2020年APP个人信息治理工作启动,你需要关注的APP自评估指南的主要变化
作者:陈际红 吴佳蔚 王梦迪
一、2020年APP个人信息治理工作启动,新版APP自评估指南发布
2020年7月22日,中央网信办、工业和信息化部、公安部、国家市场监管总局四部门在京召开会议,启动2020年App违法违规收集使用个人信息治理工作。7月25日,全国信息安全标准化技术委员会发布《网络安全标准实践指南——移动互联网应用程序(APP)收集使用个人信息自评估指南》(以下简称“《评估指南》”)。该《评估指南》是一系列APP专项治理工作组制定的规范指引的延续,以《APP违法违规收集使用个人信息行为认定方法》(以下简称“《认定方法》”)和《个人信息安全规范》(以下简称“《规范》”)等相关国家标准为基准,结合检测评估的经验,归纳总结了APP收集使用个人信息的六个评估点,对2019年3月份发布的《APP违法违规收集使用个人信息自评估指南》(以下简称“《APP自评估指南》”)进行了充分调整。
在整体结构上,《评估指南》与《认定方法》保持一致,基本按照个人信息保护生命周期的逻辑,主要针对个人信息收集使用、共享以及用户权益保障方面的问题明确评估要点。在整体内容上,相较于原《APP自评估指南》,《评估指南》采用具体示例和系列规范规定作为注引,要求更加细致明确,同时体现了数字经济发展的趋势,对引发社会关注的重点问题和相关要求作出回应,更具实操性。
二、《评估指南》变化要点评析
较之2019年3月的《APP自评估指南》,《评估指南》对评估要点和内容作出相应调整,以下将结合二者的重点变化以及相关规范及标准的规定对《评估指南》中体现的监管趋势进行重点解读。
(一)评估点一:是否公开收集使用个人信息的规则
序号 | 主题 | 主要变化 | 评析和建议 |
1. | 关注APP涉及儿童个人信息的收集使用行为 | 《评估指南》第1.1条d)项新增“收集使用儿童个人信息时,应制定针对儿童个人信息保护规则”的要求。 | - 由于新冠疫情的影响,多数大中小学生的学习方式调整为线上授课,教育类APP的种类和使用频率激增,在工信部公布的2020年第二批侵害用户权益行为的15款APP中,在线教育类APP占比超过一半。 -《评估指南》中该新增点不仅回应了上述实务热点,还体现了《儿童个人信息网络保护规定》的要求,从事教育行业、游戏行业等涉及儿童个人信息处理的企业应特别注意,明确制定针对儿童的个人信息保护规则。 |
2. | 明确隐私政策访问要求 | 《评估指南》第1.3条b)项对隐私政策访问提出要求:尽可能在界面的固定路径下展示隐私政策,并在“注”中举例列明了具体方式,要求首次展示时说明查找隐私政策的方法,不宜频繁变更。 | 企业设置隐私政策,应注意满足该要求,结合行业实践,尊重用户习惯,明确说明访问路径便利用户查找访问,并且保持路径稳定性。 |
3. | 强调业务功能是否涉及用户画像、个性化展示的区分说明 | 《评估指南》第1.5条e)项的“注”中新增“部分业务功能不涉及用户画像、个性化展示,可在规则中明确说明”。 | 鉴于用户画像、个性化展示涉及个人信息的深度利用,对个人权益影响较大,此处新增点体现了《规范》和《认定方法》的要求,企业在APP隐私政策中,针对各业务功能是否涉及个性化展示、用户画像的部分需要清晰明确地一一对应阐述。 |
(二)评估点二:是否明示收集使用个人信息的目的、方式和范围
序号 | 主题 | 主要变化 | 评析和建议 |
1. | 明确区分Cookie等同类技术与第三方代码、插件收集个人信息时应明示的内容 | 《评估指南》第2.1条b)、c)项分别明确了APP自身使用Cookie等同类技术与APP涉及第三方代码、插件收集个人信息时应明示的信息。 | - 2020年7月16日央视播出的“3·15”晚会中报道了SDK违规收集用户个人信息的问题。工信部对此作出回应,要求国内的主要应用商店针对违规收集用户个人信息的SDK进行“地毯式”排查,同时要求APP运营开发者进行自查自纠。 - 前述变化与近期社会热点和监管趋势相契合,对SDK的监管呈现采取严格和常态化的趋势。因此相关企业在个人信息收集和使用中涉及SDK或者cookie等相关技术的,应在《隐私政策》中对相关细节(包括但不限于第三方代码、插件的类型、名称,及收集个人信息的目的、类型、方式)作出明确说明。 |
2. | 细化对申请打开可收集个人信息权限、收集个人敏感信息目的的明示告知要求 | 《评估指南》第2.3条a)、b)项中明确了申请打开可收集个人信息权限、收集个人敏感信息时,应将其目的“同步告知”用户,目的描述应明确、易懂。同时在“注”以示例明确“显著告知”的方式。 | 该条款的变化进一步强调涉及申请打开可收集个人信息权限、收集个人敏感信息时,目的的告知不应仅限于通过《隐私政策》完成,而是在具体场景涉及该两项行为时同步通过弹窗提示、用途描述等方式对目的进行告知,保证明确、易懂。企业应注意在APP开发、更新时体现上述要求,实现明示同意。 |
(三)评估点三:是否征得同意后才收集使用个人信息
序号 | 主题 | 主要变化 | 评析和建议 |
1. | 进一步强调征得用户同意的自主性 | -《评估指南》第3.1条a)项强调向用户提供“自主作出”同意或不同意的选项,替代了《APP自评估指南》中“主动选择”的表述,并通过示例对“不同意”的具体实现方式予以明示。 -《评估指南》第3.1条b)项的示例中援引《规范》第5.4节的内容,从而涵盖了包括区分不同业务功能、收集个人敏感信息以及个人生物识别信息等征得用户同意的情形。 | - 实践中,部分APP存在征得用户同意与进行“下一步”或使用相关功能相捆绑的情形,该条款的调整强调了用户的自主性,通过提供具体示例的方式强调实质性效果。 - 企业在收集使用个人信息过程中,应注意保障用户关于授权同意的自主性,同时注意结合业务功能特点以及数据性质等因素,切实满足《规范》中涉及授权同意部分的要求,通过“退出”“取消”“上一步”“关闭”的按钮等方式实现用户说不的权利。 |
2. | 强调“注册”“登录”等动作与“同意隐私政策”间的逻辑关系 | 《评估指南》第3.5条b)项要求在通过设置“下一步”“注册”“登录即代表同意”等方式征求用户同意时,除应以显著方式展示隐私政策等收集使用规则外,还需要明确执行上述动作与同意隐私政策间的逻辑关系,达到主动提醒用户主动阅读隐私政策后征求用户同意的效果。 | - 在实践中,存在APP注册或登录界面中显示“登录即代表同意”而不主动提醒用户阅读隐私政策的情形。此处调整强调了征得用户同意的步骤和实质效果,督促APP运营方保障实现用户阅读隐私政策后再行同意的效果。 - 企业在用户首次使用APP时,应明确“注册”“登录”等行为与同意隐私政策之间的关系,避免出现“注册即同意”“登录即同意”而未主动提醒用户阅读隐私政策的情形。 |
3. | 明确撤回同意对业务功能提供的影响并明确例外情形 | 《评估指南》第3.9条b)项考虑到实践中各项业务功能的联系,对用户撤回同意后暂停相关功能的例外情形做出规定。如用户拒绝或撤回特定功能收集个人信息的同意时,除非用户拒绝或撤回的个人信息是其他业务功能所必须,否则不暂停其他业务功能,或降低其他功能的服务质量。 | - 该条款全面考虑了某些业务功能之间的关联:即若用户撤回同意或拒绝特定业务功能收集个人信息,该部分个人信息又是其他功能所必须,则该情形下可以暂停其他业务功能;若不是其他功能所必须,则其他功能不应受到影响。 - 企业应注意明确用户撤回同意与有关业务功能提供之间的关系,梳理各业务功能间的关联性,明确哪些个人信息可能会涉及多个业务功能的必要正常使用,在用户撤回对某项业务功能收集个人信息的同意时告知用户其他相关联业务功能的情况。 |
(四)评估点四:是否遵循必要原则,仅收集与其提供的服务相关的个人信息
序号 | 主题 | 主要变化 | 评析和建议 |
1. | 明确浏览功能的独立性 | 《评估指南》第4.2条c)项规定,如提供无需注册即可使用的服务模式(如仅浏览、游客模式),当用户拒绝同意该类服务模式以外的个人信息收集行为时,不影响其使用仅浏览等功能。 | - 该条款结合APP实践,对提供“无需注册即可使用”服务模式的APP中关于个人信息收集的必要性予以明确。 - 企业若提供仅浏览或游客模式等无需注册即可使用的服务模式,则应在实现该模式下具体功能的必要范围内收集用户个人信息,若用户拒绝提供该模式之外的个人信息,不得对用户使用仅浏览服务设置障碍或予以拒绝。 |
2. | 禁止强制要求授权或一揽子授权 | -《评估指南》第4.3条c)项中禁止仅以“改善服务质量、提升使用体验、研发新产品、定向推送信息、增强安全性”为由,强制要求个人信息主体同意收集个人信息。 -《评估指南》第4.3条d)项中禁止“以捆绑方式强制要求用户一次性同意打开多个可收集个人信息权限”,并在“注”中举例。 | - 该条款融入了《认定方法》中关于禁止仅以安全等扩展业务功能为由强制要求同意的规定,以安卓系统的具体实践为例,明确了捆绑授权的情形的具体情形。 - 企业在《隐私政策》中应注意征得用户同意时相关语言表述的准确性,将业务场景与收集个人信息的类型、目的、方式等予以明确,避免出现类似“我们将基于改善服务质量、提升使用体验等目的而收集您的个人信息”的概括表述,强调不仅以该等目的收集用户信息,并且在权限设置等方面杜绝实质意义上的捆绑收集行为。 |
3. | 细化收集频度最小必要的规定 | 《评估指南》第4.4条b)、c)规定APP后台运行或者未运行时和接入第三方应用时的收集频度要求,不应超出功能所需范围私自收集或者截留。 | 该条款要求企业在APP并未明确启动以及涉及第三方接入等用户较难感知的特殊场景下控制收集频率,降低违反必要性私自超频收集用户数据的可能性,特别是对于收集用户地理位置的APP而言,如果收集频率超过一定限度,即有可能追踪用户的行踪轨迹,合规风险较高。 |
(五)评估点五:是否经用户同意后才向他人提供个人信息
序号 | 主题 | 主要变化 | 评析和建议 |
1. | 区分向他人提供个人信息的不同情形并强调征得用户同意 | 《评估指南》第5.1条a)、b)项中区分了“直接向第三方发送个人信息”与“将个人信息传输至服务器”的情形,并强调在不同场景下的征得用户同意的要求。 | 该条款体现了不同情形下提供用户个人信息给第三方的特点,实际上与《规范》中涉及的“委托处理”、“共同控制”和“共享”的情况相呼应,企业应结合具体场景和风险程度确定双方构成的具体关系,采取与风险相适应的方式获得用户的同意,在隐私政策中明示仅为最基本的要求。 |
2. | 细化接入第三方应用提供个人信息的要求 | -《评估指南》第5.2条a)项中要求APP在接入第三方应用并向其提供个人信息前,应征得用户的同意并需进行匿名化处理。 -《评估指南》第5.2条b)项中明确了APP运营方对接入的第三方应用收集个人信息的合法、正当、必要性的审核义务。 | - 该条款实际上与《规范》中规定的“第三方接入”一脉相承,对用户就向该等相对独立的第三方应用提供个人信息的同意获取方式进行了细化。该条款与第5.1条最大的区别为,第5.1条所涉同意有可能是由APP本身获取,而第5.2条所涉同意则需由第三方获取。在APP接入第三方应用时,APP需明确提示用户该服务由第三方应用提供。 - 相关APP运营方在接入第三方应用时,应注意履行管理义务,对接入的第三方应用收集个人信息的合法、正当、必要性的进行审核,对第三方提供服务的情况进行标识,并提醒用户关注第三方应用收集个人信息规则。 |
(六)其他变化
序号 | 主题 | 评析和建议 |
1. | 调整通知或投诉方式,顺应互联网发展趋势 | 较之《APP自评估指南》,《评估指南》第1.5条j)项中投诉、举报的渠道删除了“传真”,增加了“即时通信账号”;《评估指南》第2.2条a)项在隐私政策更新后的通知方式中,删除了“信函”、“电话”的方式,增加了“弹窗”、“红点提示”的方式。随着互联网的发展,通讯方式及提示注意的方式不断变化和更新,因此,上述条款中的调整顺应了互联网发展潮流,使得通知或提示注意的方式更加便捷高效。 |
2. | 明确区分“收集个人信息”与“打开可收集个人信息权限”,体现APP信息处理行为特征 | 在《评估指南》第2.3条、第3.1条、第3.2条、第3.3条、第3.4条、第3.6条、第4.1条、第4.2条中对“收集个人信息”与“打开可收集个人信息权限”作出明确区分规定。通过规范权限管理控制APP收集使用个人信息的行为,体现了APP处理个人信息的行为特征,便于监管机构及应用商店可对APP中的相关权限获取情况进行监管与管理。 |
3. | 多个新增条款直接对标《认定方法》,细化违法违规行为实践认定要求 | 《评估指南》全文整体结构和内容均体现《认定方法》的精神,第3.2条、第3.7条、第3.8条、第3.10条的规定直接对应《认定方法》相关规定,对征得用户同意的相关要求予以明确,切实回应实践中存在的未获取授权而收集用户个人信息、以欺诈诱骗等不当方式误导用户同意收集个人信息或打开可收集个人信息的权限等问题。 |
三、企业应做好的应对建议
《评估指南》的上述调整体现出以下特点:
(一) APP专项治理工作组对各类APP的执法与监管呈现常态化趋势,相关审查要求的技术性以及实操性愈加明显;
(二) 顺应数字经济的发展趋势,关注新业态的发展,并对出现的新问题作出适应性调整;
(三) 相关指导文件与自评估文件之间的关联性加强,呈现出一脉相承、交叉融合的特点,相较其他文件,《评估指南》对于实践中具体示例的引用贴近实际,给予运营者明确指导。
结合四部委于7月22日召开的2020年APP违法违规收集使用个人信息专项治理工作启动会的精神,我们建议企业结合《评估指南》进行以下自查整改,以更好地应对新一轮监管行动:
(一) 根据自身的用户规模、收集信息类型、收集使用信息对于用户权益产生的影响、涉及第三方数据交互、用户投诉的情况,参考前一阶段受到处罚的APP情况,对应《评估指南》进行合规自评估,对《认定方法》明确的监管机构关注的高危问题及时进行调整;
(二) 排查自身的APP、小程序、SDK等产品是否存在面部特征等生物识别信息收集不规范、APP后台自启动以及关联启动、私自调用权限上传个人信息、录音、拍照、通话记录、短信记录等敏感权限滥用等社会反映强烈的重点问题,并及时进行整改;
(三) 持续关注APP专项治理工作组关于SDK、手机操作系统个人信息安全评估要点以及相关应用商店审核管理指南的制订动向,结合自身的业务特征,采取合理的第三方数据合规管理及风险控制措施,促进上下游数据合规生态的整体建设,切实降低法律风险;
(四) 积极参与安全认证工作,获取认证标识,持续配合认证跟踪,昭示合规能力。
The End
作者简介
陈际红 律师
北京办公室 合伙人
业务领域:知识产权, 反垄断与竞争法, 科技、电信与互联网
吴佳蔚 律师
北京办公室 知识产权部
王梦迪
北京办公室 知识产权部
作者往期文章推荐:
《<数据安全法(草案)>观察:构建我国基础性数据安全制度的开端》
《App数据收集划定红线:<App违法违规收集使用个人信息行为认定方法>解析》
《他山之石:EDPB<关于GDPR第25条设计和默认的数据保护指南>解读(下)》
《他山之石:EDPB<关于GDPR第25条设计和默认的数据保护指南>解读(上)》
《打造中国版的SCC | <个人信息出境安全评估办法(征求意见稿)>评析》
《国家安全更聚焦 |<网络安全审查办法(征求意见稿)>出新招》
《儿童个人信息保护新规出台,与COPPA的明示同意区别有哪些?》
《小数据安全法出台 |<数据安全管理办法(征求意见稿)>解析》
《App监管再加码:<App违法违规收集使用个人信息行为认定方法(征求意见稿)>公布》
《管理措施和技术措施的平衡:<互联网个人信息安全保护指南>》
《实施半年后再修订:<信息安全技术个人信息安全规范>应时而变》
《致敬数据合规元年 | 表析<网络安全法>配套法律法规和规范性文件》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。