鑒于不少App存在侵害用戶隱私、權(quán)限濫用等諸多問題,2019年伊始,工信部、網(wǎng)信辦、公安部、市場監(jiān)管總局四部門聯(lián)合發(fā)布了《關(guān)于開展App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理的公告》。2019年1月至12月,在全國范圍內(nèi)組織開展了App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理工作。全年共檢測App多達(dá)460萬個(gè),下架處置了違法違規(guī)App3.1萬個(gè),集中核查了相關(guān)App線索3000余條,抓獲814人。
近日,工信部、網(wǎng)信辦、公安部、市場監(jiān)管總局四部委聯(lián)合制定并公開發(fā)布了《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》(下稱《認(rèn)定方法》),為認(rèn)定App違法違規(guī)收集使用個(gè)人信息行為提供參考,為App運(yùn)營者自查自糾和網(wǎng)民社會(huì)監(jiān)督提供指引,深入落實(shí)了《網(wǎng)絡(luò)安全法》等法律法規(guī)。“一參考、一指引、一落實(shí)”奠基了《認(rèn)定方法》在認(rèn)定App違法違規(guī)收集使用個(gè)人信息行為方面的重要影響力。據(jù)悉,2020年App安全認(rèn)證工作將依托《認(rèn)定方法》全面鋪開。
《認(rèn)定方法》共分為6項(xiàng)認(rèn)定準(zhǔn)則,包含31種場景,App運(yùn)營者只有對照本方法及時(shí)、有效地自查自糾,才能減少或者避免被認(rèn)定為違法違規(guī)收集使用個(gè)人信息行為,才能充分經(jīng)受起相關(guān)部門、社會(huì)公眾的共同監(jiān)督。
第一,“未公開收集使用規(guī)則”。該項(xiàng)相較于征求意見稿,一是明確了App應(yīng)有易于閱讀的隱私政策,不僅強(qiáng)調(diào)要有,還要注重內(nèi)容的易讀性,同時(shí)隱私政策中要明示收集使用個(gè)人信息的規(guī)則。二是將明顯提示用戶閱讀隱私政策等收集使用規(guī)則的時(shí)間點(diǎn),固定在了App首次運(yùn)行時(shí),提示方式建議采取彈窗方式,在彈窗內(nèi)展示內(nèi)容摘要并放置隱私政策全文鏈接。三是著重強(qiáng)調(diào)了隱私政策要易于訪問,若進(jìn)入App主界面后,需多于4次點(diǎn)擊等操作才能訪問,則可被認(rèn)定為“未公開收集使用規(guī)則”。
第二,“未明示收集使用個(gè)人信息的目的、方式和范圍”。該項(xiàng)認(rèn)定方法直擊SDK隱瞞收集個(gè)人信息的隱私安全問題,相較于征求意見稿,明確了逐項(xiàng)列舉的要求不僅適用于App自身收集使用個(gè)人信息的目的、方式和范圍,亦適用于App嵌入的第三方代碼、插件。同時(shí)為體現(xiàn)對個(gè)人敏感信息保護(hù)的突出性,要求每次在需要用戶提供個(gè)人敏感信息時(shí),應(yīng)同步告知用戶其目的,在收集個(gè)人敏感信息時(shí),提出更加嚴(yán)格、更加具體的要求。但本項(xiàng)中的第二條(收集使用個(gè)人信息的目的、方式、范圍發(fā)生變化時(shí),未以適當(dāng)方式通知用戶,適當(dāng)方式包括更新隱私政策等收集使用規(guī)則并提醒用戶閱讀等),筆者認(rèn)為其中存在值得思量的地方,若App運(yùn)營者隨著自身需要隨意改造隱私政策內(nèi)容,通過適當(dāng)方式告知用戶(例如進(jìn)入首頁時(shí)使用彈窗提示,實(shí)踐中這種提示用戶關(guān)注度是很小的,用戶往往會(huì)直接選擇關(guān)閉彈窗),那么該如何鑒定此類現(xiàn)象?
第三,“未經(jīng)用戶同意收集使用個(gè)人信息”。該項(xiàng)認(rèn)定方法明確了運(yùn)營者要合法合規(guī)收集使用個(gè)人信息,不得在未取得用戶授權(quán)的前提下收集用戶個(gè)人信息;不得違反用戶意愿收集個(gè)人信息;不得頻繁彈窗、干擾使用;不得超出授權(quán)范圍收集個(gè)人信息;不得以默認(rèn)選擇同意隱私政策等非明示方式征求用戶同意;不得未經(jīng)用戶同意私自更改用戶權(quán)限設(shè)置;不得故意欺瞞、掩飾收集使用個(gè)人信息;定向推送時(shí),要提供非定向推送信息的選項(xiàng);需向用戶提供撤回同意的途徑和方式;此外,運(yùn)營者還要“知行合一”,不得違反其所聲明的收集使用規(guī)則。經(jīng)過用戶同意收集使用個(gè)人信息,以及明確收集使用規(guī)則,不僅是為了告知用戶,更是為了提升運(yùn)營者的行業(yè)規(guī)范。
第四,“違反必要原則,收集與其提供的服務(wù)無關(guān)的個(gè)人信息”。該項(xiàng)直指App過度索取權(quán)限、越界獲取個(gè)人信息等問題,一是強(qiáng)調(diào)實(shí)際收集的個(gè)人信息類型及索取的權(quán)限要與現(xiàn)有業(yè)務(wù)功能逐項(xiàng)對應(yīng),并且與現(xiàn)有業(yè)務(wù)功能直接相關(guān)。二是明確不得因用戶拒絕提供非必要個(gè)人信息或打開非必要權(quán)限,而拒絕提供業(yè)務(wù)功能,甚至變相強(qiáng)迫用戶同意收集非必要個(gè)人信息或打開非必要權(quán)限的行為。三是規(guī)范收集使用個(gè)人信息,需要符合必要性原則的基本要求,不得超范圍、超頻率采集,或者一次性打開多個(gè)可收集個(gè)人信息的權(quán)限。
第五,“未經(jīng)同意向他人提供個(gè)人信息”。該項(xiàng)為對外提供個(gè)人信息的合法性給出了指引,一是明確App客戶端向第三方提供個(gè)人信息應(yīng)征得同意或匿名化處理。二是規(guī)范數(shù)據(jù)傳輸至App服務(wù)器后,對外提供個(gè)人信息的合法性。三是確保App接入第三方應(yīng)用提供個(gè)人信息應(yīng)征得用戶同意??梢钥闯?,前兩點(diǎn)對外提供經(jīng)過匿名化處理無法識(shí)別特定個(gè)人且不能復(fù)原的,無需獲得用戶的同意,但接入第三方應(yīng)用提供個(gè)人信息必須得到用戶的授權(quán)同意。
第六,“未按法律規(guī)定提供刪除或更正個(gè)人信息功能”或“未公布投訴、舉報(bào)方式等信息”。該項(xiàng)著重強(qiáng)調(diào)為用戶提供注銷權(quán),保障用戶的行使權(quán)和投訴權(quán)。一是明確應(yīng)提供刪除或更正個(gè)人信息和注銷賬號(hào)功能。二是不應(yīng)設(shè)置不必要或不合理?xiàng)l件,妨礙用戶行駛權(quán)利。三是保障App后臺(tái)操作應(yīng)與用戶操作保持一致,不得欺騙、誤導(dǎo)用戶,讓用戶誤以為已經(jīng)完成刪除、注銷等操作。四是明確建立、公布投訴和舉報(bào)渠道,并在承諾時(shí)限內(nèi)對用戶權(quán)利要求進(jìn)行及時(shí)響應(yīng),最長承諾時(shí)限不得超過15個(gè)工作日。
《認(rèn)定辦法》作為大數(shù)據(jù)時(shí)代我國第一部App個(gè)人信息保護(hù)規(guī)范指引,完善了征求意見稿諸多細(xì)節(jié)規(guī)定,更加具體地細(xì)化了App收集個(gè)人信息行為認(rèn)定方法,并給了用戶更多的知情權(quán)、選擇權(quán)、注銷權(quán)、投訴權(quán)等規(guī)定,提高了嚴(yán)謹(jǐn)性和可執(zhí)行性,為違規(guī)收集使用個(gè)人信息提供最根本的參考依據(jù)。雖然App運(yùn)營者在收集使用用戶個(gè)人信息時(shí),多了相對明確的限制,但也多了相對明確的合規(guī)指引。當(dāng)然,App個(gè)人信息保護(hù)的規(guī)范工作仍在不斷探索,希望政府部門、App運(yùn)營者、行業(yè)組織、社會(huì)公眾等繼續(xù)攜手共治,共同構(gòu)建安全有序的網(wǎng)絡(luò)生態(tài)環(huán)境。(賽迪智庫網(wǎng)絡(luò)安全研究所)
轉(zhuǎn)自:中國電子報(bào)
【版權(quán)及免責(zé)聲明】凡本網(wǎng)所屬版權(quán)作品,轉(zhuǎn)載時(shí)須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力。凡轉(zhuǎn)載文章及企業(yè)宣傳資訊,僅代表作者個(gè)人觀點(diǎn),不代表本網(wǎng)觀點(diǎn)和立場。版權(quán)事宜請聯(lián)系:010-65363056。
延伸閱讀
版權(quán)所有:中國產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)京ICP備11041399號(hào)-2京公網(wǎng)安備11010502035964