打开手机,扫一扫二维码
即可通过手机访问网站
打开微信,扫一扫二维码
订阅我们的微信公众号
近年来,随着移动互联网信息技术的飞速发展,用户对移动互联网终端应用程序(APP)的依赖程度越来越高,日常工作、生活、学习都离不开各类APP的使用。与此同时,强制客户授权、过度向客户索权、超范围收集个人信息等违法违规乱象大量存在,广大网民反映强烈。违规问题几乎从客户最初注册使用一款APP时就存在,最典型的就是未制定和公开隐私政策、未经用户同意收集个人信息、超范围收集个人信息等。而对于开发、运营APP的网络运营者来说,个人信息收集是经营必不可少的一环,甚至是很多企业核心资产的主要来源。个人信息收集环节的合规性不仅关系到商业利益,更关系到企业面临的行政问责、行政处罚甚至刑事风险,有时候还会对企业形象和品牌竞争力产生影响,是APP运营企业必须高度重视和妥善解决的首要课题。
一、个人信息收集的法律遵循
为规范APP运营平台对个人信息的收集使用,打击涉及个人信息的违法犯罪行为,我国相继出台了个人信息保护相关法律法规及规范性文件,对个人信息收集环节的规制体系已经越来越完善。
2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》、2014年修改实施的《消费者权益保护法》、2017年实施的《网络安全法》均对收集使用个人信息的法律责任和义务作出规定;《刑法修正案(七)》、《刑法修正案(九)》以及《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中,明确了侵犯公民个人信息犯罪行为的界定和处罚。
2019年,《儿童个人信息网络保护规定》已发布实施,《数据安全管理办法(征求意见稿)》、《个人信息出境安全评估办法(征求意见稿)》已完成向社会公开征求意见,《App违法违规收集使用个人信息行为认定方法》已发布实施,《移动互联网应用程序(App)收集个人信息基本规范(草案)》《个人信息安全规范》等国家标准已经发布实施并得到广泛应用。
2021年实施的《民法典》强调,自然人的个人信息受法律保护,任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,并在人格权编专章规定与隐私权和个人信息保护有关的各项具体要求。同时,《数据安全法》《个人信息保护法》已纳入十三届全国人大常委会的立法规划,并已经形成草案稿,很快就将颁布实施。
我国关于个人信息收集的主要法律、法规、政策一览表
二、监管部门的治理措施
近年来,有关部门持续开展了一系列个人信息保护相关监管执法活动,有关社会组织也推动社会各界密切关注个人信息保护,引导企业加强合规自律。
(一)多部门联合开展“APP违法违规收集使用个人信息专项治理”
2019年1月25日,中央网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展APP违法违规收集使用个人信息专项治理的公告》(以下简称《公告》),正式拉开了APP违法违规收集使用个人信息专项治理工作的大幕。受四个监管部门委托,全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立APP违法违规收集使用个人信息专项治理工作组,具体推动APP违法违规收集使用个人信息评估工作。
《公告》发布以来,专项治理工作组对评估机构进行培训后,分阶段、分批次开展了评估工作。设立了微信公众号和专用邮箱两种举报渠道,对广大网民提供的APP违法违规收集使用个人信息的举报线索进行梳理、核实,将问题反映集中、用户数量大、与民众生活密切相关的APP纳入评估对象。
为确保评估工作的科学性和公正性,评估工作依托专业评估机构和行业专家的力量进行。全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会聘请了一批网络安全法律、技术专家成立个人信息保护专家组,由专家组对评估结果和有争议问题进行裁定,出具专家意见。
专项治理工作组发布的《APP违法违规收集使用个人信息专项治理报告》显示,网民投诉举报的前五大典型问题分别是:超范围收集与功能无关个人信息、强制或频繁索要无关权限、存在不合理免责条款、无法注销账号、默认捆绑功能并一揽子同意,其中超范围个人信息收集问题高居第一。
(二)工信部开展“APP侵害用户权益专项整治”
2019年,针对群众反映强烈的APP违规收集个人信息、过度索权、频繁骚扰、侵害用户权益的各类问题,工业和信息化部开展了“APP侵害用户权益行为专项整治行动” 。
整治行动依据《网络安全法》《电信条例》和《规范互联网信息服务市场秩序若干规定》《电信和互联网用户个人信息保护规定》《移动智能终端应用软件预置和分发管理暂行规定》等法律法规和规范性文件要求开展,主要面向APP服务提供者、APP分发服务提供者两类主体。
整治行动围绕8类违法违规问题行为,其中违规收集用户个人信息方面主要包括“私自收集”和“超范围收集”两大类。2019年的整治行动推动了多款APP完成自查整改,对236款APP运营者下发整改通知书,公开通报56款APP、下架3款APP。
2020年7月,工信部下发《关于开展纵深推进APP侵害用户权益专项整治行动的通知(工信部信管函〔2020〕164号)》,继续推进专项整治行动纵深开展。仅从2021年第1批、总第10批公布的157家问题APP名单看,仍然存在违规收集个人信息问题的就高达134家。
从工信部领导在2020年11月27日全国APP个人信息保护监管会上的讲话看,工信部还将运用人工智能、大数据等新技术推进全国APP技术检测平台建设,力争2021年实现全年检测180万款APP的覆盖能力。APP违规收集个人信息问题还将成为监管部门的常态性监管重点。
三、数据法学意义上个人信息收集的原则
(一)合法正当、公开透明原则
欧盟GDPR、我国《网络安全法》、《个人信息安全规范》中均有个人信息收集合法、正当、公开原则的体现。合法性原则主要体现在对个人信息控制者的禁止性规范上。正当性原则主要指对个人信息收集应当具有正当目的,不应违反初始目的。公开透明原则体现为个人信息收集者明示收集、使用的目的、方式和范围,尽到告知、说明、警示义务,接受外部监督。
(二)最小必要原则
又称“数据最小化原则”“必要原则”“最低限度原则”“最少够用原则”,指个人信息收集的范围应当限于最小必要信息,即保障服务类型正常运行所最少够用的个人信息,包括一旦缺少将导致该类性服务无法实现或无法正常运行的个人信息,以及法律法规要求必须收集的个人信息。
(三)授权同意原则
授权同意原则是指个人信息收集的主体应当有法定授权,或经数据主体授权同意。该原则是国际社会普遍认定的个人信息收集合法性基础之一。
(四)目的明确原则
又称“用途确定原则”,指收集个人信息应具有特定和明确的用途或目的,在约定或规定的目的及用途范围内收集数据。该原则旨在赋予数据主体参与个人信息收集行为的权利,包括知情权、确认和访问权、更正删除权、限制处理权、被遗忘权和可移植权等。
(五)安全保密原则
指个人信息的控制者必须对其收集的数据严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供所收集的数据。
四、APP收集个人信息环节的风险点及合规建议
(一)“私自”和“超范围”两大类问题释义及典型场景
1、“私自收集个人信息”。即APP未明确告知收集使用个人信息的目的、方式和范围并获得用户同意前收集用户个人信息。
典型场景1:APP运行时,缺乏向用户明示且征求用户同意的环节,收集IMEI、设备MAC地址、软件安装列表、通讯录、短信等个人信息。
典型场景2:APP运行时,虽然有向用户明示并经用户同意环节,但个人信息收集发生在用户同意前。
2、“超范围收集个人信息”。即APP收集个人信息,非服务所必需或无合理应用场景,超范围或超频次收集个人信息。
典型场景1:APP收集个人信息,非服务所必需或无合理应用场景,超范围收集个人信息,如过度收集用户通讯录、短信、通话记录等。
典型场景2:APP收集个人信息,非服务所必需或无合理应用场景,超频次收集个人信息,如按照一定频次收集位置信息、IMEI或频繁读取通讯录、短信、图片等。
典型场景3:APP收集身份证号、人脸、指纹等个人信息时,非服务所必需或无合理场景,如将收集身份证号、人脸、指纹等作为应用开启使用的前提条件,或通过积分、奖励等方式诱导用户,收集身份证号、人脸、指纹等个人信息。
(二)违法违规收集个人信息行为的认定方式
1、“未公开收集使用规则”的认定
①在APP中没有隐私政策,或者隐私政策中没有收集使用个人信息规则;
②在APP首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;
③隐私政策等收集使用规则难以访问,如进入APP主界面后,需多于4次点击等操作才能访问到;
④隐私政策等收集使用规则难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等。
2、“未明示收集使用个人信息的目的、方式和范围”的认定
①未逐一列出APP(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;
②收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等;
③在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解;
④有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等。
3、“未经用户同意收集使用个人信息”的认定
①征得用户同意前就开始收集个人信息或打开可收集个人信息的权限;
②用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用;
③实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围;
④以默认选择同意隐私政策等非明示方式征求用户同意;
⑤未经用户同意更改其设置的可收集个人信息权限状态,如APP更新时自动将用户设置的权限恢复到默认状态;
⑥利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项;
⑦以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的;
⑧未向用户提供撤回同意收集个人信息的途径、方式;
⑨违反其所声明的收集使用规则,收集使用个人信息。
4、“违反必要原则,收集与其提供的服务无关的个人信息”的认定
①收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;
②因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;
③APP新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;
④收集个人信息的频度等超出业务功能实际需要;
⑤仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;
⑥要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。
(三)专项整治通报收集个人信息问题梳理及合规建议
1、未公开告知用户收集个人信息
专项整治通报存在此现象的APP有37款,主要表现方式是:APP中没有或者难以访问隐私政策、隐私政策难以阅读或者用户难以理解、首次运行时未通过弹窗等明显方式提醒用户阅读隐私政策等关于个人信息收集使用规则的文件。
合规建议:收集用户个人信息前应当征求用户同意,建议行程隐私协议、以明示的方式展示、提供给用户签署。在较为明显的位置添加查询隐私政策的链接,方便用户在后续使用过程中随时查阅。
2、未征得用户许可收集个人信息
因此情况被通报的APP有14款,主要表现为:未以明示的方式向用户提供隐私政策,没有征得用户的明确授权,便在用户使用APP的过程中收集用户的个人信息;在用户明确拒绝提供部分非必要个人信息后,仍然在用户使用APP的过程中收集其拒绝提供部分的个人信息。
合规建议:基于用户的个人权利,在收集个人信息前必须取得用户明确授权同意,将用户同意作为APP运营者进行相关信息收集操作的必要前提。
3、APP申请打开可收集个人信息权限时,未同步告知用户其目的或未明确告知用户收集个人信息的范围
专项整治通报存在此现象的APP有50款,是APP运营过程中最普遍的问题。APP在收集信息时仅告诉用户信息需求,但并未告知收集信息的目的以及范围,使得用户无法根据实际需求来判断自己是否确认授权,用户不想提供的非必要个人信息也被额外收集,因此违规。
合规建议:APP运营者应当尽可能详细的罗列出需要收集的个人信息,将自己的基本服务与附加服务进行区分,将收集到的个人信息与不同的服务类型一一对应,在征求用户许可时告知用户。
4、超范围收集个人信息
专项整治中有12款APP因该问题被通报。主要表现为APP运营者收集与其提供的服务无关的个人信息,是否有关主要从形式和实质两方面考量:形式方面,收集的信息是否在隐私政策所述范围内;实质方面,收集的信息是否与APP的功能、服务相关,是否是必要信息。必要个人信息是保障APP基本功能正常运行所必须的个人信息,缺少该信息APP无法提供基本功能服务。
合规建议:参考2020年12月1日中央网信办联合北京师范大学出台的常见类型APP必要个人信息范围征求意见稿,以其中对地图导航、网约车、外卖平台等38类APP的必要收集范围的规定为参考进行筛选。只要用户同意收集必要个人信息,APP不得拒绝用户安装使用。
5、以捆绑授权的方式获取收集个人信息权限
因该问题在专项整治中被通报的APP共10款,具体表现为用户不能自主选择授权内容,只能一次性同意打开多个可收集个人信息的权限,如用户不同意则无法使用APP,严重影响用户的合法权益。
合规建议:对完全不同的个人信息不采用捆绑方式授权,授权事项具体明确,给予用户选择权,一旦用户同意授权必要个人信息的收集,不得拒绝安装。
最后,呼吁APP运营者在收集使用个人信息时,严格履行《网络安全法》等一系列法律法规规定的责任义务,从个人信息的收集环节做起,对个人信息安全负责,有效加强个人信息保护。APP运营者可参照各监管部门下发的文件和以上的指引对收集个人信息环节进行自查自纠,希望本文能够为企业个人信息采集合规水平的提升发挥作用。
