App违法违规收集使用个人信息认定方法出炉:这六类是红线
《App违法违规收集使用个人信息行为认定方法》正式出炉。
12月30日,中国网信网公布了关于印发《App违法违规收集使用个人信息行为认定方法》(简称:《方法》)的通知。
通知显示,根据《关于开展App违法违规收集使用个人信息专项治理的公告》,为认定App违法违规收集使用个人信息行为提供参考,落实《网络安全法》等法律法规,国家互联网信息办公室、工业和信息化部、公安部、市场监管总局联合制定了《App违法违规收集使用个人信息行为认定方法》。
此次正式发布的《App违法违规收集使用个人信息行为认定方法》有六个要点,分别详细介绍了可被认定为“未公开收集使用规则”的行为,可被认定为“未明示收集使用个人信息的目的、方式和范围”的行为,可被认定为“未经用户同意收集使用个人信息”的行为,可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”的行为,可被认定为“未经同意向他人提供个人信息”的行为,以及可被认定为“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”的行为。
大成律师事务所高级合伙人邓志松告诉澎湃新闻记者,《App违法违规收集使用个人信息行为认定方法》系《网络安全法》框架下针对目前广泛应用的App的个人信息保护配套性规章,违规者将面临《网络安全法》项下的法律责任。 《方法》在通知介绍,称是为了“落实《网络安全法》等法律法规”,其列举的六个条款也分别对应《网络安全法》第41条、第42条、第43条和第49条的相关规定。因此,违反《方法》的App运营者可能面临《网络安全法》项下的责令改正、警告、没收违法所得、罚款、责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等法律责任。
邓志松介绍,《方法》列举了主要违法违规行为,可以为App运营者提供合规指引。《方法》的内容分为六个部分,基本覆盖了App运营者收集、使用用户个人信息的所有场景,包括隐私政策的发布、用户同意的获取、必要性原则的把握、数据共享的界限、用户权利的保障及投诉举报机制等。
“App运营者可以对照《方法》进行自查自纠,从而避免相应的法律风险。” 邓志松说。
具体而言,在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解,这一行为可被认定为“未明示收集使用个人信息的目的、方式和范围”。
用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用;利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项;未向用户提供撤回同意收集个人信息的途径、方式,这些行为可被认定为“未经用户同意收集使用个人信息”。
App接入第三方应用,未经用户同意,向第三方应用提供个人信息;既未经用户同意,也未做匿名化处理,数据传输至App后台服务器后,向第三方提供其收集的个人信息,这些行为可被认定为“未经同意向他人提供个人信息”。
《App违法违规收集使用个人信息行为认定方法》也明确了App在用户账户注销方面的要求,若未提供有效的更正、删除个人信息及注销用户账号功能,虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理,这些行为会被认定为“未按法律规定提供删除或更正个人信息功能”。
澎湃新闻记者注意到,相较于5月份发布的《App违法违规收集使用个人信息行为认定方法(征求意见稿),此次发布的正式文件,减少了征求意见稿中的第七点,“侵犯未成年人在网络空间合法权益的情形”,包括未经监护人同意,收集使用14 周岁以下(含)未成年人个人信息;未经监护人同意,利用14 周岁以下(含)未成年人信息和算法开展个性化推送新闻、时政信息、广告等定向推送活动。
不过,今年10月,中央网信办发布了《儿童个人信息网络保护规定》,这是我国第一部专门针对儿童网络保护的立法,并于10月1日正式施行。
今年以来,相关监管部门一直在推进个人信息保护方面的工作。
1月份,中央网信办、工信部、公安部和市场监管总局发布了《关于开展App违法违规收集使用个人信息专项治理的公告》。四部门决定自2019年1月至12月,在全国范围内组织开展App违法违规收集使用个人信息专项治理行动。
根据四部门联合发布的《关于开展App违法违规收集使用个人信息专项治理的公告》,受中央网信办、工业和信息化部、公安部、市场监管总局委托,全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立App专项治理工作组。
依照《关于开展App违法违规收集使用个人信息专项治理的公告》,有关主管部门加强对违法违规收集使用个人信息行为的监管和处罚,对强制、过度收集个人信息,未经消费者同意、违反法律法规规定和双方约定收集、使用个人信息,发生或可能发生信息泄露、丢失而未采取补救措施,非法出售、非法向他人提供个人信息等行为,按照《网络安全法》《消费者权益保护法》等依法予以处罚,包括责令App运营者限期整改;逾期不改的,公开曝光;情节严重的,依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。公安机关开展打击整治网络侵犯公民个人信息违法犯罪专项工作,依法严厉打击针对和利用个人信息的违法犯罪行为。
在相关监管部门加强打击违法违规手机个人信息行为的同时,专门的App违法违规收集使用个人信息行为认定方法呼之欲出。
据新华社4月份报道,中央网信办、工信部、公安部、市场监管总局高度重视个人信息保护工作,针对当前App强制授权、过度索权、超范围收集个人信息等网民反映强烈的问题,将抓紧出台必要的管理规范和相关标准。
据中国网信网,自2019年以来,App专项治理工作组根据公众举报情况,对各类收集使用个人信息保护问题进行归纳、梳理,重点参照《网络安全法》等相关法律法规要求和个人信息保护相关国家标准,制定、完善了一系列技术规范和标准文本,为相关监管部门界定违法违规收集使用个人信息行为以及App运营者整改提升提供重要参考,也为开展App违法违规收集使用个人信息评估工作和指导企业整改提供重要支撑。
相关文件主要包括: 2019年3月,编制并发布《App违法违规收集使用个人信息自评估指南》,2019年5月,编制并公布《App违法违规收集使用个人信息行为认定方法(征求意见稿)》, 2019年10月,结合评估工作实践和各方征求意见,更新并公开GB/T 35273《信息安全技术 个人信息安全规范(最新征求意见稿)》, 2019年10月,结合评估工作实践和各方征求意见,更新并公开《移动互联网应用程序(App)收集个人信息基本规范(最新草案)》。
附:App违法违规收集使用个人信息行为认定方法
根据《关于开展App违法违规收集使用个人信息专项治理的公告》,为监督管理部门认定App违法违规收集使用个人信息行为提供参考,为App运营者自查自纠和网民社会监督提供指引,落实《网络安全法》等法律法规,制定本方法。
一、以下行为可被认定为“未公开收集使用规则”
1.在App中没有隐私政策,或者隐私政策中没有收集使用个人信息规则;
2.在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;
3.隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到;
4.隐私政策等收集使用规则难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等。
二、以下行为可被认定为“未明示收集使用个人信息的目的、方式和范围”
1.未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;
2.收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等;
3.在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解;
4.有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等。
三、以下行为可被认定为“未经用户同意收集使用个人信息”
1.征得用户同意前就开始收集个人信息或打开可收集个人信息的权限;
2.用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用;
3.实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围;
4.以默认选择同意隐私政策等非明示方式征求用户同意;
5.未经用户同意更改其设置的可收集个人信息权限状态,如App更新时自动将用户设置的权限恢复到默认状态;
6.利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项;
7.以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的;
8.未向用户提供撤回同意收集个人信息的途径、方式;
9.违反其所声明的收集使用规则,收集使用个人信息。
四、以下行为可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”
1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;
2.因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;
3.App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;
4.收集个人信息的频度等超出业务功能实际需要;
5.仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;
6.要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。
五、以下行为可被认定为“未经同意向他人提供个人信息”
1.既未经用户同意,也未做匿名化处理,App客户端直接向第三方提供个人信息,包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息;
2.既未经用户同意,也未做匿名化处理,数据传输至App后台服务器后,向第三方提供其收集的个人信息;
3.App接入第三方应用,未经用户同意,向第三方应用提供个人信息。
六、以下行为可被认定为“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”
1.未提供有效的更正、删除个人信息及注销用户账号功能;
2.为更正、删除个人信息或注销用户账号设置不必要或不合理条件;
3.虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理;
4.更正、删除个人信息或注销用户账号等用户操作已执行完毕,但App后台并未完成的;
5.未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理的。