今年來,APP個人信息安全引發(fā)熱議。
12月30日,國家互聯(lián)網(wǎng)信息辦公室、工信部、公安部、國家市場監(jiān)督管理總局這四個部門聯(lián)合印發(fā)《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》(下簡稱《方法》)。
該《方法》界定了App違法違規(guī)收集使用個人信息行為的六大類方法。其中,征得用戶同意前就開始收集個人信息或打開可收集個人信息的權(quán)限;用戶明確表示不同意后,仍收集個人信息或打開可收集個人信息的權(quán)限,或頻繁征求用戶同意、干擾用戶正常使用等行為可被認(rèn)定為“未經(jīng)用戶同意收集使用個人信息”。
這六大類收集用戶信息的行為,違規(guī)了!
12月30日,國家互聯(lián)網(wǎng)信息辦公室官網(wǎng)發(fā)布公告發(fā)布,四部門聯(lián)合印發(fā)《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》通知,通知中稱:
根據(jù)《關(guān)于開展App違法違規(guī)收集使用個人信息專項治理的公告》,為監(jiān)督管理部門認(rèn)定App違法違規(guī)收集使用個人信息行為提供參考,為App運營者自查自糾和網(wǎng)民社會監(jiān)督提供指引,落實《網(wǎng)絡(luò)安全法》等法律法規(guī),制定本方法。
該《方法》明確界定了App違法違規(guī)收集使用個人信息行為的六大類方法:
一、以下行為可被認(rèn)定為“未公開收集使用規(guī)則”
1.在App中沒有隱私政策,或者隱私政策中沒有收集使用個人信息規(guī)則;
2.在App首次運行時未通過彈窗等明顯方式提示用戶閱讀隱私政策等收集使用規(guī)則;
3.隱私政策等收集使用規(guī)則難以訪問,如進(jìn)入App主界面后,需多于4次點擊等操作才能訪問到;
4.隱私政策等收集使用規(guī)則難以閱讀,如文字過小過密、顏色過淡、模糊不清,或未提供簡體中文版等。
二、以下行為可被認(rèn)定為“未明示收集使用個人信息的目的、方式和范圍”
1.未逐一列出App(包括委托的第三方或嵌入的第三方代碼、插件)收集使用個人信息的目的、方式、范圍等;
2.收集使用個人信息的目的、方式、范圍發(fā)生變化時,未以適當(dāng)方式通知用戶,適當(dāng)方式包括更新隱私政策等收集使用規(guī)則并提醒用戶閱讀等;
3.在申請打開可收集個人信息的權(quán)限,或申請收集用戶身份證號、銀行賬號、行蹤軌跡等個人敏感信息時,未同步告知用戶其目的,或者目的不明確、難以理解;
4.有關(guān)收集使用規(guī)則的內(nèi)容晦澀難懂、冗長繁瑣,用戶難以理解,如使用大量專業(yè)術(shù)語等。
三、以下行為可被認(rèn)定為“未經(jīng)用戶同意收集使用個人信息”
1.征得用戶同意前就開始收集個人信息或打開可收集個人信息的權(quán)限;
2.用戶明確表示不同意后,仍收集個人信息或打開可收集個人信息的權(quán)限,或頻繁征求用戶同意、干擾用戶正常使用;
3.實際收集的個人信息或打開的可收集個人信息權(quán)限超出用戶授權(quán)范圍;
4.以默認(rèn)選擇同意隱私政策等非明示方式征求用戶同意;
5.未經(jīng)用戶同意更改其設(shè)置的可收集個人信息權(quán)限狀態(tài),如App更新時自動將用戶設(shè)置的權(quán)限恢復(fù)到默認(rèn)狀態(tài);
6.利用用戶個人信息和算法定向推送信息,未提供非定向推送信息的選項;
7.以欺詐、誘騙等不正當(dāng)方式誤導(dǎo)用戶同意收集個人信息或打開可收集個人信息的權(quán)限,如故意欺瞞、掩飾收集使用個人信息的真實目的;
8.未向用戶提供撤回同意收集個人信息的途徑、方式;
9.違反其所聲明的收集使用規(guī)則,收集使用個人信息。
四、以下行為可被認(rèn)定為“違反必要原則,收集與其提供的服務(wù)無關(guān)的個人信息”
1.收集的個人信息類型或打開的可收集個人信息權(quán)限與現(xiàn)有業(yè)務(wù)功能無關(guān);
2.因用戶不同意收集非必要個人信息或打開非必要權(quán)限,拒絕提供業(yè)務(wù)功能;
3.App新增業(yè)務(wù)功能申請收集的個人信息超出用戶原有同意范圍,若用戶不同意,則拒絕提供原有業(yè)務(wù)功能,新增業(yè)務(wù)功能取代原有業(yè)務(wù)功能的除外;
4.收集個人信息的頻度等超出業(yè)務(wù)功能實際需要;
5.僅以改善服務(wù)質(zhì)量、提升用戶體驗、定向推送信息、研發(fā)新產(chǎn)品等為由,強(qiáng)制要求用戶同意收集個人信息;
6.要求用戶一次性同意打開多個可收集個人信息的權(quán)限,用戶不同意則無法使用。
五、以下行為可被認(rèn)定為“未經(jīng)同意向他人提供個人信息”
1.既未經(jīng)用戶同意,也未做匿名化處理,App客戶端直接向第三方提供個人信息,包括通過客戶端嵌入的第三方代碼、插件等方式向第三方提供個人信息;
2.既未經(jīng)用戶同意,也未做匿名化處理,數(shù)據(jù)傳輸至App后臺服務(wù)器后,向第三方提供其收集的個人信息;
3.App接入第三方應(yīng)用,未經(jīng)用戶同意,向第三方應(yīng)用提供個人信息。
六、以下行為可被認(rèn)定為“未按法律規(guī)定提供刪除或更正個人信息功能”或“未公布投訴、舉報方式等信息”
1.未提供有效的更正、刪除個人信息及注銷用戶賬號功能;
2.為更正、刪除個人信息或注銷用戶賬號設(shè)置不必要或不合理條件;
3.雖提供了更正、刪除個人信息及注銷用戶賬號功能,但未及時響應(yīng)用戶相應(yīng)操作,需人工處理的,未在承諾時限內(nèi)(承諾時限不得超過15個工作日,無承諾時限的,以15個工作日為限)完成核查和處理;
4.更正、刪除個人信息或注銷用戶賬號等用戶操作已執(zhí)行完畢,但App后臺并未完成的;
5.未建立并公布個人信息安全投訴、舉報渠道,或未在承諾時限內(nèi)(承諾時限不得超過15個工作日,無承諾時限的,以15個工作日為限)受理并處理的。
個人信息保護(hù)文件密集發(fā)布,執(zhí)行效力還待驗證
“個人信息安全保護(hù)趨于嚴(yán)格,但目前相關(guān)監(jiān)管方法草案偏多,具體到細(xì)化和落實執(zhí)行方面還有難度。”北京某消費金融公司風(fēng)控負(fù)責(zé)人告訴券商中國記者,上述《方法》明確了App違法違規(guī)收集使用個人信息行為的多種具體情形,最后一條要求App設(shè)置個人信息安全投訴、舉報渠道,針對不合理的信息收集行為,用戶可以直接向App投訴,但是,具體效力都還有待驗證。比如,個人用戶是否知悉自己的信息有被非法獲取?直接向App投訴,是否能有效維護(hù)自己的權(quán)益、甚至依法獲得對違法違規(guī)APP的懲罰性賠償?
今年下半年,伴隨著部分App涉嫌違規(guī)采集用戶個人信息的風(fēng)險事件頻頻引發(fā)市場關(guān)注,涉事的不僅僅是金融類App,甚至蔓延到整個互聯(lián)網(wǎng)行業(yè)。
今年12月6日,國家網(wǎng)絡(luò)安全通報中心稱,集中查處整改了100款違法違規(guī)App及其運營的互聯(lián)網(wǎng)企業(yè),光大銀行(4.38 -0.23%,診股)、天津銀行等的手機(jī)銀行,以及樊登讀書會、淘無憂、晉江小說等知名App在榜,主要違規(guī)事由即無隱私協(xié)議、收集使用個人信息范圍描述不清、超范圍采集個人信息和非必要采集個人信息等情形。
與之相應(yīng)的是監(jiān)管也出重拳,從2019年5月份以來,個人信息保護(hù)監(jiān)管方面文件密集發(fā)布。
券商中國記者注意到,今年5月份到8月份,監(jiān)管部門密集出臺了《數(shù)據(jù)安全管理辦法(征求意見稿)》、《App違法違規(guī)收集使用個人信息行為認(rèn)定方法(征求意見稿)》、《個人信息安全規(guī)范(征求意見稿)》、《信息安全技術(shù)、移動互聯(lián)網(wǎng)應(yīng)用(App)收集個人信息基本規(guī)范(草案)》等。而據(jù)官方初步統(tǒng)計,截至目前,我國共近40部法律,30余部法規(guī),200多個部門規(guī)章,涉及到個人信息保護(hù)問題已形成了多層次、多領(lǐng)域、內(nèi)容分散、體系龐雜的個人信息保護(hù)模式。
而在業(yè)內(nèi)人士看來,金融行業(yè)App關(guān)于信息使用的安全規(guī)范是一個漫長的多方博弈過程,需監(jiān)管方、各類App應(yīng)用商店運營者、App運營方及機(jī)構(gòu)多方參與治理。蘇寧金融研究院院長助理薛洪言告訴記者,盡管App違規(guī)收集用戶位置信息須嚴(yán)查嚴(yán)管,但從大環(huán)境的導(dǎo)向來看,監(jiān)管仍然鼓勵并重視在合規(guī)前提下的大數(shù)據(jù)行業(yè)發(fā)展。
關(guān)鍵詞: APP個人信息安全
