移动应用(App)的个人信息保护

Original 通力法评通力律师 2023-09-22

收录于合集

作者: 通力律师事务所 杨迅 | 杨蕾

中国正在经历一场数字化的经济革命。随着智能手机的普及和移动电子商务的蓬勃发展, 移动应用程序App, 包括微信上的小程序和公众号, 以及H5页面(俗称移动网站, 可以无缝与个人微信资料结合, 构建微信营销平台)逐渐成为企业经营者提升品牌形象和推广产品的重要工具。

同时, App上个人信息的监管要求也随之不断加强。国务院主管部门, 尤其是工信部、网信办, 展开多次大规模的, 针对APP的执法活动。

Practical Law 发表了笔者一篇关于APP个人信息保护的英文文章。本文是该文的中文摘要。需要中英文全文的, 请与通力市场部(marketing@llinkslaw.com)联系。

一

针对App个人信息保护合规的执法行动

自2016年《中华人民共和国网络安全法》(以下简称“《网安法》”)发布以来, 相关监管部门针对不符合个人信息保护要求的App展开了大量的执法行动, 数百个App因违反了个人信息保护要求, 被要求采取补救措施。

从程序上看, 监管部门通常会先预先发布本次的执法重点, 然后在随后的执法行动中针对执法重点开展执法。在一次或多次执法行动之后, 监管部门会总结之前的执法经验, 并发布针对违规行为的指导意见, 为之后的执法行动奠定基础。

从实质上看, 针对不合规App的执法重点日益深化和充实。

(一) 执法行动

2019年1月至2019年9月, 网信办、工信部、市场监管总局、公安部根据《关于开展App违法收集使用个人信息专项治理的违规公告》, 联合开展App专项整治。600多款App因不符合个人信息保护要求, 被责令整改。

其后, 工信部、网信办分别采取执法行动。虽然工信部和网信办在执法范围上存在很大的重叠, 但工信部侧重于App技术方面的合规, 而网信办侧重于信息收集方面的问题。公安部和市场监管总局也有相应的执法活动, 公安部重点关注相关App的安全等级, 市场监管总局重点关注消费者权益保护。

工信部自2019年12月以来一直在系统性地开展执法行动, 并定期报告不合规的App。截至2021年底, 工信部已发布19份执法报告。执法报告中不仅有不合规App的列表, 还包含了不合规App的信息、下载途径以及违规事实。以2021年9月23日的发布的第十九次执法报告为例, 工信部共通报了333款违反个人信息要求的App。这些不合规的App被要求限时一周内整改, 否则它们将面临进一步的行政处罚(例如, 从应用程序商店下架)。

网信办各地工作组也开展了多项执法行动并发布App违规通报。与工信部不同, 网信办按照应用功能对不合规App进行审核和通报。例如, 根据网信办2021年12月发布的《浙江关于闪修侠等87款App违法违规收集使用个人信息情况的通报》, 这87款App分别来自17个不同品类, 包括网上购物、网络游戏、即时通讯、餐饮外卖、本地生活等。

根据工信部和网信办发布的执法报告, 当发现某款App违反个人信息保护要求时, 将予以公示, 并要求其限期整改。虽然这些不合规的App没有立即下架, 但工信部和网信办采取的措施仍然会对App运营商产生影响, 因为监管部门给予的整改时间通常很短, 而且不合规名单的公布可能会损害运营商的声誉。

(二) 执法指导意见

在执法行动的同时, 网信办和工信部发布了多项对违规行为认定的指导意见。这些指导意见既规定了即将采取的执法行动的关注重点, 又列出了监管部门在过去执法行动中发现的常见问题。

2019年1月, 网信办、工信部、市场监管总局和公安部联合发布了《关于开展App违法违规收集使用个人信息专项治理的公告》, 宣布开始为期一年的执法行动, 并指出2019年执法行动中需要关注的重点事项。

然而, 2019年的这份公告仅针对那些明显不合规的行为, 并对不合规活动进行了概要描述。这次执法行动结束后, 工信部发布了《关于开展App侵害用户权益专项整治工作的通知》(以下简称“《专项整治通知》”), 为其后的执法(2019年10月31日至2019年12月20日)提供了指引, 并总结了之前执法中诸如违规收集用户个人信息等不合规行为。

在《专项整治通知》发布不久后, 网信办、工信部、市场监管总局、公安部于2019年11月又联合发布了《App违法违规收集使用个人信息行为认定方法》, 就App六类不合规行为的认定提供了更多、更具体的说明样本。

为充实该认定方法, 2020年国家标准委发布了《移动互联网应用程序(App)收集使用个人信息自评估指南》(以下简称“《自评估指南》”), 对上述六类不合规行为的认定标准进行了更具体的解释。

此外, 2020年7月, 工信部发布了《开展纵深推进App侵害用户权益专项整治行动的通知》(以下简称“《纵深行动通知》”),明确了工信部下一阶段将以下四个方面作为执法的重点领域: (1)App、SDK违规处理用户个人信息; (2)设置障碍、频繁骚扰用户; (3)欺骗误导用户; 以及(4)应用分发平台责任落实不到位。

2021年工信部发布的《关于开展信息通信服务感知提升行动的通知》(以下简称“《服务感知通知》”)就如何实施《个保法》下的一些个人信息保护规则提供了指导, 例如如何显示隐私政策、提醒收集敏感信息以及告知用户App已经收集到的个人信息基本情况。尽管工信部仅要求39家互联网大公司必须遵守2021《服务感知通知》, 但这些要求反映了监管部门对其他相关企业合规的期望。

(三) 执法重点

以往执法行动中发布的指导和执法报告表明, 相关监管部门一直在采取循序渐进的方式, 逐步深化执法重点。

(1) 隐私政策

大致从2016年《网安法》生效到2019年初, 执法行动侧重于隐私政策。特别是, 2017年7月网信办、工信部、公安部、国家标准委联合开展隐私条款专项工作, 对大型互联网公司的隐私政策进行审查、分析和完善, 以期将其作为其他互联网公司的示范。

在这个阶段, 监管部门还聘请了测试和研究机构来检测市场上的App, 并根据这些机构发布的调查报告, 敦促不合规的App运营商进行整改。南都个人信息保护研究中心(PIPRC)于2018年12月25日发布的一份报告显示, 在1000个App中, 70%的App没有满足2016年《网安法》的隐私政策的要求, 21%的App根本没有隐私政策。

(2) 个人信息范围和用户同意

第一阶段执法后, 市场上的大部分App都配备了隐私声明, 并且大部分通知都包含个人信息保护法所要求的必要信息。

监管部门随后在第二阶段将审查范围扩大到App运营商收集个人信息的方式。与此同时, 相关监管部门也逐渐研究App运营商寻求用户同意的方式。特别是, 监管部门审查了App运营商是否强迫用户同意。在2019年和2020年初工信部发布的报告中, 除了收集超出允许范围的个人信息外, 未征得用户明确同意是一个普遍存在的不合规问题。

(3) 技术设计

2021年, 在网信办持续研究个人信息收集范围的同时, 工信部进一步将重点扩展到App的技术设计。工信部2021年执法报告中, 有不少App被查出违反个人信息保护要求。因此, App的合规工作不应再局限于审查纸质法律文件, 还应包括对App设计的审查。

(4) 用户体验

随着2021《个保法》的生效, 根据2021《服务感知通知》, 最新的执法重点似乎已转移到用户体验上。

二

遵守个人信息保护法规的关键要求

中国对App中的个人信息保护有一套全面的要求。尽管重点领域逐渐深化, 执法力度越来越强, 但现阶段, 以下七点是App运营商应注意的重点执法领域。

(一) 显示隐私的方式

显示在应用程序内: 通常的做法是在用户首次登录App时弹出隐私通知。
易于访问: 用户在注册和使用App时应该能够查看隐私声明。
易于阅读和理解: 格式方面, 以与App的主要内容相同或相似的方式显示隐私声明; 语言方面, 对法律和技术术语有相应的解释并以简体中文显示。
显示隐私声明摘要: 2021《服务感知通知》要求39个热门App除了隐私声明本身, 还要求显示其隐私声明的摘要。

(二) 收集信息的范围: 最小必要原则

个人信息对于合同目的的实现具有不可替代性。
敏感个人信息不能被非敏感信息所替代。
《常见类型移动互联网应用程序必要个人信息范围》规定了允许39类常见类型App的必要个人信息范围, 为最低必要性标准提供了参考。

(三) 表明数据主体同意的方式

同意必须是明确且自愿的。
以下两种类型通常被认为是不明确或不自愿的同意:

1. 默认同意: 《个保法》第14条要求数据主体明确同意。

2. 捆绑同意: 如果一个App具有多个功能, 并且每个功能都需要收集不同类型的个人信息, 则该App必须分别征得同意才能分别收集这些不同类型的个人信息。

(四) 获取权限的方式

尚没有法规对获取权限的方式有专门规定。
根据以往的执法指导和执法案例, 以下行为是不合规的:

1. 在未通知用户或征得用户同意的情况下激活功能或访问App模块。

2. 请求打开App功能不必要的权限。

3. 在用户激活需要开启某项权限的功能之前获取权限。

4. 请求权限过于频繁, 影响App的正常使用。

(五) 个人信息共享的通知

实践中, 为满足《纵深行动通知》的要求, 嵌入SDK的App的隐私声明通常包含一个表格, 显示App中使用的所有SDK、SDK开发者的名称、SDK的功能、SDK收集的个人信息、以及这些SDK隐私声明的超链接。
《服务感知通知》要求建立双清单制度。即, App的隐私政策必须明确:

1. 其收集的个人信息(包括内嵌第三方软件工具开发包SDK)

2. 其传递给第三方的信息(包括 SDK 发出的信息)

(六) 个性化显示和消息推送

隐私声明应包含用户同意接收商业营销(若有)和明确列出其为个性化展示而收集的信息(若有)。
当App根据用户的习惯或其他个人信息显示商品和其他展示时, 它应该提供替代选项(例如按价格或字母显示), 以便用户选择不基于他们的习惯或其他个人信息展示商品或服务。

(七) 沟通渠道

App运营商应维护用户可以复制和更新的个人资料页面, 并显示App收集的用户个人信息。
App的注销页面应易于查找。用户的个人信息应在注销后从日常商业运营的数据库中删除。
App应提供可专门用来处理用户个人信息问题的在线热线或电子邮件地址。

三

合规建议

App不仅是电子商务企业的平台, 也是企业拉近客户的最重要工具之一。自2016年《网安法》生效以来, App一直是个人信息保护执法的主要目标。随着2021年《个保法》生效, App可能会继续成为个人信息保护执法的重点。在政府对企业个人信息保护要求日益严苛的当下, 合规审查对于降低App不合规的风险非常重要。

作者:

杨迅合伙人

+86 152 2182 2373

+86 21 3135 8799

xun.yang@llinkslaw.com

点击长按识别左侧二维码查看作者介绍

杨蕾

往期分享