一、关于“必要原则”
《中华人民共和国网络安全法》第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,不得收集与其提供的服务无关的个人信息。该条文明确提出了收集个人信息应当遵循必要原则。2019年12月30日,国家互联网信息办公室通过其官方网站公布了《关于印发〈App违法违规收集使用个人信息行为认定方法〉的通知》(以下简称“《认定办法》”)对于“必要原则”提出了以下要求:
收集的个人信息必须是与使用App现有功能有客观的需求和关联;不得以拒绝提供业务功能或客观造成用户无法使用为要挟或研发新产品、提升用户体验等为由而迫使用户同意个人信息被收集或给予App运营者非必要的授权或同时一次性给予多个授权;除新增业务功能取代原有业务功能外,不得以用户不同意变更个人信息收集权限而拒绝用户使用原业务功能。
上述“必要原则”的规定,实践中可能是App运营者首先会重点关注和去深度理解。App运营者从App业务功能使用与个人信息的关联性角度出发,应对App的功能进行明确的梳理,哪些业务功能需要收集用户的个人基础信息,哪些业务功能需要收集用户的个人敏感信息,均应结合“收集使用个人信息的目的、方式和范围”的要求制定清晰的规则。
二、关于“未经同意向他人提供个人信息”的规定
《认定办法》规定,既未经用户同意,也未做匿名化处理,App客户端直接、通过客户端嵌入的第三方代码、插件或数据传输至App后台服务器等方式向第三方提供个人信息,属于“未经同意向他人提供个人信息”。此情形的第三方,本人理解应是为App业务功能正常运行提供服务的专业机构或与App业务功能具有关联合作的第三方,在必须将用户个人信息提供给该等第三方时,应取得用户同意或对用户信息进行匿名化处理。另外,未经用户同意,App向接入的第三方应用提供个人信息,亦属于“未经同意向他人提供个人信息”。此种情形下,第三方应用程序与App本身业务功能一般具有相对独立性,未经用户同意,不得向该等第三方提供个人信息。
上述要求,实际上是对《中华人民共和国网络安全法》第四十二条关于“未经被收集者同意,不得向他人提供个人信息”规定的细化。
三、关于“删除或更正个人信息功能”和“投诉、举报方式等信息”的规定
《认定办法》规定,应为用户提供更正、删除个人信息或注销用户账号的设置,且不得设置不合理的限制条件或怠于配合用户彻底更正、删除或注销用户账号,视为未按法律规定提供删除或更正个人信息功能的具体情形如下:
1、未提供有效的更正、删除个人信息及注销用户账号功能;
2、为更正、删除个人信息或注销用户账号设置不必要或不合理条件;
3、虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理;
4、更正、删除个人信息或注销用户账号等用户操作已执行完毕,但App后台并未完成的。
另外,《认定办法》规定,对于未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理的,视为未公布投诉、举报方式等信息。
本站为您整理关于本文的法律热搜话题
●app 违法违规收集使用个人信息行为认定方法
●app违法违规收集个人信息认定办法
●app违法违规收集使用个人信息治理工作组
●app违规收集个人信息方式
●app违规收集个人信息的治理对策
●开展app违法违规收集使用个人信息行业监管机构
●351款app因违法收集个人信息被通报
●app违规收集个人信息的危害
●app违法违规收集个人信息认定办法
●app违法收集用户信息