立即购买
赛智时代:191号文对App使用个人信息的规范
  • 赛智时代:191号文对App使用个人信息的规范

    Innov100
    2020-08-10 17:59:48
  • 摘要:近年来,移动互联网应用程序(App)得到广泛应用,在促进经济社会发展、服务民生等方面发挥了不可替代的作用。同时,App强制授权、过度索权、超范围收集个人信息的现象大量存在。本研究在对App收集个人信息现状及其问题分析的基础上,分析《App违法违规收集使用个人信息行为认定方法(国信办秘字〔2019〕191号)》(以下简称“191号文”)的6项认定准则,提出App收集个人信息应当严格遵守用户知情、用户同意、最少必要、权利保障、数据安全等5项规则,推进个人信息收集使用合法合规。

    一、App 收集个人信息的现状

    App强制授权、过度索权、超范围收集个人信息、违法违规使用个人信息等个人信息收集乱象丛生。根据公开数据显示,97%的App默认调用相机权限,95%的App默认调用定位权限。其中,移动社交类和短视频类App调用联系人读取权限情况较为突出、移动理财读类App调用拨打电话权限用情况较为严重。

    教育、金融、出行成App收集个人信息违法违规较为严重。工信部通报的145家侵害用户权益的App名单中,其中教育类11家,金融类9家,出行类6家。

    二、191号文对App收集使用个人信息的规定

    中央网信办、工业和信息化部、公安部、国家市场监管总局四部门召开会议,启动2020年App违法违规收集使用个人信息治理工作。工业和信息化部开展App侵害用户权益专项整治,先后发布3批“侵害用户权益行为的App”名单,合计145家。制定印发了191号文,采取“负面清单”的形式为认定App违法违规收集使用个人信息行为提供参考,为App运营者自查自纠提供指引。

    下面重点分析191号文的6项认定准则。

    1、对未公开收集使用规则的规定。该规定要求App中要有隐私政策,在政策条款中应明示收集使用个人信息的规则;要求隐私条款具有易读性和易于访问,不能为阅读隐私政策条款设置障碍。

    2、对未明示收集使用个人信息的目的、方式和范围的规定。该规定直击App隐瞒收集个人信息问题,明确要求在隐私条款中要逐项列举App自身和嵌入的第三方代码、SDK收集使用个人信息的目的、方式和范围;针对收集使用个人敏感信息提出了严格要求,要求App运营者每次需要用户提供个人敏感信息时应同步告知收集使用个人信息目的。

    3、对未经用户同意收集使用个人信息的规定。该项规定旨在要求App运营者告知用户收集使用个人信息规则和规范行业行为。规定了App运营者不得在未获得用户授权下收集使用个人信息;不能使用骚扰、干扰、误导等方式迫使用户打开应用权限收集用户隐私信息;不能默认打开和App更新升级后恢复收集使用个人信息权限状态,在App中应设置个人信息回撤的途径和方式;不能违反告知的隐私政策声明。

    4、对违反必要原则,收集与其提供的服务相关的个人信息的规定。该项规定指出收集使用个人信息应符合必要性原则,不得超范围、超频率采集,不能过度索取权限和私自收集个人信息,强调权限与现有业务直接相关功能逐项匹配,不得变相强迫用户同意收集非必要个人信息或使用拒绝提供服务方式迫使用户打开非必要权限。

    5、对未经同意向他人提供个人信息的规定。该项规定旨在为个人信息合法共享给出指引,减少个人信息灰色产业链。App向第三方提供个人信息需征得用户同意或匿名化处理,私自向第三方提供未匿名化处理的个人信息违反《网络安全法》第42条,处罚最高可达吊销相关业务许可证或者吊销营业执照。

    6、对未按法律规定提供删除或更正个人信息功能或未公布投诉、举报方式等信息的规定。该项规定旨在保障用户个人信息的更正权、注销权和投诉权。App中应提供删除、更正个人信息和注销账号功能,杜绝设置不必要或不合理条件,阻碍用户行驶权利;App后台操作应与用户操作应同步进行,确保用户个人信息的更正、删除和账户的注销;建立并公布个人信息投诉和举报渠道,承诺在时限内及时响应用户权利要求。

    三、App 合法合规收集个人信息的建议

    App运营者在收集使用个人信息过程中,应当按照相关法律法规、部门规章、政策文件以及国家标准,严格遵守用户知情、用户同意、最少必要、权利保障、数据安全等规则,规范强制授权、过度索权、超范围收集个人信息等问题。

    1、用户知情:App 运营者收集个人信息时应当公开收集、使用规则,明示收集使用的目的、方式和范围。App 运营者要以通俗易懂、简单明了的方式展示个人信息收集使用规则,隐私政策等收集使用规则要独立成文、易于访问、易于阅读,避免出现内容晦涩冗长、用户难以理解等问题。App 运营者要在用户完全知情的基础上给出自愿的、具体的、清晰明确的同意的收集使用规则。同时,若涉及产品或服务的核心功能以及附加功能,应明确告知用户对此享有的同意与拒绝提供或被收集信息的权利以及由此带来的不利影响。App 运营者收集个人信息时应当明确指出收集的范围及用途,应当严格按照规则收集使用个人信息,不得以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,并且不得隐瞒产品或服务所具有的收集个人信息的功能。

    2、用户同意:App 运营者收集使用个人信息时需经用户同意。一方面,App 运营者不能强制、超范围收集使用个人信息,App 运营者不以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得违反法律法规和与用户的约定收集使用个人信息。另一方面,App 运营者向他人提供个人信息应当征得用户同意或匿名化处理。结合《网络安全法》第四十二条规定“经过处理无法识别特定个人且不能复原的除外”,这为个人信息进行匿名化处理并开发利用留出了一定的余地。可允许App 运营者在承担保证透明性、隐私风险评估和保护等责任前提下,向他人提供个人信息,经过匿名化处理无法识别特定个人且不能复原的,无需经用户同意,对个人信息匿名化处理后进行市场化利用,确保数据规范利用的同时保护个人隐私。接入第三方应用提供个人信息必须得到用户的授权同意。

    3、最少必要:App 运营者收集个人信息时应当严格遵守最少必要原则。信息收集必要原则的一个体现就是“最少信息”收集,即需保障某一服务类型正常运行所必需的个人信息及最少系统权限。App 运营者不收集与所提供服务无关的非必要个人信息,不能以用户拒绝提供最少信息之外的个人信息而限制或者拒绝其享受普遍服务。App 运营者收集个人信息的频度等不得超出业务功能实际需要。

    4、权利保障:App 运营者收集个人信息时应当保障用户的相关权利。App 运营者收集使用个人信息时应当明确明确个人信息授权的具体方式、授权条款、授权范围和授权例外等条款,明确用户授权后的个人信息使用情况。同时支持用户注销账号、更正或删除个人信息,及时反馈用户申诉等,确保用户个人信息的知情权、删除权和申述权等相关权利。

    5、数据安全:App 运营者收集个人信息时应当确保其收集的个人信息安全。《网络安全法》第42条规定的“网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”虽然《认定方法》未提及数据安全保护,但App 运营者应当以保护用户个人隐私为前提,开展个人信息收集和使用,避免数据破坏、数据泄露、数据篡改、数据被恶意利用和买卖等现象发生。

    综上所述,赛智时代认为,App运营者应当兼顾开发利用与隐私保护,在保障用户知情权、给予用户选择权的同时,应当按照法规要求坚守安全底线,防止数据泄露与不当使用,保障用户个人隐私和数据安全。

    注:本文摘自赛智时代大数据课题组魏贝、周振松完成的研究报告,详细内容请点击饮鹿网产业报告栏目阅读。

    ▎本文系Innov100原创文章,转载请标明出处。

    更多精彩内容请登录https://www.innov100.com官方网站

    或扫描下方二维码,点击关注微信公众号(ID:sagetimes)

    

  • 点赞点赞(0)

数据服务
月报系列
咨询服务
培训服务