首页 / 文章发布 / 君合法评 / 君合法评详情

四部委加强App个人信息收集使用治理

2019.03.29 董潇 袁琼 董俊杰

2019年1月25日,中央网信办、工信部、公安部与市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,拟针对目前App收集与使用个人信息的乱象,开展为期一年的专项治理。据此,全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立App违法违规收集使用个人信息专项治理工作组(以下简称“工作组”),工作组于2019年3月1日编制发布了《App违法违规收集使用个人信息自评估指南》(以下简称“《指南》”)。


一、评估重点


《指南》主要用于App运营者对收集与使用个人信息进行自查自纠,分别从隐私政策文本、App收集使用个人信息行为、App运营者对用户权利的保障三个方面提出了9大评估事项共计32个评估点。《指南》中的要求主要参照《网络安全法》、《消费者权益保护法》、《信息安全技术 个人信息安全规范》(GB/T 35273-2017,于2018年5月1日实施,以下简称“《信安规范》”),以及于今年1月30日发布征求意见的新修订的《信息安全技术 个人信息安全规范(草案)》(以下简称“新《信安规范》(草案)”)。从整体来看,《指南》提出的要求更加严格和细致,其中有多项要求系首次提出,其中重点梳理如下:


1、隐私政策需清晰说明各项业务功能及其所收集个人信息类型


《指南》最值得注意的要求在于强调、细化和明确了“必要性”原则,对App提供多项功能、多项功能分别要求用户提供不同类型的个人信息的情况,《指南》明确提出隐私政策中应当将收集个人信息的业务功能逐项列举,每个业务功能在说明其所收集的个人信息类型时,应在隐私政策中逐项列举,不得使用“等、例如”等方式概括说明;并且,每个业务功能都应说明其对应的收集的个人信息类型,不应出现多个业务功能对应一类个人信息的情况。这种“穷尽式”的列举要求在实践中可能给App运营者带来很大的挑战和实操难度。


2、App使用系统权限应说明该权限将收集个人信息的目的


《指南》要求当App打开系统权限时(不包括用户自行在系统设置中打开权限的情况),App应当说明该权限将收集个人信息的目的。


《指南》还要求App运营者不应通过捆绑多项业务功能的方式,要求用户一次性接受并授权同意多项业务功能收集个人信息的请求。


3、隐私政策需明示用户画像与个性化展示的使用


《指南》要求,如果App运营者将个人信息用于用户画像、个性化展示等,隐私政策中应说明其应用场景和可能对用户产生的影响。 我们注意到,与之相关的,新《信安规范》(草案)对个性化展示的退出机制进行了规定:在向个人信息主体推送新闻或信息服务的过程中使用个性化展示的,应为个人信息主体提供简单直观的退出个性化展示模式的选项;在向个人信息主体提供业务功能的过程中使用个性化展示的,当个人信息主体选择退出个性化展示模式时,应向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。


4、隐私政策里个人敏感信息类型与个人数据出境情况需显著标识


《指南》要求,隐私政策里涉及个人敏感信息及个人信息出境的情况均需显著标识,可采用字体加粗、标星号、下划线、斜体、颜色等方式,提醒用户高度关注。其中,在收集个人敏感信息时,App应以弹窗提示等显著方式向用户明示收集、使用个人信息的目的、方式、范围。


5、App需提供用户注销账号的权利


《指南》不仅要求App运营者在隐私政策里对用户注销账户的操作方法进行明确的说明,同时要求App应提供注销账号的途径(如在线功能界面、客服电话等),并在用户注销账号后,及时删除其个人信息或进行匿名化处理。


6、嵌入第三方代码插件收集个人信息


《指南》要求,如果通过嵌入第三方代码、插件等方式将个人信息传输至第三方服务器,应通过弹窗提示等方式明确告知用户。根据《信安规范》,个人信息控制者在提供产品或服务的过程中部署了收集个人信息的第三方插件,且该第三方并未单独向个人信息主体征得收集、使用个人信息的授权同意,则个人信息控制者与该第三方为共同个人信息控制者,并应履行向个人信息主体明确告知的义务。《指南》该项要求也体现了上述规定的精神。


7、被明确拒绝后不得继续索要权限、打扰用户


《指南》提出,对用户明确拒绝使用、关闭或退出的特定业务功能,App不应再次询问用户是否打开该业务功能或相关系统权限。新《信安规范》(草案)规定,若个人信息主体不同意使用、关闭或退出特定业务功能,个人信息控制者不得频繁征求个人信息主体的同意。《指南》明确提出了更高的要求,即“不应”再次询问用户是否打开相应权限。


除了上述要点之外,《指南》还提出了隐私政策需单独成文并易于阅读、容易访问(从App主功能界面通过4次以内的点击应当能访问到隐私政策)、隐私政策应列明App运营者基本情况(包括名称、注册地址、负责人联系方式)、不得设不合理条款、App应提供查询、更正、删除个人信息的途径等要求。


二、我们的观察


《指南》细化了《网络安全法》、《信安规范》的要求,并提出了一些相对法律法规的原则性要求更加细致和严格的评估标准,按照《指南》的标准,目前很多App在实践之中可能并未能达到《指南》的具体要求。


目前,工作组建议App运营者参照《指南》对其收集使用个人信息的情况进行自查自纠,主动提升个人信息保护水平。但实践中尚未看到有明确的根据《指南》的处罚案例。

君合是两大国际律师协作组织Lex MundiMultilaw中唯一的中国律师事务所成员,同时还与亚欧主要国家最优秀的一些律师事务所建立Best Friends协作伙伴关系。通过这些协作组织和伙伴,我们的优质服务得以延伸至几乎世界每一个角落。