二、《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南(征求意见稿)》与《App自评估指南》和《App违法违规认定方法》逐条对比解读
2020年3月19日,信安标委秘书处发布《关于对〈网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南(征求意见稿)〉公开征求意见的通知》(信安秘字〔2020〕13号),对《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南(征求意见稿)》(以下简称《App自评估指南(征求意见稿)》)公开征求意见。
《App自评估指南(征求意见稿)》在其摘要部分,介绍了其系列文件的发展历程和一脉相承的关系,具体如下:
续表
接下来,将通过与《App自评估指南》《App违法违规认定方法》对比的方式,逐条解析《App自评估指南(征求意见稿)》。
评估点一:是否公开收集使用个人信息的规则
《网络安全法》第41条规定,网络运营者收集、使用个人信息,应当公开收集、使用规则。
《消费者权益保护法》第29条规定,经营者收集、使用消费者个人信息,应当公开其收集、使用规则。
【解读】
相较于《App自评估指南》和《App违法违规认定方法》,《App自评估指南(征求意见稿)》首次明确列举了相关要求依据的具体法律条文规定(注:前述规定系对完整条文规定的部分摘录)。根据我们检索威科先行、北大法宝数据库,《网络安全法》第41条规定和《消费者权益保护法》第29条规定,也是2019年600例个人信息相关行政处罚的主要处罚依据,需要App运营者高度重视,避免因违反前述规定而面临潜在的行政处罚风险。
1.1 是否有隐私政策等收集使用规则
a)在App界面中能够找到隐私政策,包括通过弹窗、文本链接、附件、常见问题(FAQs)等形式,且隐私政策可正常显示。
b)隐私政策中需包含收集使用个人信息规则的相关内容。
c)隐私政策文本链接有效,且文本可正常显示。
【解读】
相较于《App自评估指南》评估点1,《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第1.1条的规定,新增了“隐私政策中需包含收集使用个人信息规则的相关内容”,直指实践中出现的形式上设置了隐私政策但隐私政策里面无收集使用个人信息规则的相关内容的问题。
从常见问题看,除前述问题外,本条规制的问题还包括:(1)无隐私政策;(2)隐私政策链接失效;(3)隐私政策链接点击后打开的文本不是隐私政策的内容;(4)隐私政策点击后文本无法正常显示,如只可查看当前页面内容无法滑动查看全文等。
1.2 是否提示用户阅读隐私政策等收集使用规则
a)App需在首次运行或用户注册时通过弹窗等明显方式,提示用户阅读隐私政策。
b)避免使用灰色字体、缩小字号、键盘遮挡、置于边缘等方式未突出显示隐私政策链接。
【解读】
相较于《App自评估指南》评估点3、评估点20和《App违法违规认定方法》,《App自评估指南(征求意见稿)》强化了“避免使用灰色字体、缩小字号、键盘遮挡、置于边缘等方式未突出显示隐私政策链接”的要求。根据App专项治理工作组公开通报,部分App存在采用将字体缩小,颜色变浅且放置在页面最底端的方式展示隐私政策链接,未通过明显方式提示用户阅读隐私政策的问题。
从弹窗页面中隐私政策链接的放置看,一般会采用与弹窗大小相适配的字号,通过加下划线、字体颜色设置成绿色等醒目颜色来突出显示,放置在弹窗的中间或者下方(但不宜放置在下方最边缘处),弹窗内容无遮挡,点击隐私政策链接后即可跳转至正常显示的隐私政策文本。
1.3 隐私政策等收集使用规则是否易于访问
a)用户进入App主功能界面后,通过4次(含)以内的点击,能够访问到隐私政策。
b)在App常规交互界面展示隐私政策链接,避免仅在注册/登录界面展示隐私政策链接,或只能以咨询客服等方式查看隐私政策的情形。
c)隐私政策以单独成文的形式发布,而不是作为用户协议、用户说明等文件中的一部分存在。
【解读】
相较于《App自评估指南》评估点3和《App违法违规认定方法》,《App自评估指南(征求意见稿)》新增了“在App常规交互界面展示隐私政策链接,避免仅在注册/登录界面展示隐私政策链接,或只能以咨询客服等方式查看隐私政策的情形”的要求,直指实践中存在的隐私政策仅在注册/登录时展示,进入App界面后无法找到隐私政策,或者为了找到隐私政策需要翻遍App所有页面才能找到隐私政策,或者为了查看隐私政策需要专门联系客服才可能查看隐私政策等隐私政策难以访问的问题。
从建议角度看,建议将隐私政策放置在常见、方便寻找的位置,一般宜放置在“我的-设置”或“我的-关于”或“常见问题”的子栏目,在该等位置相对方便用户查找。此外,需要指出的是,隐私政策应向所有用户展示,而非仅向特定VIP用户或其他特定类型的用户展示,否则仍然可能会被认定为隐私政策难以访问。
1.4 隐私政策等收集使用规则是否易于阅读
a)隐私政策文本文字显示方式(字号、颜色、行间距、清晰度等)不会造成阅读困难。
b)需提供简体中文版隐私政策。
c)隐私政策的内容需符合通用的语言习惯,使用标准化的数字、图示,避免出现错别字或有歧义的语句。
【解读】
相较于《App自评估指南》评估点4,《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第1.4条“未提供简体中文版隐私政策”的规定,同时吸收了《个人信息安全规范》第5.5c)条的“个人信息保护政策的内容应清晰易懂,符合通用的语言习惯,使用标准化的数字、图示等,避免使用有歧义的语言”。
根据App专项治理工作组公开通报,部分App在登录界面中未提供简体中文版的隐私政策。部分APP隐私政策难以阅读,具体表现包括:(1)隐私政策中存在较多错别字、歧义句;(2)文字显示过小、过密:(3)段落划分不明确;(4)文字没有自动换行,需要手动横向滑动才可以阅读完一行文字。
从建议角度看,在中国境内运营的App运营者,至少应该提供简体中文版隐私政策,包括登录时展示链接对应的文本和进入App界面后查看的隐私政策文本。如面向在中国境内的外国人提供服务,可以在提供中文版隐私政策的同时,也提供英语或其他语言版本的隐私政策。从隐私政策文本内容看,应重视文本内容的撰写,建议由法务人员或者数据保护部门工作人员,根据法律法规相关规定,参照《App违法违规认定方法》《App自评估指南(征求意见稿)》和《个人信息安全规范》等文件和国家标准,结合本公司实际情况,制定适用于本公司的隐私政策。制定好隐私政策后,至少应委托公司内部其他法务或者数据保护部门其他工作人员进行文字校对、内容复核,宜委托数据保护专业律师进行专业的优化,避免出现文字错误、歧义句、大段摘抄其他运营者隐私政策而未调整公司名称、与本公司实际情况大相径庭等问题。
1.5 是否公开App运营者的基本情况
a)隐私政策应对App运营者基本情况进行描述,至少包括组织或公司名称、注册地址或常用办公地址、个人信息保护工作机构或相关负责人联系方式。
【解读】
相较于《App自评估指南》评估点9,《App自评估指南(征求意见稿)》借鉴了《个人信息安全规范》第5.5a)1)条个人信息保护政策内容“个人信息控制者的基本情况,包括主体身份、联系方式”的规定,解决了集团统一隐私政策模式下无法单列某家公司名称的问题,解决了如果必须公布个人信息保护相关负责人联系方式可能给该等负责人造成不必要的电话骚扰等问题,提高了该要求的可执行性。
1.6 是否公开收集使用个人信息的其他规则
a)隐私政策应说明发布、生效或更新日期。
b)隐私政策应对个人信息存放地域(境内、境外哪个国家或地区)、存储期限(法律规定范围内最短期限或明确的期限)、超期处理方式进行明确说明。
c)如果App运营者将个人信息用于用户画像、个性化展示等,隐私政策中应说明其应用场景和可能对用户产生的影响。
d)如果存在个人信息出境情形,隐私政策中应将出境个人信息类型逐项列出并显著标识(如字体加粗、标星号、下划线、斜体、不同颜色等);如果不存在个人信息出境情形,则明确说明。
e)隐私政策中应对App运营者在个人信息保护方面采取的措施和具备的能力进行说明,如身份鉴别、数据加密、访问控制、恶意代码防范、安全审计等。
f)如果存在个人信息对外共享、转让、公开披露等情况,隐私政策中应明确以下内容:①对外共享、转让、公开披露个人信息的目的;②涉及的个人信息类型;③接收方类型或身份。
g)隐私政策中应对以下用户权利和相关操作方法进行明确说明:①个人信息查询;②个人信息更正;③个人信息删除;④用户账户注销;⑤撤回已同意的授权。
h)隐私政策中至少提供以下一种申诉渠道:①电子邮件;②电话;③在线客服;④在线表单。
注:相关定义和内容可参考GB/T 35273《个人信息安全规范》。
【解读】
相较于《App自评估指南》评估点10-17,《App自评估指南(征求意见稿)》主要调整了以下两点:
第一点,前述1.6b)条对个人信息存放地域的说明要求,从说明境内境外即可调整为如在境外需要说明是境外哪个国家或地区。此举旨在方便监管部门和社会公众更好地了解个人信息境外存放的具体情况,可以据此判断在该等国家或地区存储个人信息可能面临的安全风险等。
第二点,在前述1.6d)条新增“如果不存在个人信息出境情形,则明确说明”的要求。对于App运营者来说,存在个人信息出境情形,需要按照该条的规定将出境个人信息类型逐项标出并显著标识,不存在个人信息出境情形,也需要在隐私政策中说明“您的个人信息将存储于中华人民共和国境内,不会进行跨境传输”或类似表述。
评估点二:是否明示收集使用个人信息的目的、方式和范围
《网络安全法》第41条规定,网络运营者收集、使用个人信息,应当公开收集、使用规则。
《消费者权益保护法》第29条规定,经营者收集、使用消费者个人信息,应当公开其收集、使用规则。
2.1 是否逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等a)完整、清晰、区分说明各业务功能所收集的个人信息。隐私政策中所述内容应与App实际业务相符,并逐项说明各业务功能收集个人信息的目的、类型、方式,不应使用“等、例如”等方式不完整列举。
注:业务功能是指App面向个人用户所提供的一类完整的服务,如地图导航、网络约车、即时通讯、网络社区、网络支付、新闻资讯、网上购物、短视频、快递配送、餐饮外卖、交通票务、婚恋相亲、房屋租售、求职招聘、二手车交易、金融借贷等。
b)如App使用Cookie等同类技术(包括脚本、Clickstream、Web信标、Flash Cookie、内嵌Web 链接等)收集个人信息,应向用户说明使用该类技术收集个人信息的目的、类型、方式。
c)如App嵌入了第三方代码、插件(如SDK)收集个人信息,应说明第三方类型,及收集个人信息的目的、类型、方式,说明方式包括隐私政策、弹窗提示、文字备注、文本链接等。
d)如委托的第三方或嵌入的第三方代码、插件直接将个人信息传输至境外的,应明确说明跨境传输个人信息的目的、类型和接收方等。
【解读】
相较于《App自评估指南》评估点5-7.21-22,《App自评估指南(征求意见稿)》主要调整了以下三点:
第一点,吸收了《App违法违规认定方法》第2.1条“未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等”的表述作为《App自评估指南(征求意见稿)》第2.1条的表述,将App自身收集使用个人信息的目的、方式和范围和App嵌入的第三方代码、插件进行集中规定。
第二点,细化对于SDK、第三方代码等收集个人信息的规定,强调要求说明第三方类型及收集个人信息的目的、类型、方式,直指实践中普遍存在的SDK违规收集使用个人信息问题。根据App专项治理工作组通报的问题App显示,过半App存在SDK违规问题。对此,建议App运营者:(1)全面梳理App接入的SDK,包括手机厂商SDK、第三方SDK等;(2)与接入的SDK服务商充分沟通或通过SDK服务商公示的服务条款、个人信息保护政策等相关文本了解SDK收集的个人信息类型;(3)将接入的SDK和该等SDK收集的个人信息类型写入隐私政策,通过获得用户对隐私政策的明示同意来获得对于接入SDK和对外提供个人信息的同意。此外,可供借鉴的做法为,部分App已经将接入的SDK的服务条款、隐私政策等相关文本的链接放置在App隐私政策的最后,方便用户快速查看和了解接入的SDK的具体情况。
第三点,新增“如委托的第三方或嵌入的第三方代码、插件直接将个人信息传输至境外的,应明确说明跨境传输个人信息的目的、类型和接收方等”要求。根据App专项治理工作组通报的问题App,存在部分App既未经用户同意,也未做匿名化处理,通过客户端嵌入的Crashlytics等SDK将收集Android ID等个人信息传输到境外某服务器。对此,建议在隐私政策中明确说明跨境传输个人信息的目的、类型和接收方等,需要指出的是,这里使用的“接收方”而非“接收方类型”,简单说明接收方类型可能无法满足此处的要求。
2.2 是否以适当的方式通知用户收集使用个人信息的目的、方式、范围发生的变化a)收集使用个人信息的目的、方式和范围发生变化时,应以适当方式通知用户,适当方式包括更新隐私政策并以信息、邮件、弹窗等方式提醒用户阅读发生变化的条款等。
【解读】
相较于《App自评估指南》评估点18,《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第2.2条“收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等”的规定,将通知用户发生变化的情形限定为“收集使用个人信息的目的、方式、范围发生变化”,不再强调“业务功能变更、个人信息出境情况变更、个人信息保护相关负责人联系方式变更”等情形下的通知。
从文字意思看,此处要求为“应提醒用户阅读”,不再要求获得用户重新授权,似乎可以理解为App运营者App首次运行时获得用户授权后,后续可以随意变更授权文本和内容,而对用户要做的仅仅是告知,该要求有待进一步商榷,具体适用有待监管部门进一步明确。
从建议角度看,建议App运营者在收集使用个人信息的目的、方式和范围发生变化时,应更新隐私政策、个人信息查询授权书等授权文本,通过弹窗、推送通知、红点提示、电子邮件、信函、电话等适当方式提醒用户阅读,特别是阅读发生重要变化的条款,并通过用户手动点击确认、手动勾选等方式获得用户的再次授权。
2.3 是否同步告知申请打开权限和要求提供个人敏感信息的目的
a)在申请打开可收集个人信息的权限时,App应通过显著方式(如弹窗提示等)同步告知用户其目的,对目的的描述应明确、易懂。
注:常见可收集个人信息的系统权限有:
iOS系统:定位、通讯录、日历、提醒事项、照片、麦克风、相机、健康;
Android系统:日历、通信记录、相机、通讯录、位置、麦克风、电话、传感器、短信、存储。
b)在要求用户提供个人敏感信息(用户身份证号、银行账号、行踪轨迹等)时,App应通过显著方式(如弹窗提示、文字备注、文本链接等)同步告知用户其目的,对目的的描述应明确、易懂。
注:个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)未成年人的个人信息等。(该定义见GB/T 35273《个人信息安全规范》3.2节)
【解读】
相较于《App自评估指南》评估点20,《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第2.3条“在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解”的要求,强化了对于打开个人信息权限时和申请个人敏感信息时应单独告知目的,对目的的描述应明确、易懂。需要指出的是,根据本条规定,仅将个人敏感信息的处理规则在隐私政策中告知,已经无法满足要求。
根据App专项治理工作组通报的问题App显示,未同步告知申请打开权限或要求提供个人敏感信息的目的,高居通报问题数量之首,通报存在问题的App中56.32%的App存在该问题。从具体问题看,常见表现形式包括:(1)仅弹窗提示“是否允许××获取您的设备信息/访问您设备上的照片/获取此设备的位置信息等信息”,未在弹窗页面告知获取前述信息的目的;(2)个人资料填写页面,仅设置身份证号、银行账号等内容的填写框和上传区域,未告知收集该等个人敏感信息的目的。
对于申请可收集个人信息权限,建议App运营者通过弹窗的方式告知收集相应个人信息的目的,例如“××想访问您的位置,为了向您提供附近的商品、店铺及优惠资讯”,并征得用户的同意。
对于收集个人敏感信息,建议App运营者参照《个人信息安全规范》3.2节和附录B划定个人敏感信息范围,在申请收集用户个人敏感信息时,在用户手动填写页面增加文字说明、弹窗提示、放置文本链接或App主动收集个人敏感信息时通过弹窗提示等方式,告知收集该等个人敏感信息的目的。以文字说明为例,可采取括号标注、下方小字标注等方式,但字体不宜过小以免造成阅读困难。
2.4 收集使用规则是否易于理解
a)有关收集使用规则的内容应简练、结构清晰、重点突出,避免使用晦涩难懂的词语(如使用大量专业术语)和冗长烦琐的篇幅。
【解读】
相较于《App自评估指南》,《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第2.4条“有关收集使用规则的内容晦涩难懂、冗长烦琐,用户难以理解,如使用大量专业术语等”的规定,新增收集使用规则应易于理解的要求。
根据App专项治理工作组通报的问题App显示,存在部分App有关个人信息收集使用规则的内容晦涩难懂、冗长烦琐,用户难以理解的问题。建议App运营者尽量使用普通用户可以理解的语言和表述方式,避免大量使用技术术语、法律专业术语等说明收集使用规则,隐私政策的内容编排、体例等参考《个人信息安全规范》附录D的模板,确保隐私政策等收集使用规则易于理解。
评估点三:收集使用个人信息是否征得用户同意
《网络安全法》第41条规定网络运营者收集、使用个人信息,应“经被收集者同意”且“不得违反法律、行政法规的规定和双方的约定收集、使用个人信息”。
《消费者权益保护法》第29条规定经营者收集、使用消费者个人信息,应“经消费者同意”且“不得违反法律、法规的规定和双方的约定收集、使用信息”,“经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息。”
3.1 收集个人信息或打开可收集个人信息的权限前是否征得用户同意
a)App收集个人信息前应提供由用户主动选择同意或不同意(包括退出、上一步、关闭、取消等)的选项。
b)未征得用户同意时,不应收集个人信息或打开可收集个人信息权限。如App首次打开时,在用户未得知收集个人信息的目的前,App就开始收集个人信息。
注:征得同意,指个人信息主体通过书面声明或主动做出肯定性动作,对其个人信息进行特定处理做出明确授权的行为。肯定性动作包括个人信息主体主动作出声明(电子或纸质形式),主动勾选,主动点击“同意”“注册”“发送”“拨打”,主动填写或提供等。
c)不应在征得用户同意前,利用Cookie等同类技术、或私自调用可收集用户个人信息的权限等方式收集个人信息。
【解读】
相较于《App自评估指南》评估点23-24,《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第3.1条“征得用户同意前就开始收集个人信息或打开可收集个人信息的权限”和第3.4条“以默认选择同意隐私政策等非明示方式征求用户同意”的规定,强调收集个人信息或打开可收集个人信息的权限前应征得用户明示同意。
根据App专项治理工作组通报的问题App显示,存在部分App在征得用户同意前就开始收集设备ID、MAC地址、用户操作记录、应用程序列表等个人信息。用户同意作为《网络安全法》规定的收集用户信息的法定基础,也是我国现行网络安全生态下App运营者收集用户信息的主要合法来源。App运营者要合法合规收集使用个人信息,就需要能够证明已经获得用户同意,且能够证明用户同意的时间点先于收集使用行为。在未获得用户同意前,不得收集用户任何个人信息。
3.2 用户明确表示不同意收集后是否仍收集个人信息或打开可收集个人信息的权限a)用户通过拒绝提供个人信息、不同意收集使用规则、拒绝提供或关闭权限等操作,明确拒绝App收集某类个人信息后,不应以任何形式收集该类个人信息或打开可收集个人信息的权限。
【解读】
相较于《App自评估指南》,《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第3.2条“用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限……”的规定,新增用户明确表示不同意收集后不应收集个人信息或打开可收集个人信息的权限的要求。
根据App专项治理工作组通报的问题App显示,存在部分App在用户撤销电话权限授权,明确表示不同意收集该类个人信息后,仍通过其他途径收集设备IMEI号等个人信息。如果在用户明确表示不同意收集后仍然收集个人信息或打开可收集个人信息的权限,App运营者将失去收集该等个人信息的合法性基础,而且从主观恶性角度分析,容易加剧监管部门对App运营者主观恶性的认定,也容易引起用户的反感、不信任和恐慌,害怕该等App存在更多的暗箱操作,可能导致用户流失。
3.3 用户明确表示不同意收集后是否频繁征求用户同意、干扰用户正常使用a)用户明确表示不同意收集后,不应在每次重新打开App,或使用某一业务功能时,向用户频繁(如48小时内)询问是否同意收集个人信息。
b)用户明确表示不同意收集后,不应在每次重新打开App,或使用某一业务功能时,向用户频繁(如48小时内)询问是否同意打开可收集个人信息的权限。
注:用户选择使用App的某一具体功能触发征得同意的动作,不属于频繁干扰情形。如用户自行选择使用拍摄、扫码等功能,App需获取“相机”权限。
【解读】
相较于《App自评估指南》评估点28和《App违法违规认定方法》第3.2条,《App自评估指南(征求意见稿)》主要调整了以下两点:
第一点,首次明确了用户明确表示不同意收集后频繁征求用户同意、干扰用户正常使用的时间认定标准,即“48小时内”,与《个人信息安全规范》附录C.4b)条规定的“除非个人信息主体主动选择开启扩展功能,在48小时内向个人信息主体征求同意的次数不应超过一次”标准相近。
第二点,在本条注的部分增加了例外情形,即用户主动使用某业务功能触发征得同意的情况下,不属于对用户的频繁干扰。以举例中拍摄、扫码等获取“相机”权限进行分析,如果用户现在想要使用该等功能但又拒绝提供“相机权限”,拍摄、扫码功能将无法使用。若48小时内用户再次或者多次想使用拍摄、扫码等功能,仍然可以征求获取“相机”权限。但如果用户不想使用拍摄、扫码等功能,只想使用无需“相机”权限的App其他业务功能,但用户每次打开App,均弹窗征求获取用户“相机”权限,就会被认定为频繁干扰用户。
3.4 实际收集的个人信息或打开的可收集个人信息权限是否超出用户授权范围a)App收集使用个人信息的过程应与其所声明的隐私政策等收集使用规则保持一致。如实际收集的个人信息类型、申请打开的可收集使用个人信息的系统权限、调用系统权限函数的行为应与隐私政策所描述内容一致,不应超出隐私政策所述范围。
【解读】
相较于《App自评估指南》评估点25,《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第3.3条“实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围”的规定,增加了对打开权限的规定,内容未发生实质变化。
隐私政策等获得用户授权的文本公示收集使用个人信息规则,用户对App运营者会按照隐私政策收集使用个人信息会形成合理期待。运营者不应利用隐私政策等用户授权文本宣示合法合规收集使用个人信息,但实际操作中却未按照用户授权范围收集使用个人信息。当面一套背后一套,主观恶意明显,不可取。
3.5 是否以默认选择同意隐私政策等非明示方式征求用户同意
a)在首次运行App或用户注册时,不应采用默认勾选隐私政策等非明示方式征求用户同意;
b)注册(包括登录即代表注册)的选项与同意隐私政策等的因果逻辑关系应清楚,且主动提示用户阅读以显著方式展示的隐私政策等收集使用规则后,执行下一步注册/登录等动作。
【解读】
相较于《App自评估指南》评估点20,《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第3.4条“以默认选择同意隐私政策等非明示方式征求用户同意”的规定,并首次对注册与同意隐私政策提出因果逻辑清楚的要求。
建议App运营者在用户首次运行或注册App时,通过弹窗或者要求用户手动勾选的方式同意隐私政策,尽量避免使用“注册即代表同意隐私政策”等方式获得用户的同意。
3.6 是否未经用户同意更改其设置的可收集个人信息权限状态
a)未经用户同意,不应私自更改用户设置的收集个人信息权限。
b)App更新升级后,不应自动将用户设置的权限恢复到默认状态。
【解读】
相较于《App自评估指南》评估点29,《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第3.5条“未经用户同意更改其设置的可收集个人信息权限状态,如App更新时自动将用户设置的权限恢复到默认状态”的规定,新增了“未经用户同意,不应私自更改用户设置的收集个人信息权限”的要求。
建议申请调用个人信息权限应获得用户的同意,不得未经用户同意私自更改用户权限设置,不得利用系统更新升级更改原有的系统权限设置。
3.7 App利用用户个人信息和算法定向推送信息时,是否提供非定向推送信息的选项a)App存在利用用户个人信息和算法定向推送信息情形(包括利用个人信息和算法推送新闻和信息、展示商品、推送广告等),应提供拒绝接受定向推送信息,或者停止、退出、关闭相应功能的机制,或者不基于个人信息、用户画像等推送的模式、选项。
注:相关定义和内容可参考GB/T 35273《个人信息安全规范》。
【解读】
相较于《App自评估指南》,《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第3.6条“利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项”的规定,并对该规定进行了细化。
需要指出的是,与《个人信息安全规范》第7.5c)条规定不同的是,本条对提供非定向推送信息选项的要求不再限于推送新闻信息,而是扩充至推送新闻和信息、展示商品、推送广告等,基本涵盖了个性化推送的主要场景。从实操角度看,可供参考的一种模式为,为用户提供关闭个性化推送的按钮,用户关闭个性化推送后,推送的数量不会减少但不再基于用户的个人信息和个人画像进行精准推送。
3.8 是否以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限a)App所明示收集使用个人信息的目的应真实、准确,不应故意欺瞒、掩饰收集使用个人信息的真实目的。如以红包、金币、抽奖等方式诱骗用户打开可收集个人信息的通讯录权限后,立即上传所有通讯录信息。
【解读】
相较于《App自评估指南》,《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第3.7条“以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的”的规定,并提供了示例。
分析本条的示例,其真正目的在于获取通讯录信息,但担心用户拒绝或者不愿提供,通过红包、金币、抽奖等方式,来降低或者消除用户对于打开通讯录权限的疑虑、感知,用户甚至无法知晓该等App收集通讯录的目的,违反了合法性原则要求。而该等App收集用户通讯录,可能也与其业务开展无必然关联,可能也同时违反必要性原则要求。
3.9 是否向用户提供撤回同意收集个人信息的途径、方式
a)App应向用户提供撤回同意收集个人信息的途径、方式,并在隐私政策等收集使用规则中予以明确。
b)如用户拒绝或撤回特定业务功能收集个人信息的授权时,App不应暂停提供其他业务功能,或降低其他业务功能的服务质量。
c)如用户拒绝或撤回可收集个人信息的权限时,不得影响用户正常使用与该权限无关的功能,除非该权限是保证App正常运行所必需。
【解读】
相较于《App自评估指南》评估点23,《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第3.8条“未向用户提供撤回同意收集个人信息的途径、方式”的规定,并吸收了《个人信息安全规范》第5.3e)条“个人信息主体不授权同意使用、关闭或退出特定业务功能的,不应暂停个人信息主体自主选择使用的其他业务功能,或降低其他业务功能的服务质量”的规定。
建议App运营者在隐私政策中向用户说明撤回同意收集个人信息的途径、方式,用户拒绝提供或撤回同意提供某些个人信息,仅应影响与该等个人信息相关的业务功能,不得影响其他业务功能的正常使用,除非该等个人信息或收集个人信息权限为App正常运行所必需。
3.10 是否违反其所声明的收集使用规则,收集使用个人信息
a)App应严格遵循其披露的隐私政策等收集使用规则,开展个人信息处理活动,如个人信息使用目的发生变化的,应再次征得用户同意。
【解读】
相较于《App自评估指南》,《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第3.9条“违反其所声明的收集使用规则,收集使用个人信息”的规定,旨在强调App运营者应言行一致,收集使用规则不仅是告知用户,更是对运营者的约束。
如个人信息使用目的发生变化的,App运营者应按照《App自评估指南(征求意见稿)》第2.2条规定的方式告知用户,并再次征得用户同意,这里的“同意”宜作明示同意理解。
评估点四:是否遵循必要原则,仅收集与其提供的服务直接相关的个人信息
4.1 是否收集与业务功能无关的个人信息
a)不应收集与业务功能无关的个人信息。
b)App不应申请打开与业务功能无关的可收集个人信息的权限。
【解读】
相较于《App自评估指南》评估点27,《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第4.1条“收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关”的规定,除增加对可收集个人信息权限的要求外,内容未发生实质变化。
4.2 用户是否可拒绝收集非必要信息或打开非必要权限
a)App收集业务功能非必要的个人信息或申请打开非必要权限时,应征得用户同意,用户不同意不得拒绝提供相应业务功能。
b)App不应将同意收集其他业务功能所需的个人信息或同意打开其他业务功能所需可收集个人信息权限,作为业务功能打开的前提条件。
c)如App提供无需注册即可使用(如浏览、游客模式)的业务模式,当用户拒绝支撑浏览、游客等模式以外的个人信息收集行为,App不应拒绝提供服务。
注:必要信息指与基本业务功能直接相关的个人信息,缺少该个人信息则基本业务功能无法实现。必要信息范围可参考《信息安全技术移动互联网应用程序(App)收集个人信息基本规范》(征求意见稿),如果业务类型不在该标准内,则应根据其业务特点,参考该规范相关定义和理念自行判定。
【解读】
相较于《App自评估指南》评估点26,《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第4.2条“因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能”的规定,强调应确保用户可拒绝收集非必要信息或打开非必要权限,并且不会因此影响用户正常使用业务功能。
需要指出的是,此处增加了对于App提供无需注册即可使用(如浏览、游客模式)业务模式下收集个人信息的必要性要求,即“当用户拒绝支撑浏览、游客等模式以外的个人信息收集行为,App不应拒绝提供服务”,旨在将浏览、游客等无需注册即可使用模式落到实处,若提供该等模式就仅收集满足该等模式所需的信息。
此外,本条注指出必要信息范围的界定可参考《App收集信息基本规范(征求意见稿)》,如果属于该规范列示的30种常用服务类型,超出该规范列举的最小必要范围,需要审慎考量与现有业务功能的关联性。若难以给出合理解释,建议及时进行调整。
4.3 是否以非正当方式强迫收集用户个人信息
a)根据用户主动填写、点击、勾选等自主行为,作为App的各个业务功能打开或开始收集使用个人信息的条件。
b)App新增业务功能申请收集的个人信息超出用户原有同意范围时,不应因用户拒绝新增业务功能收集个人信息的请求,拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外。
c)不应仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集其个人信息并以此作为提供服务的条件。
d)App不得以捆绑方式强制要求用户一次性同意打开多个可收集个人信息权限。如将安卓版App的targetSdkVersion值设置低于23,通过声明机制,在安装App时要求用户一次性同意打开多个可收集个人信息权限。
【解读】
相较于《App自评估指南》评估点24,《App自评估指南(征求意见稿)》主要调整了以下三点:
第一点,吸收了《App违法违规认定方法》第4.3条“App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外”的规定,新增该要求。实践中,随着公司战略、市场行情、消费需求等的变化,App运营者新增业务功能的情况非常普遍。对此需要根据该条的要求,超出原有个人信息同意范围收集个人信息的,如用户不同意,只影响新增业务功能的使用,不得拒绝提供原有业务功能。但新增业务取代原有业务功能导致业务功能发生变更的除外。
第二点,吸收了《App违法违规认定方法》第4.5条“仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息”的规定,新增该要求。在实践中,相当数量的App在隐私政策中将改善服务质量、提高用户体验、定向推送信息、研发新产品单独表述为业务功能和收集使用目的,并将其作为“利器”而肆意收集使用与业务功能无关的用户个人信息。建议将改善服务质量、提高用户体验、定向推送信息、研发新产品等目的与其他业务功能相结合,确保收集使用个人信息的类型与具体业务功能相对应。
第三点,将安卓版App的targetSdkVersion值设置低于23的问题作为示例,突出一揽子授权的问题。根据App治理工作组发布的《App们,还在一次性申请权限?》显示,目前国内主流的安卓系统App已经将targetSdkVersion值设置大于23。以用户手机比较老、操作版本低等理由,将targetSdkVersion值设置小于23,已经无法有效应对监管部门的核查和质疑。建议App运营者及时予以调整。如果确实出于向下兼容已停止更新App的需要,一次性全部启用可收集用户个人信息的权限,建议提醒用户在安装完毕后逐项关闭权限,需要申请某项权限时,再弹窗告知收集个人信息的目的并获得用户的同意。
4.4 收集个人信息的频度是否超出业务功能实际需要
a)App收集个人信息的频度不应超出业务功能实际需要,在使用App某业务功能过程中,应仅收集与当前业务功能相关的个人信息。
b)在未打开App或后台运行App时,App不应收集用户个人信息,除非App业务功能需要后台运行时继续提供服务,如导航功能。
c)App接入第三方应用时,应提醒用户关注第三方应用收集使用个人信息的规则,不得私自截留第三方应用收集的个人信息。
【解读】
相较于《App自评估指南》,《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第4.4条“收集个人信息的频度等超出业务功能实际需要”的规定,并对该规定进行了细化。
根据App专项治理工作组通报的问题App显示,部分App存在收集设备IMEI号、IMSI号、地理位置、手机号等个人信息和调用电话等权限的频度,超出业务功能实际需要。根据本条要求,举例来说,即使App已经获得用户收集其地理位置的同意,但如果用户没有打开App、后台运行App或者当前使用的业务功能不需要地理位置信息,就不应该收集用户的地理位置信息。例外情况在于,如果在后台运行的情况下,App的业务功能如导航功能,需要借助地理位置信息方能继续提供服务,则可以继续收集地理位置信息。
需要探讨的是,本条新增c款对接入第三方应用提出了相应要求,提醒用户关注第三方应用收集使用个人信息的规则,可以参考本文前面提到的在隐私政策附件放置第三方应用收集使用个人信息规则链接的方式。不得私自截留第三方应用收集的个人信息,旨在确保第三方应用的正常使用。但整体来看,本款似乎与本条主要规定的“收集个人信息的频度是否超出业务功能实际需要”没有必然关联,可以关注该款的位置后续是否会进行调整。
评估点五:是否未经同意向他人提供个人信息
5.1 向他人提供个人信息前是否征得用户同意
a)如App存在从客户端直接向第三方发送个人信息的情形,包括通过App客户端嵌入第三方代码、插件(如SDK)等方式,应事先征得用户同意,经匿名化处理的除外。
b)如个人信息传输至App服务器后,App运营者向第三方提供其收集的个人信息,应事先征得用户同意,经匿名化处理的除外。
c)如App接入第三方应用,当用户使用第三方应用时,应事先征得用户同意后,再向第三方应用提供个人信息,用户获知应用为第三方且在知悉收集使用个人信息规则后,自行同意提供给第三方的除外。
【解读】
相较于《App自评估指南》评估点22,《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第5条“以下行为可被认定为‘未经同意向他人提供个人信息’……”的具体规定,旨在强调向第三方提供个人信息,均应获得用户的同意,这里宜根据本指南第1.6f)条和第2.1条的规定,通过隐私政策、个人信息查询使用授权书等授权文本告知用户对外提供个人信息的目的、个人信息类型和接收方类型或身份。
相较于《App违法违规认定方法》第5条,本条新增了“用户获知应用为第三方且在知悉收集使用个人信息规则后,自行同意提供给第三方的除外”的例外情形。举例来说,微信某小程序通过弹窗方式,告知用户想要获得用户的昵称、头像、地区、性别、手机号码等个人信息用于某目的,用户若点击允许,即代表用户自行同意微信将该等个人信息提供给该小程序。该场景下是小程序征得用户的同意,而非微信征得用户的同意。
评估点六:是否按法律规定提供删除或更正个人信息功能,或公布投诉、举报方式等信息
6.1 是否提供有效的注销用户账号功能
a)App应提供有效的注销账号的途径(如在线操作、客服电话、电子邮件等),并在用户注销账号后,及时删除其个人信息或进行匿名化处理,法律法规另有规定的除外。
b)受理注销账号请求后,App运营者应在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理。
c)注销账号的过程应简单易操作,不应设置不必要或不合理的注销条件,如提供额外的个人敏感信息用于身份验证,或未明确注销所需个人敏感信息在注销成功后是否会删除等。
注:相关内容可参考GB/T 35273《个人信息安全规范》。
【解读】
相较于《App自评估指南》评估点30,《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第6.2条“为更正、删除个人信息或注销用户账号设置不必要或不合理条件”和第6.3条“虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理”的规定,新增前述两条的要求。
建议App运营者:首先,提供账号注销功能,并在隐私政策中明确说明用户注销账号的操作方法。其次,提供的用户账号注销功能应方便用户操作,且能切实保障用户账号注销的有效实现,避免故意设置操作障碍。最后,如果通过邮箱或客服的方式受理用户注销账号的请求,应及时响应,给予用户已经受理的答复,避免用户请求发出后石沉大海,再无音信。需要人工处理的,应在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理。
6.2 是否提供有效的更正或删除个人信息
a)App应提供有效的查询、更正、删除个人信息的途径。
b)用户无法通过在线操作方式及时响应个人信息查询、更正、删除请求的,App运营者应在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理。
c)查询、更正和删除个人信息的过程应简单易操作,不应设置不必要或不合理的条件。
d)用户更正、删除个人信息等操作完成时,App后台应同步执行完成相关操作。
【解读】
相较于《App自评估指南》评估点31,《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第6.2条“为更正、删除个人信息或注销用户账号设置不必要或不合理条件”、第6.3条“虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理”和第6.4条“更正、删除个人信息或注销用户账号等用户操作已执行完毕,但App后台并未完成的”的规定,新增前述3条要求。
建议App运营者切实提供有效的、简单易操作的查询、更正、删除个人信息的途径,不设置操作障碍,如实告知用户更正、删除个人信息及注销账户的实际进展,在App后台完成相应操作后,再向用户提示相关操作已执行完毕。如在操作过程中出现突发情况导致暂时无法实现更正、删除或注销操作,应及时告知用户原因并如实告知操作进展,不得在未完成操作之前提示用户操作已完成。
6.3 是否建立并公布个人信息安全投诉、举报渠道
a)App运营者应建立并公布可受理个人信息安全问题相关的投诉、举报渠道,受理可采取在线操作、客服电话、电子邮件等方式。
b)App运营者应妥善受理用户关于个人信息相关的投诉、举报,并在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理。
【解读】
相较于《App自评估指南》评估点32,《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第6.5条“未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理的”的要求,将受理并处理个人信息安全投诉举报的时间从15天放宽至15个工作日,有助于App运营者更妥善地处理该等投诉举报。
正如《App自评估指南(征求意见稿)》在其摘要部分指出的那样,其内容重点参照了《App违法违规认定方法》和《个人信息安全规范》等相关国家标准,并将检测评估工作经验融入其中,App违法违规使用个人信息行为的相关认定标准渐趋一致,对实务中出现的新问题能够及时地作出判断和回应。App运营者应高度关注《App自评估指南(征求意见稿)》,参照其具体规定进行相应合规安排,并关注其正式版出台进度和内容变化。