鑒于不少App存在侵害用戶隱私�、權限濫用等諸多問題,2019年伊始���,工信部���、網(wǎng)信辦、公安部���、市場監(jiān)管總局四部門聯(lián)合發(fā)布了《關于開展App違法違規(guī)收集使用個人信息專項治理的公告》�。2019年1月至12月,在全國范圍內(nèi)組織開展了App違法違規(guī)收集使用個人信息專項治理工作。全年共檢測App多達460萬個�,下架處置了違法違規(guī)App3.1萬個���,集中核查了相關App線索3000余條�����,抓獲814人����。
近日�,工信部、網(wǎng)信辦�、公安部、市場監(jiān)管總局四部委聯(lián)合制定并公開發(fā)布了《App違法違規(guī)收集使用個人信息行為認定方法》(下稱《認定方法》)�����,為認定App違法違規(guī)收集使用個人信息行為提供參考,為App運營者自查自糾和網(wǎng)民社會監(jiān)督提供指引���,深入落實了《網(wǎng)絡安全法》等法律法規(guī)����。“一參考���、一指引�����、一落實”奠基了《認定方法》在認定App違法違規(guī)收集使用個人信息行為方面的重要影響力��。據(jù)悉�,2020年App安全認證工作將依托《認定方法》全面鋪開�����。
《認定方法》共分為6項認定準則�����,包含31種場景,App運營者只有對照本方法及時��、有效地自查自糾�����,才能減少或者避免被認定為違法違規(guī)收集使用個人信息行為�����,才能充分經(jīng)受起相關部門���、社會公眾的共同監(jiān)督。
第一�����,“未公開收集使用規(guī)則”�����。該項相較于征求意見稿�����,一是明確了App應有易于閱讀的隱私政策,不僅強調(diào)要有���,還要注重內(nèi)容的易讀性����,同時隱私政策中要明示收集使用個人信息的規(guī)則����。二是將明顯提示用戶閱讀隱私政策等收集使用規(guī)則的時間點,固定在了App首次運行時���,提示方式建議采取彈窗方式�,在彈窗內(nèi)展示內(nèi)容摘要并放置隱私政策全文鏈接����。三是著重強調(diào)了隱私政策要易于訪問,若進入App主界面后�����,需多于4次點擊等操作才能訪問����,則可被認定為“未公開收集使用規(guī)則”��。
第二����,“未明示收集使用個人信息的目的�、方式和范圍”。該項認定方法直擊SDK隱瞞收集個人信息的隱私安全問題��,相較于征求意見稿����,明確了逐項列舉的要求不僅適用于App自身收集使用個人信息的目的�����、方式和范圍�,亦適用于App嵌入的第三方代碼、插件��。同時為體現(xiàn)對個人敏感信息保護的突出性�,要求每次在需要用戶提供個人敏感信息時,應同步告知用戶其目的���,在收集個人敏感信息時�,提出更加嚴格、更加具體的要求����。但本項中的第二條(收集使用個人信息的目的、方式����、范圍發(fā)生變化時,未以適當方式通知用戶����,適當方式包括更新隱私政策等收集使用規(guī)則并提醒用戶閱讀等),筆者認為其中存在值得思量的地方�����,若App運營者隨著自身需要隨意改造隱私政策內(nèi)容����,通過適當方式告知用戶(例如進入首頁時使用彈窗提示,實踐中這種提示用戶關注度是很小的����,用戶往往會直接選擇關閉彈窗),那么該如何鑒定此類現(xiàn)象����?
第三���,“未經(jīng)用戶同意收集使用個人信息”。該項認定方法明確了運營者要合法合規(guī)收集使用個人信息�,不得在未取得用戶授權的前提下收集用戶個人信息;不得違反用戶意愿收集個人信息�;不得頻繁彈窗、干擾使用����;不得超出授權范圍收集個人信息;不得以默認選擇同意隱私政策等非明示方式征求用戶同意��;不得未經(jīng)用戶同意私自更改用戶權限設置�����;不得故意欺瞞�����、掩飾收集使用個人信息����;定向推送時,要提供非定向推送信息的選項�;需向用戶提供撤回同意的途徑和方式;此外����,運營者還要“知行合一”,不得違反其所聲明的收集使用規(guī)則����。經(jīng)過用戶同意收集使用個人信息,以及明確收集使用規(guī)則��,不僅是為了告知用戶��,更是為了提升運營者的行業(yè)規(guī)范���。
第四���,“違反必要原則,收集與其提供的服務無關的個人信息”���。該項直指App過度索取權限�����、越界獲取個人信息等問題��,一是強調(diào)實際收集的個人信息類型及索取的權限要與現(xiàn)有業(yè)務功能逐項對應��,并且與現(xiàn)有業(yè)務功能直接相關����。二是明確不得因用戶拒絕提供非必要個人信息或打開非必要權限,而拒絕提供業(yè)務功能�,甚至變相強迫用戶同意收集非必要個人信息或打開非必要權限的行為。三是規(guī)范收集使用個人信息�����,需要符合必要性原則的基本要求�����,不得超范圍����、超頻率采集����,或者一次性打開多個可收集個人信息的權限�����。
第五�����,“未經(jīng)同意向他人提供個人信息”��。該項為對外提供個人信息的合法性給出了指引���,一是明確App客戶端向第三方提供個人信息應征得同意或匿名化處理。二是規(guī)范數(shù)據(jù)傳輸至App服務器后���,對外提供個人信息的合法性���。三是確保App接入第三方應用提供個人信息應征得用戶同意??梢钥闯觯皟牲c對外提供經(jīng)過匿名化處理無法識別特定個人且不能復原的�����,無需獲得用戶的同意,但接入第三方應用提供個人信息必須得到用戶的授權同意�����。
第六�,“未按法律規(guī)定提供刪除或更正個人信息功能”或“未公布投訴、舉報方式等信息”��。該項著重強調(diào)為用戶提供注銷權����,保障用戶的行使權和投訴權。一是明確應提供刪除或更正個人信息和注銷賬號功能�。二是不應設置不必要或不合理條件,妨礙用戶行駛權利���。三是保障App后臺操作應與用戶操作保持一致��,不得欺騙���、誤導用戶,讓用戶誤以為已經(jīng)完成刪除�����、注銷等操作���。四是明確建立�����、公布投訴和舉報渠道�����,并在承諾時限內(nèi)對用戶權利要求進行及時響應���,最長承諾時限不得超過15個工作日。
《認定辦法》作為大數(shù)據(jù)時代我國第一部App個人信息保護規(guī)范指引��,完善了征求意見稿諸多細節(jié)規(guī)定����,更加具體地細化了App收集個人信息行為認定方法,并給了用戶更多的知情權����、選擇權、注銷權���、投訴權等規(guī)定���,提高了嚴謹性和可執(zhí)行性��,為違規(guī)收集使用個人信息提供最根本的參考依據(jù)���。雖然App運營者在收集使用用戶個人信息時,多了相對明確的限制�,但也多了相對明確的合規(guī)指引。當然�����,App個人信息保護的規(guī)范工作仍在不斷探索����,希望政府部門、App運營者����、行業(yè)組織、社會公眾等繼續(xù)攜手共治���,共同構建安全有序的網(wǎng)絡生態(tài)環(huán)境���。(賽迪智庫網(wǎng)絡安全研究所)
轉自:中國電子報
【版權及免責聲明】凡本網(wǎng)所屬版權作品,轉載時須獲得授權并注明來源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”��,違者本網(wǎng)將保留追究其相關法律責任的權力�����。凡轉載文章及企業(yè)宣傳資訊��,僅代表作者個人觀點����,不代表本網(wǎng)觀點和立場。版權事宜請聯(lián)系:010-65363056�����。
延伸閱讀
