导读:2019年12月30日,国家互联网信息办公室发布了《App违法违规收集使用个人信息行为认定方法》(以下简称《认定方法》)。《认定方法》落实《网络安全法》等法律法规,为认定App违法违规收集使用个人信息行为提供了参考。
近日,当你更新了手机App然后重新打开后,你总能看到在你首次打开时候有一篇《隐私政策》出现在眼前,这就是《网络安全法》和《认定方法》落实的最直接体现,如果没有这篇隐私政策的话,那么该App很有可能被认定为“未公开收集使用规则”。
一、什么情况可被认定为“未公开收集使用规则”?
根据《认定方法》,以下四种情况会认定为“未公开收集使用规则”:
1.在App中没有隐私政策,或者隐私政策中没有收集使用个人信息规则;
2.在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;
3.隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到;
4.隐私政策等收集使用规则难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等。
得益于新的《认定方法》,笔者在最近的App更新时,的确发现了越来越多的软件会在首页展现《隐私政策》,同时《隐私政策》页面的字体也比以前明显增大,并对重点部分予以加粗。
二、什么情况可被认定为“未明示收集使用个人信息的目的、方式和范围”?
根据《认定方法》,以下四种情况可被认定为“未明示收集使用个人信息的目的、方式和范围”:
1.未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;
2.收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等;
3.在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解;
4.有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等。
从《认定方法》中我们不难看出,《认定方法》对App里隐私政策的内容做了明确规定,包括信息收集的目的、方式和使用范围,以及当这些发生变化时需要如何通知使用者并更新自己的隐私政策。《认定方法》还规定隐私政策内容不能晦涩难懂,所以说《认定方法》所规定的隐私政策内容应该是清晰易懂的。
三、哪些情况可以被认定为“未经用户同意收集使用个人信息”?
《认定方法》共列举了9条可以被认定为“未经用户同意收集使用个人信息”的情况,这九条概括来说就是利用一切手段在用户未同意收集个人信息前,就打开收集个人信息的权限并收集个人信息。
这些情况在用户实际使用App的时候是真实存在的,《认定方法》分别列出各种情况,充分保护了用户自主选择的权利。
四、哪些情况可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”?
《认定方法》中规定了六条相关可以被认定为“违反必要原则,收集与其提供的服务无关的个人信息”的情形:
1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;
2.因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;
3.App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;
4.收集个人信息的频度等超出业务功能实际需要;
5.仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;
6.要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。
举个例子,笔者曾经下载过一款天气预报的App,该App除了要求获得你的位置信息外,还要求获取你的通话记录、短信、通讯录、照片等权限,这就是很明显地违反了必要原则。
我们认为,此条是App运营者最需要去深度理解和自我合规排查的内容,运营者应结合自己的核心业务和功能,制定符合相关法律和规则的信息收集范围。
五、关于“未经同意向他人提供个人信息”
《认定方法》规定了三条可被认定为“未经同意向他人提供个人信息”的情形,包括了未经用户同意,以各种手段直接向第三方提供用户数据。
本条的核心是未经他人同意、未做匿名化,向第三方提供用户信息。这在以往的App中还是比较常见的行为,以至于用户都没有察觉,自己的信息就被传给第三方了。
六、哪些行为可被认定为“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”?
《认定方法》规定了五条可被认定为“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”的情形。
注册容易注销难,是很多App最常见的问题,当用户在注销时最需要的功能就是“一键注销”,但是这个功能你几乎无法在App里看到。于是App就为注销设置了各种各样的条件,比如让你致电客服,写纸质注销申请等,如果存在上述这些行为,App运营方就符合《认定方法》关于此条的认定要求,可以被认定为“未按法律规定提供删除或更正个人信息功能”。
我们的观察
目前,针对个人信息保护已成为App运营中很重要的合规事项。2019年12月20日,App专项治理工作组就曾发布了57款App存在收集使用个人信息问题的违规App名单。
《认定方法》与此前发布的多个规定保持一致,对保护用户个人信息安全做了比较详细的规定,App运营者应该结合相关法规,严格进行自身风险控制,做好相关合规工作。对此,我们将保持持续关注。