新闻背景
根据2019年1月23日国家互联网信息办公室、工业和信息化部(以下简称“工信部”)、公安部、市场监督管理总局颁布的《关于开展App违法违规收集使用个人信息专项治理的公告》(以下简称“《公告》”),为认定App违法违规收集使用个人信息行为提供参考,落实《网络安全法》等法律法规,四部委联合制定的《App违法违规收集使用个人信息行为认定方法》(以下简称“新规”),在2019年岁末,正式出台。
具体解析
一、适用范围
新规的出台,其目的,毫无疑问是为了在当前国家强化对隐私与个人信息保护的大背景下,为众多企业进行自我排查、整改及相关执法部门认定App违法违规收集使用个人信息的行为,提供参考意见,统一标准。
那么,新规的适用范围包括哪些?根据2016年6月28日,国家互联网信息办公室发布的《移动互联网应用程序信息服务管理规定》第二条规定,“移动互联网应用程序,是指通过预装、下载等方式获取并运行在移动智能终端上、向用户提供信息服务的应用软件”。2016年12月16日工信部发布的《移动智能终端应用软件预置和分发管理暂行规定》第十二条规定,“移动智能终端应用软件(英文简称App)包括移动智能终端预置应用软件,以及互联网信息服务提供者提供的可以通过网站、应用商店等移动应用分发平台下载、安装、升级的应用软件。”在2019年1月23日的《公告》中,四部委提到,“近年来,移动互联网应用程序(App)得到广泛应用,在促进经济社会发展、服务民生等方面发挥了不可替代作用。同时,App强制授权、过度索权、超范围收集个人信息的现象大量存在,违法违规收集使用个人信息的问题十分突出,广大网民对此反应强烈。”
因此,我们认为,新规的适用范围将扩大至所有通过移动互联网应用程序收集并使用个人信息的行为,应用程序包括常见的手机应用程序;也包括依托应用程序平台所开发的程序,如诸多微信小程序;甚至还包括安装于PC端的应用程序等。
二、合规体系
新规的出台,为相关执法机构认定App违法违规收集使用个人信息的行为,提供了参考意见。但相关执法机构绝不是仅仅依据这一项规定作出判断,自2019年1月23日四部委颁布《公告》起,目前涉及关于App收集使用个人信息的专项规定整理如下。
1. 2019年2月1日,全国信息安全标准化技术委员会发布了《信息安全技术个人信息安全规范(草案)》,2019年10月24日,全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会所成立的App违法违规收集使用个人信息专项治理工作组(以下简称“App专项治理工作组”)发布了《信息安全技术个人信息安全规范》最新版本征求意见稿;2. 2019年3月1日,App专项治理工作组发布了《App违法违规收集使用个人信息自评估指南》;
3. 2019年4月10日,公安部网络安全保卫局、北京网络行业协会、公安部第三研究所联合发布了《互联网个人信息安全保护指南》;
4. 2019年8月8日,全国信息安全标准化技术委员会发布了《信息安全技术移动互联网应用程序(App)收集个人信息基本规范(草案)》,2019年10月25日,App专项治理工作组发布了《信息安全技术移动互联网应用程序(App)收集个人信息基本规范》最新版草案;
5. 2019年11月6日,工信部发布了《关于开展App侵害用户权益专项整治工作的通知》;
6. 2019年12月19日,工信部公布了《关于侵害用户权益行为的App(第一批)通报》,并公布了存在问题的应用软件名单(第一批)。
企业在进行自我排查、整改App违法违规收集使用个人信息的行为时,需根据《网络安全法》等法律法规所规定的原则,结合上述各部委指导性文件,综合评判。
三、新规原则
新规出台,掌握其所明确的原则性要求,有利于企业迅速查漏补缺,规避潜在法律风险。
1. 用户自主性原则。个人信息的获取尽可能以用户同意为前提,建议采取事先向用户明示的方式获取用户的同意。
如:新规第三条第1款,“征得用户同意前就开始收集个人信息或打开可收集个人信息的权限。” 第三条第2款,“用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用。” 第三条第4款,“以默认选择同意隐私政策等非明示方式征求用户同意。”第三条第5款,“未经用户同意更改其设置的可收集个人信息权限状态,如App更新时自动将用户设置的权限恢复到默认状态。”均会被认定为App违法违规收集使用个人信息。
2. 简便易行原则。相关说明政策、操作流程,应当简单明了,易于操作。避免出现层级复杂、规则晦涩、术语频出等现象。
如:新规第一条第3款,“隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到。”第二条第4款,“有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等。”均会被认定为App违法违规收集使用个人信息。
3. 反馈及时性原则。该原则包括应答、响应的及时性,同时也包括了核查、处理的及时性。
如:新规第六条第3款,“虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内 (承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理。”第六条第5款,“未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理的。”均会被认定为App违法违规收集使用个人信息。
四、重点关注
我们发现,新规中的第四条第3款,规定“App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外”这一行为将被认定为App违法违规收集使用个人信息。在实践中,我们建议App开发商或运营商如因App迭代开发新增业务功能导致申请收集的个人信息存在超出用户原有同意范围的可能性,应做到以下几点:
一则是收集使用个人信息遵循必要原则。
二则是在必要的前提下,App更新升级前,应通过显著的方式提醒用户,并以获得用户同意个人信息授权范围的扩大作为App更新升级的前提,以避免出现App更新升级后,用户拒绝扩大个人信息授权范围,而导致无法使用原(旧)版本的情况。
三则是尽可能保障与用户同意的个人信息授权原有范围相匹配的App版本的下载、运行通道顺畅。
最后,考虑是否针对App新增业务功能以其他形式提供服务。
文章摘自网络,若有侵权,请联系删除
本站为您整理关于本文的法律热搜话题
●app 违法违规收集使用个人信息行为认定方法
●app违法违规收集个人信息认定办法
●app违规收集个人信息方式
●app违法违规收集使用个人信息治理工作组
●app违规收集个人信息的治理对策
●开展app违法违规收集使用个人信息行业监管机构
●351款app因违法收集个人信息被通报
●app违法违规收集使用个人信息自评估指南
●app违法违规收集个人信息认定办法
●app违规收集个人信息的危害