《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》正式出爐。
12月30日,中國網(wǎng)信網(wǎng)公布了關(guān)于印發(fā)《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》(簡稱:《方法》)的通知。
通知顯示,根據(jù)《關(guān)于開展App違法違規(guī)收集使用個人信息專項治理的公告》,為認(rèn)定App違法違規(guī)收集使用個人信息行為提供參考,落實《網(wǎng)絡(luò)安全法》等法律法規(guī),國家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、市場監(jiān)管總局聯(lián)合制定了《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》。
此次正式發(fā)布的《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》有六個要點,分別詳細(xì)介紹了可被認(rèn)定為“未公開收集使用規(guī)則”的行為,可被認(rèn)定為“未明示收集使用個人信息的目的、方式和范圍”的行為,可被認(rèn)定為“未經(jīng)用戶同意收集使用個人信息”的行為,可被認(rèn)定為“違反必要原則,收集與其提供的服務(wù)無關(guān)的個人信息”的行為,可被認(rèn)定為“未經(jīng)同意向他人提供個人信息”的行為,以及可被認(rèn)定為“未按法律規(guī)定提供刪除或更正個人信息功能”或“未公布投訴、舉報方式等信息”的行為。
大成律師事務(wù)所高級合伙人鄧志松告訴澎湃新聞()記者,《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》系《網(wǎng)絡(luò)安全法》框架下針對目前廣泛應(yīng)用的App的個人信息保護(hù)配套性規(guī)章,違規(guī)者將面臨《網(wǎng)絡(luò)安全法》項下的法律責(zé)任。
《方法》在通知介紹,稱是為了“落實《網(wǎng)絡(luò)安全法》等法律法規(guī)”,其列舉的六個條款也分別對應(yīng)《網(wǎng)絡(luò)安全法》第41條、第42條、第43條和第49條的相關(guān)規(guī)定。因此,違反《方法》的App運營者可能面臨《網(wǎng)絡(luò)安全法》項下的責(zé)令改正、警告、沒收違法所得、罰款、責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照等法律責(zé)任。
鄧志松介紹,《方法》列舉了主要違法違規(guī)行為,可以為App運營者提供合規(guī)指引?!斗椒ā返膬?nèi)容分為六個部分,基本覆蓋了App運營者收集、使用用戶個人信息的所有場景,包括隱私政策的發(fā)布、用戶同意的獲取、必要性原則的把握、數(shù)據(jù)共享的界限、用戶權(quán)利的保障及投訴舉報機(jī)制等。
“App運營者可以對照《方法》進(jìn)行自查自糾,從而避免相應(yīng)的法律風(fēng)險?!编囍舅烧f。
具體而言,在申請打開可收集個人信息的權(quán)限,或申請收集用戶身份證號、銀行賬號、行蹤軌跡等個人敏感信息時,未同步告知用戶其目的,或者目的不明確、難以理解,這一行為可被認(rèn)定為“未明示收集使用個人信息的目的、方式和范圍”。
用戶明確表示不同意后,仍收集個人信息或打開可收集個人信息的權(quán)限,或頻繁征求用戶同意、干擾用戶正常使用;利用用戶個人信息和算法定向推送信息,未提供非定向推送信息的選項;未向用戶提供撤回同意收集個人信息的途徑、方式,這些行為可被認(rèn)定為“未經(jīng)用戶同意收集使用個人信息”。
App接入第三方應(yīng)用,未經(jīng)用戶同意,向第三方應(yīng)用提供個人信息;既未經(jīng)用戶同意,也未做匿名化處理,數(shù)據(jù)傳輸至App后臺服務(wù)器后,向第三方提供其收集的個人信息,這些行為可被認(rèn)定為“未經(jīng)同意向他人提供個人信息”。
《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》也明確了App在用戶賬戶注銷方面的要求,若未提供有效的更正、刪除個人信息及注銷用戶賬號功能,雖提供了更正、刪除個人信息及注銷用戶賬號功能,但未及時響應(yīng)用戶相應(yīng)操作,需人工處理的,未在承諾時限內(nèi)(承諾時限不得超過15個工作日,無承諾時限的,以15個工作日為限)完成核查和處理,這些行為會被認(rèn)定為“未按法律規(guī)定提供刪除或更正個人信息功能”。
澎湃新聞記者注意到,相較于5月份發(fā)布的《App違法違規(guī)收集使用個人信息行為認(rèn)定方法(征求意見稿),此次發(fā)布的正式文件,減少了征求意見稿中的第七點,“侵犯未成年人在網(wǎng)絡(luò)空間合法權(quán)益的情形”,包括未經(jīng)監(jiān)護(hù)人同意,收集使用14周歲以下(含)未成年人個人信息;未經(jīng)監(jiān)護(hù)人同意,利用14周歲以下(含)未成年人信息和算法開展個性化推送新聞、時政信息、廣告等定向推送活動。
不過,今年10月,中央網(wǎng)信辦發(fā)布了《兒童個人信息網(wǎng)絡(luò)保護(hù)規(guī)定》,這是我國第一部專門針對兒童網(wǎng)絡(luò)保護(hù)的立法,并于10月1日正式施行。
今年以來,相關(guān)監(jiān)管部門一直在推進(jìn)個人信息保護(hù)方面的工作。
1月份,中央網(wǎng)信辦、工信部、公安部和市場監(jiān)管總局發(fā)布了《關(guān)于開展App違法違規(guī)收集使用個人信息專項治理的公告》。四部門決定自2019年1月至12月,在全國范圍內(nèi)組織開展App違法違規(guī)收集使用個人信息專項治理行動。
根據(jù)四部門聯(lián)合發(fā)布的《關(guān)于開展App違法違規(guī)收集使用個人信息專項治理的公告》,受中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場監(jiān)管總局委托,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會、中國消費者協(xié)會、中國互聯(lián)網(wǎng)協(xié)會、中國網(wǎng)絡(luò)空間安全協(xié)會成立App專項治理工作組。
依照《關(guān)于開展App違法違規(guī)收集使用個人信息專項治理的公告》,有關(guān)主管部門加強(qiáng)對違法違規(guī)收集使用個人信息行為的監(jiān)管和處罰,對強(qiáng)制、過度收集個人信息,未經(jīng)消費者同意、違反法律法規(guī)規(guī)定和雙方約定收集、使用個人信息,發(fā)生或可能發(fā)生信息泄露、丟失而未采取補救措施,非法出售、非法向他人提供個人信息等行為,按照《網(wǎng)絡(luò)安全法》《消費者權(quán)益保護(hù)法》等依法予以處罰,包括責(zé)令A(yù)pp運營者限期整改;逾期不改的,公開曝光;情節(jié)嚴(yán)重的,依法暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照。公安機(jī)關(guān)開展打擊整治網(wǎng)絡(luò)侵犯公民個人信息違法犯罪專項工作,依法嚴(yán)厲打擊針對和利用個人信息的違法犯罪行為。
在相關(guān)監(jiān)管部門加強(qiáng)打擊違法違規(guī)手機(jī)個人信息行為的同時,專門的App違法違規(guī)收集使用個人信息行為認(rèn)定方法呼之欲出。
據(jù)新華社4月份報道,中央網(wǎng)信辦、工信部、公安部、市場監(jiān)管總局高度重視個人信息保護(hù)工作,針對當(dāng)前App強(qiáng)制授權(quán)、過度索權(quán)、超范圍收集個人信息等網(wǎng)民反映強(qiáng)烈的問題,將抓緊出臺必要的管理規(guī)范和相關(guān)標(biāo)準(zhǔn)。
據(jù)中國網(wǎng)信網(wǎng),自2019年以來,App專項治理工作組根據(jù)公眾舉報情況,對各類收集使用個人信息保護(hù)問題進(jìn)行歸納、梳理,重點參照《網(wǎng)絡(luò)安全法》等相關(guān)法律法規(guī)要求和個人信息保護(hù)相關(guān)國家標(biāo)準(zhǔn),制定、完善了一系列技術(shù)規(guī)范和標(biāo)準(zhǔn)文本,為相關(guān)監(jiān)管部門界定違法違規(guī)收集使用個人信息行為以及App運營者整改提升提供重要參考,也為開展App違法違規(guī)收集使用個人信息評估工作和指導(dǎo)企業(yè)整改提供重要支撐。
相關(guān)文件主要包括:2019年3月,編制并發(fā)布《App違法違規(guī)收集使用個人信息自評估指南》,2019年5月,編制并公布《App違法違規(guī)收集使用個人信息行為認(rèn)定方法(征求意見稿)》,2019年10月,結(jié)合評估工作實踐和各方征求意見,更新并公開GB/T 35273《信息安全技術(shù) 個人信息安全規(guī)范(最新征求意見稿)》,2019年10月,結(jié)合評估工作實踐和各方征求意見,更新并公開《移動互聯(lián)網(wǎng)應(yīng)用程序(App)收集個人信息基本規(guī)范(最新草案)》。
附:App違法違規(guī)收集使用個人信息行為認(rèn)定方法
根據(jù)《關(guān)于開展App違法違規(guī)收集使用個人信息專項治理的公告》,為監(jiān)督管理部門認(rèn)定App違法違規(guī)收集使用個人信息行為提供參考,為App運營者自查自糾和網(wǎng)民社會監(jiān)督提供指引,落實《網(wǎng)絡(luò)安全法》等法律法規(guī),制定本方法。
一、以下行為可被認(rèn)定為“未公開收集使用規(guī)則”
1。在App中沒有隱私政策,或者隱私政策中沒有收集使用個人信息規(guī)則;
2。在App首次運行時未通過彈窗等明顯方式提示用戶閱讀隱私政策等收集使用規(guī)則;
3。隱私政策等收集使用規(guī)則難以訪問,如進(jìn)入App主界面后,需多于4次點擊等操作才能訪問到;
4。隱私政策等收集使用規(guī)則難以閱讀,如文字過小過密、顏色過淡、模糊不清,或未提供簡體中文版等。
二、以下行為可被認(rèn)定為“未明示收集使用個人信息的目的、方式和范圍”
1。未逐一列出App(包括委托的第三方或嵌入的第三方代碼、插件)收集使用個人信息的目的、方式、范圍等;
2。收集使用個人信息的目的、方式、范圍發(fā)生變化時,未以適當(dāng)方式通知用戶,適當(dāng)方式包括更新隱私政策等收集使用規(guī)則并提醒用戶閱讀等;
3。在申請打開可收集個人信息的權(quán)限,或申請收集用戶身份證號、銀行賬號、行蹤軌跡等個人敏感信息時,未同步告知用戶其目的,或者目的不明確、難以理解;
4。有關(guān)收集使用規(guī)則的內(nèi)容晦澀難懂、冗長繁瑣,用戶難以理解,如使用大量專業(yè)術(shù)語等。
三、以下行為可被認(rèn)定為“未經(jīng)用戶同意收集使用個人信息”
1。征得用戶同意前就開始收集個人信息或打開可收集個人信息的權(quán)限;
2。用戶明確表示不同意后,仍收集個人信息或打開可收集個人信息的權(quán)限,或頻繁征求用戶同意、干擾用戶正常使用;
3。實際收集的個人信息或打開的可收集個人信息權(quán)限超出用戶授權(quán)范圍;
4。以默認(rèn)選擇同意隱私政策等非明示方式征求用戶同意;
5。未經(jīng)用戶同意更改其設(shè)置的可收集個人信息權(quán)限狀態(tài),如App更新時自動將用戶設(shè)置的權(quán)限恢復(fù)到默認(rèn)狀態(tài);
6。利用用戶個人信息和算法定向推送信息,未提供非定向推送信息的選項;
7。以欺詐、誘騙等不正當(dāng)方式誤導(dǎo)用戶同意收集個人信息或打開可收集個人信息的權(quán)限,如故意欺瞞、掩飾收集使用個人信息的真實目的;
8。未向用戶提供撤回同意收集個人信息的途徑、方式;
9。違反其所聲明的收集使用規(guī)則,收集使用個人信息。
四、以下行為可被認(rèn)定為“違反必要原則,收集與其提供的服務(wù)無關(guān)的個人信息”
1。收集的個人信息類型或打開的可收集個人信息權(quán)限與現(xiàn)有業(yè)務(wù)功能無關(guān);
2。因用戶不同意收集非必要個人信息或打開非必要權(quán)限,拒絕提供業(yè)務(wù)功能;
3.App新增業(yè)務(wù)功能申請收集的個人信息超出用戶原有同意范圍,若用戶不同意,則拒絕提供原有業(yè)務(wù)功能,新增業(yè)務(wù)功能取代原有業(yè)務(wù)功能的除外;
4。收集個人信息的頻度等超出業(yè)務(wù)功能實際需要;
5。僅以改善服務(wù)質(zhì)量、提升用戶體驗、定向推送信息、研發(fā)新產(chǎn)品等為由,強(qiáng)制要求用戶同意收集個人信息;
6。要求用戶一次性同意打開多個可收集個人信息的權(quán)限,用戶不同意則無法使用。
五、以下行為可被認(rèn)定為“未經(jīng)同意向他人提供個人信息”
1。既未經(jīng)用戶同意,也未做匿名化處理,App客戶端直接向第三方提供個人信息,包括通過客戶端嵌入的第三方代碼、插件等方式向第三方提供個人信息;
2。既未經(jīng)用戶同意,也未做匿名化處理,數(shù)據(jù)傳輸至App后臺服務(wù)器后,向第三方提供其收集的個人信息;
3.App接入第三方應(yīng)用,未經(jīng)用戶同意,向第三方應(yīng)用提供個人信息。
六、以下行為可被認(rèn)定為“未按法律規(guī)定提供刪除或更正個人信息功能”或“未公布投訴、舉報方式等信息”
1。未提供有效的更正、刪除個人信息及注銷用戶賬號功能;
2。為更正、刪除個人信息或注銷用戶賬號設(shè)置不必要或不合理條件;
3。雖提供了更正、刪除個人信息及注銷用戶賬號功能,但未及時響應(yīng)用戶相應(yīng)操作,需人工處理的,未在承諾時限內(nèi)(承諾時限不得超過15個工作日,無承諾時限的,以15個工作日為限)完成核查和處理;
4。更正、刪除個人信息或注銷用戶賬號等用戶操作已執(zhí)行完畢,但App后臺并未完成的;
5。未建立并公布個人信息安全投訴、舉報渠道,或未在承諾時限內(nèi)(承諾時限不得超過15個工作日,無承諾時限的,以15個工作日為限)受理并處理的。
()