基于《App违法违规收集使用个人信息行为认定方法》的评估案例分析
继2019年1月25日,国家互联网信息办公室、工业和信息化部、公安部、市场监管总局发布《关于开展App违法违规收集使用个人信息专项治理的公告》,四部门近期联合制定并发布了《App违法违规收集使用个人信息行为认定方法》(国信办秘字[2019]191号)(以下简称《认定方法》)。《认定方法》的出台,为监督管理部门认定App违法违规收集使用个人信息行为提供参考,为App运营者自查自纠和网民社会监督提供指引。
本文对照《认定方法》,结合近千款App评估中发现的典型问题,进行具体分析解读,供各界参考。
一、典型“未公开收集使用规则”行为
法律法规依据:
《网络安全法》第四十一条规定网络运营者收集、使用个人信息时,应当“公开收集、使用规则”。
《消费者权益保护法》第二十九条规定经营者收集、使用消费者个人信息,“应当公开其收集、使用规则”。
典型行为:
仅在官网、应用商店中展示隐私政策而在App内无法找到隐私政策的,或隐私政策链接无效、文本不能正常显示的,或隐私政策中没有包含该App收集使用个人信息规则。
App首次运行,未通过明显方式提示用户阅读个人信息收集使用规则;只在注册/登录界面展示隐私政策链接,进入App主界面后,无法找到隐私政策;刻意使用灰色字体、缩小字号、遮挡、置于边缘与背景颜色相近等方式未突出显示隐私政策链接(图1.1);用户注册时,注册/登录界面无隐私政策链接(图1.2)。
隐私政策访问路径设置过深,多于4次点击操作访问到;或路径设置过偏,要通过搜索、咨询客服等方式才能访问到。
隐私政策文本字号、颜色、行间距、列宽、清晰度等设置造成用户阅读困难,如隐私政策文本字号过小(图1.3),隐私政策文本列宽设置大于屏幕(图1.4),隐私政策无法完整显示。
二、典型“未明示收集使用个人信息的目的、方式和范围”行为
法律法规依据:
《网络安全法》第四十一条规定网络运营者收集、使用个人信息,应“明示收集使用个人信息的目的、方式和范围”。
《消费者权益保护法》第二十九条规定经营者收集、使用消费者个人信息,应“明示收集、使用信息的目的、方式和范围”。
典型行为:
App嵌入第三方SDK存在收集个人信息的情况,但未在隐私政策里说明其收集使用个人信息的目的、方式、范围。
App隐私政策中未完整列举逐项说明App实际业务功能收集使用个人信息类型、目的、方式。
仅依赖系统弹窗但未在向用户申请收集个人信息的权限时告知申请的目的(图2.1)或未同步告知用户收集使用个人敏感信息的目的(图2.2)。
App主动进行权限申请的二次弹窗,但仅重复申请权限而未告知目的(图2.3),或目的描述不明确,用户无法得知App收集该类个人信息真实目的(图2.4)。
隐私政策内容晦涩难懂、逻辑结构混乱、用语不符合通用习惯(图2.5、图2.6)。
三、典型“未经用户同意收集使用个人信息”行为
法律法规依据:
《网络安全法》第四十一条规定网络运营者收集、使用个人信息,应“经被收集者同意”且“不得违反法律、行政法规的规定和双方的约定收集、使用个人信息”。
《消费者权益保护法》第二十九条规定经营者收集、使用消费者个人信息,应“经消费者同意”且“不得违反法律、法规的规定和双方的约定收集、使用信息”,“经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息。”
典型行为:
App安装后,未经用户同意就收集设备MAC地址、应用程序列表等个人信息;用户明确表示不同意提供位置信息后,仍通过收集设备IP地址、通讯基站、Wifi信息等计算出用户地理位置等个人信息。
用户不同意收集非必要的个人信息或打开非必要权限,App每次启动仍索要用户已明确拒绝提供的系统权限或个人信息;用户使用与已拒绝的系统权限或个人信息无关的功能时频繁提示用户授权同意。
在申请可收集个人信息权限时,声明只使用其中与业务相关信息,实际上却收集并上传了该权限可允许的所有信息;实际收集的个人信息特别是个人敏感信息超出隐私政策等相关规则的范围;未真实披露收集使用个人信息的目的,欺骗用户打开可收集个人信息的权限(图3.1、图3.2)。
采用默认勾选同意隐私政策(图3.3)等非明示方式使用户略过隐私政策;注册或登录的选项与同意隐私政策的因果逻辑关系不清楚(图3.4),使用户易略过隐私政策。
四、典型“违反必要原则,收集与其提供的服务无关的个人信息”行为
法律法规依据:
《网络安全法》第四十一条规定“网络运营者不得收集与其提供的服务无关的个人信息”。
《消费者权益保护法》第二十九条规定“经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则”。
典型行为:
App收集的个人信息类型或打开可收集个人信息的权限,超出其业务功能所需,如计算器工具类App申请打开位置权限、输入法类App申请打开通讯录权限等(如图4.1、图4.2);
强制索要的系统权限或个人信息非App运行所需的必要条件,如金融类App不同意打开通讯录和位置权限、地图类App不同意打开短信权限,则拒绝提供所有业务功能,中介类App拒绝提供银行卡号、持卡人身份证号、银行预留手机号等信息进行银行卡认证,则不允许发布任何信息等。
App后台自动收集用户设备IMEI号、IMSI号、地理位置等信息过于频繁,超出业务功能实际需要,如某App平均每秒获取10次IMEI号,非地图导航类App平均每秒上传6次GPS定位信息。
安卓版App将软件安装包中的targetSDKversion属性值设置为低于23,安装时,要求用户一次性打开多个可收集个人信息的权限(如图4.3、图4.4)。
五、典型“未经同意向他人提供个人信息”行为
法律法规依据:
《网络安全法》第四十二条规定网络运营者“未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人信息且不能复原的除外”。
典型行为:
未告知用户对外提供、转让个人信息的目的、类型及接收方身份,且数据未经处理即通过客户端或嵌入的SDK等代码、插件提供给了第三方。
未告知用户个人信息出境情形,将数据传输至境外。
未告知也未经用户同意,将个人信息直接提供给接入的小程序、公众号、服务应用等第三方主体。
六、典型“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”行为
法律法规依据:
《网络安全法》第四十三条规定“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正”。
《网络安全法》第四十九条规定“网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络安全的投诉和举报。”
《电信和互联网用户个人信息保护规定》第十二条规定“电信业务经营者、互联网信息服务提供者应当建立用户投诉处理机制,公布有效的联系方式,接受与用户个人信息保护有关的投诉,并自接到投诉之日起15日内答复投诉人。”
典型行为:
App中提供的更正、删除个人信息及注销用户账号渠道无法完成相应的操作;未在承诺时间内完成相应操作;客户端提示用户注销成功后,原账号相关信息仍保留在App后台服务器上。
注销时,要求用户提供手持身份证正反面照片,更正个人信息时要求提供人脸认证信息等个人敏感信息;
未建立并公布个人信息安全投诉、举报渠道;未按照法律法规要求或App承诺时限受理并处理用户个人信息投诉、举报。
结语
以上以案例分析方式为判别App违法违规收集使用个人信息行为提供参考,便于App运营者和网民了解《认定方法》条款之所指,从而更有针对性地提升保护个人信息水平和能力。同时,建议对App违法违规收集使用个人信息行为进行认定时应当秉承科学、客观、审慎的态度,以现有法律法规为根本依据,对于发现的问题需全面分析得出结论。比如,问题是否具备典型性、是否为普遍性问题、是否已存在解决方案、对个人权益的影响程度、对产业生态可能带来的影响等等。
个人信息保护的问题,已经开始步入“深水区”,而这其中对于个人信息保护与开发利用、产业生态创新与发展等方面的探讨将更加深入、复杂、具体。安全从来不是一个“孤立”的问题,如何以“治理工作”为契机,探索适应于当下安全态势和舆情趋势、有利于遏制违法违规乱象、有助于保障产业高质量发展的持续监督机制,是“当务之急”,也是“长久之计”。
(来源:“App个人信息举报”微信公众号)
