保持一致。
隐私政策等获得用户授权的文本公示收集使用个人信息规则,对于用户而言,形成App运营者会按照隐私政策收集使用个人信息的合理期待,不应利用隐私政策等用户授权文本宣誓合法合规收集使用个人信息但实际中却不按照用户授权范围收集使用个人信息。
建议按照隐私政策等用户授权文本范围,收集使用个人信息,避免出现实际收集使用个人信息的目的、方式和范围与隐私政策等用户授权文本范围不一致的情况。
4.利用用户信息和算法定向推送新闻、广告等,未提供终止定向推送的选项;
律师解读:该条主要要求定向推送新闻、广告时需要提供终止定向推送的选项。
定向推送的目的在于提高推送的精准性,实现定向推送的基础在于收集个人信息、了解用户的网络浏览历史、兴趣爱好、消费记录和习惯等个人信息,通过算法实现将新闻、广告等精准地推送至特定个人。对于新闻服务提供者和商品服务提供者而言,定向推送有助于更好地提高宣传效果;对于用户而言,定向推送一定程度上方便用户找到适合自己的新闻、广告等,但也可能一定程度上会对用户造成不安和困扰。
结合《个人信息安全规范》(征求意见稿)第7.4a)条的要求,建议利用用户信息和算法定向推送新闻、广告、信息等,应以显著方式标明“个性化展示”或“定推”等字样,并向用户提供简单直观的退出定向推送的选项。
5.未经用户同意,私自调用可收集用户个人信息权限;
律师解读:该条主要要求调用可收集用户个人信息权限需要经用户同意。用户同意是调用可收集用户个人信息权限的合法性基础。
建议根据用户主动点击、勾选等自主同意行为,作为调用可收集用户个人信息权限的开启条件。用户拒绝提供相应权限的,不得隐秘调用该等权限。
6.在未打开或使用App时,App后台调用用户个人信息;
律师解读:该条主要要求在未打开或使用App时不得在App后台调用用户个人信息。该条是对收集个人信息最小必要要求的具化,一定程度上有利于实现按照产品或服务的业务功能所必需的最低频率收集。
对于后台调用用户个人信息的理解,宜理解为调用用户现时的个人信息,如现时的地理位置等,而非指的是已经按照公开收集使用规则并获得用户同意而收集的用户姓名、电话号码等个人信息。
建议在用户打开或使用App时再行调用用户最新的个人信息,并符合公开的收集使用规则进行收集使用。对于已经按照公开收集使用规则并获得用户同意而收集的个人信息,按照收集使用规则合法合规使用该等个人信息。
7.未经用户同意私自更改用户设置的权限,包括App更新时将用户设置的权限恢复到默认状态;
律师解读:该条主要要求不得未经用户同意私自更改用户权限设置。《App自评估指南》评估点29对此也进行了规定。
建议申请调用个人信息权限应获得用户的同意,不得未经用户同意私自更改用户权限设置,不得利用系统更新升级更改原有的系统权限设置。
8.用户明确拒绝App收集个人信息请求,App仍频繁征求用户同意,干扰用户正常使用;
律师解读:该条主要要求不得在用户明确拒绝收集个人信息请求后继续索要权限、打扰用户。
《App自评估指南》评估点28对此也进行了类似规定。实践中存在相当数量的不给权限或者拒绝收集个人信息请求会闪退、反复弹窗,并影响其他功能使用的情形。
建议在用户明确拒绝收集个人信息请求后,不得频繁征求用户同意。用户明确拒绝个人信息请求应仅影响与拒绝提供个人信息相关的业务功能,不得影响用户正常使用其他业务功能。
9.违背与用户约定,不按隐私政策中的收集使用规则收集使用个人信息;
律师解读:该条主要要求按照与用户约定的隐私政策中的收集使用规则收集使用个人信息。该条与本部分第3条内容具有相关性。
建议严格按照隐私政策中的收集使用规则收集使用个人信息,在收集使用规则需要发生变化时及时通过更新隐私政策并用适当方式通知用户获得用户新的授权。
10.其他未经同意收集使用个人信息的情形。
律师解读:该条主要用于规制未经同意收集使用个人信息情形的兜底。
对于前9条列示以外的、实践中用户问题反映强烈、影响较为广泛的未经同意收集使用个人信息的情形,可能会依据该条被认定为违规行为。但也正因该条的兜底作用和适用范围的不明确,在适用该条时应该会相对谨慎。
四、违反必要性原则,收集与其提供的服务无关的个人信息的情形
1.实际收集的个人信息类型与现有业务功能无关,无关是指该类信息并非实现现有业务功能所必需;
律师解读:该条主要要求实际收集的个人信息类型应为现有业务功能所必需。
《通知》提到,“评估过程中发现一些App存在强制授权、过度索权、超范围收集个人信息等问题”。该条指向的就是过度索权的问题。需要强调的是,“现有业务功能”将适用范围限定在业务功能并且是现有的而非过去或者准备开发的新的业务功能。
结合《App自评估指南》评估点6、评估点7和评估点26,建议实际收集的个人信息类型与现有业务功能逐项对应,并且与现有业务功能直接相关,缺少该信息则现有业务功能无法实现。
2.在用户使用业务功能时,收集个人信息的频率等超出所使用的业务功能需要;
律师解读:该条主要要求在用户使用业务功能时收集个人信息的频率应满足所使用的业务功能需要。
《个人信息安全规范》及其征求意见稿在第5.2b)条要求“自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率”。
建议在用户使用业务功能时,按照实现产品或服务的业务功能所必需的最低频率收集个人信息。
3.捆绑多项业务功能一揽子征求用户同意,不同意则不提供任何单一服务;
律师解读:该条主要要求不得捆绑多项业务功能要求用户一揽子授权。
该条主要指向的是实践中普遍存在的强制捆绑授权问题,特别是所声明的targetSdkVersion值小于23的App大量存在“用户安装时就声明索要所有权限,一旦安装,这些权限就默认打开”的情形。(targetSdkVersion值对应着App开发时设置的API等级,App对应的API等级越高,通常在权限管理和安全设计机制方面更加完善。)
结合《App自评估指南》评估点23、评估点24、评估点25,建议不应通过捆绑多项业务功能的方式要求用户一次性接受并授权同意多项业务功能收集个人信息的请求。用户不同意应仅影响与所拒绝提供个人信息相关的业务功能,不得影响其他业务功能的正常使用,不得以不同意一揽子授权为理由不提供任何单一服务。
4.当用户拒绝某一业务功能收集个人信息的请求时,App停止提供其他业务功能;
律师解读:该条主要要求用户拒绝某一业务功能收集个人信息的请求时,不得停止提供其他业务功能。
结合《App自评估指南》评估点第23,建议用户拒绝某一业务功能收集个人信息的请求时,应仅影响与所拒绝提供个人信息相关的业务功能,不得停止提供其他业务功能,不得影响其他业务功能的正常使用。
5.如提供未经注册即可使用(如支持浏览、游客模式)的业务功能,用户若不同意收集此类业务功能所需以外的个人信息,App拒绝提供所有服务;
律师解读:该条主要要求用户拒绝提供个人信息应仅影响与所拒绝提供个人信息相关的业务功能,不得影响其他业务功能的使用。
该条与上面第4条存在关联性,其特殊之处在于规制提供未经注册即可使用(如支持浏览、游客模式)的业务功能。
结合《App自评估指南》评估点26,建议收集个人信息应与现有业务功能逐一对应并为现有业务功能所必需,当收集的个人信息超出必要信息范围时,应向用户明示所收集个人信息目的并经用户自主选择同意。用户不同意收集非必要信息,不得拒绝提供所有服务。
6.新增业务功能时,需收集的个人信息超出原有同意范围,如用户不同意收集,则拒绝提供原有业务功能,新增业务功能将取代原有业务功能的除外;
律师解读:该条主要要求新增业务功能超出原有个人信息同意范围收集个人信息,用户不同意不得拒绝提供原有业务功能,但新增业务取代原有业务功能导致业务功能发生变更的除外。
实践中,随着公司战略、市场行情、消费需求等的变化,新增业务功能的情况非常普遍,对此需要参照该条的要求进行相应动作。
结合《App自评估指南》评估点23,建议新增业务功能超出原有同意范围的情况下,应征求用户自主选择同意。用户不同意收集,应仅影响用户使用新增业务功能,不得影响用户使用原有业务功能。但新增业务功能取代原有业务功能导致业务功能发生变更的除外。
7.申请打开可收集无关信息的权限;
律师解读:该条主要要求不得申请打开可收集无关信息的权限。
实践中存在的手电筒、万年历等申请打开通讯录、位置权限,即为该问题的典型情形。
结合《App自评估指南》评估点27,建议不得申请打开可收集无关信息的权限,不应收集与业务功能无任何关系的个人信息。
8.其他收集与其提供的服务无关的个人信息的情形。
律师解读:该条主要用于规制收集与其提供的服务无关的个人信息情形的兜底。
对于前7条列示以外的、实践中用户问题反映强烈、影响较为广泛的收集与其提供的服务无关的个人信息的情形,可能会依据该条被认定为违规行为。但也正因该条的兜底作用和适用范围的不明确,在适用该条时应该会相对谨慎。
1.未经同意,且未做匿名化处理,从客户端直接向第三方提供个人信息,包括App客户端嵌入第三方代码、插件(如sdk)等方式向第三方提供;
律师解读:该条主要规制从客户端直接在未经同意且未做匿名化处理的情况下向第三方提供个人信息。
《网络安全法》第四十二条第一款规定“……未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”对外提供个人信息需要获得用户的同意,但是经过匿名化处理无法识别特定个人且不能复原的无需获得用户的同意。
结合《App自评估指南》评估点22的要求,建议如果通过嵌入第三方代码、插件(如sdk)等方式向第三方提供个人信息,应通过弹窗提示等方式明确告知用户获得用户的同意。但是,经过匿名化处理无法识别特定个人且不能复原的无需获得用户的同意。
2.数据传输至App服务器后,未经同意,且未经匿名化处理,向第三方提供其收集的个人信息;
律师解读:该条主要要求数据传输至App服务器后应经过用户同意或经匿名化处理后方可向第三方提供其收集的个人信息。与上条相似,该条旨在规范数据传输至App服务器后对外提供个人信息的合法性。
参照《个人信息安全规范》及其征求意见稿第8.2条的要求,建议应通过隐私政策等授权文本告知用户对外提供个人信息的目的、第三方的类型并获得用户的授权同意,准确记录和保存对外提供个人信息的情况,包括共享、转让的日期、规模、目的以及第三方基本情况,并开展个人信息安全影响评估进而采取有效的个人信息保护措施。但对外提供经过匿名化处理无法识别特定个人且不能复原的无需获得用户的同意。
3.其他未经同意向他人提供个人信息的情形。
律师解读:该条主要用于规制未经同意向他人提供个人信息情形的兜底。
对于前2条列示以外的、实践中用户问题反映强烈、影响较为广泛的未经同意向他人提供个人信息的情形,可能会依据该条被认定为违规行为。但也正因该条的兜底作用和适用范围的不明确,在适用该条时应该会相对谨慎。
1.未提供更正、删除个人信息,注销用户账号的功能;
律师解读:该条主要要求提供更正、删除、个人信息,注销用户账号的功能。
该条主要指向实践中无法更正、删除个人信息和注销用户账号的问题,旨在保护用户个人权利。
结合《App自评估指南》评估点30、评估点31,建议提供查询、更正、删除个人信息的途径,并提供注销用户账号的途径。而且,该等途径应该便于用户操作,不应通过隐蔽位置、操作繁琐等方式影响用户权利的实现。
2.对于提供在线操作方式、客服电话、电子邮件等方式的,进行相关操作未响应的;
律师解读:该条主要要求提供在线操作方式、客服电话、电子邮件等方式进行删除或更正个人信息的,进行相关操作应有所响应并确保实现删除或更正个人信息的目的。
该条旨在防止删除或更正个人信息的方式流于形式化。
建议对于提供在线操作方式、客服电话、电子邮件等方式进行删除或更正个人信息的,应确保该等方式的有效性和及时性,确保进行相关操作能够得到及时有效的响应。
3.需人工处理的,受理后未在承诺时限内(无承诺时限的,以15个工作日为限)完成核查和处理的;
律师解读:该条主要要求需人工受理删除或更正个人信息的在受理后应在承诺时限内完成核查和处理,无承诺时限的,以15个工作日为限。
该条旨在加强人工处理的时间限制,确保用户权利能够得到及时的时限。
建议需要人工处理删除或更正个人信息的情况下,受理后在承诺时限内完成核查和处理,承诺时限不宜超过15个工作日。
4.更正、删除或注销操作提示完成后,依然未能更正、删除个人信息,注销用户账号的;
律师解读:该条主要要求更正、删除或注销操作提示完成后应确保实现个人信息更正、删除或用户账号的注销。
该条旨在防止更正、删除或注销操作流于形式化,欺骗、误导用户误以为已经完成相关操作。
建议更正、删除或注销操作提示完成后,确保实现个人信息更正、删除或用户账号注销。如在操作过程中出现突发情况导致暂时无法实现更正、删除或注销操作,应及时告知用户原因并如实告知操作进展,不得在未完成操作之前提示用户操作完成。
5.其他未采取措施予以删除或者更正的情形。
律师解读:该条主要用于规制未采取措施予以删除或者更正情形的兜底。
对于前4条列示以外的、实践中用户问题反映强烈、影响较为广泛的未采取措施予以删除或者更正的情形,可能会依据该条被认定为违规行为。但也正因该条的兜底作用和适用范围的不明确,在适用该条时应该会相对谨慎。
1.未经监护人同意,收集使用14周岁以下(含)未成年人个人信息;
律师解读:该条主要要求收集使用14周岁以下(含)未成年人个人信息需要经过监护人同意。
该条旨在强调对未成年人在网络空间合法权益的重点保护。
建议明确提示14周岁以下(含)未成年人用户使用App特别是使用App时涉及的收集个人信息的内容应获得监护人的同意。如果发现在未事先获得监护人同意的情况下收集了14周岁以下(含)未成年人用户的个人信息,应设法尽快删除相关信息。
2.未经监护人同意,利用14周岁以下(含)未成年人信息和算法开展个性化推送新闻、时政信息、广告等定向推送活动。
律师解读:该条主要要求利用14周岁以下(含)未成年人信息和算法开展个性化推送新闻、时政信息、广告等定向推送活动时,需获得监护人的同意。
该条与第三部分第4条相关联,不同之处在于,对于14周岁以下(含)未成年人进行定向推送活动,需要额外征求监护人的同意,一定程度上有利于降低14周岁以下(含)未成年人接受不健康信息、诱导性广告的影响。
建议利用14周岁以下(含)未成年人信息和算法开展个性化推送新闻、时政信息、广告等定向推送活动时,需获得监护人的同意,并提供拒绝定向推送活动的功能。
