鑒于不少App存在侵害用戶(hù)隱私����、權(quán)限濫用等諸多問(wèn)題�����,2019年伊始����,工信部、網(wǎng)信辦�、公安部、市場(chǎng)監(jiān)管總局四部門(mén)聯(lián)合發(fā)布了《關(guān)于開(kāi)展App違法違規(guī)收集使用個(gè)人信息專(zhuān)項(xiàng)治理的公告》��。2019年1月至12月��,在全國(guó)范圍內(nèi)組織開(kāi)展了App違法違規(guī)收集使用個(gè)人信息專(zhuān)項(xiàng)治理工作���。全年共檢測(cè)App多達(dá)460萬(wàn)個(gè),下架處置了違法違規(guī)App3.1萬(wàn)個(gè)�,集中核查了相關(guān)App線(xiàn)索3000余條,抓獲814人�����。
近日,工信部���、網(wǎng)信辦���、公安部、市場(chǎng)監(jiān)管總局四部委聯(lián)合制定并公開(kāi)發(fā)布了《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》(下稱(chēng)《認(rèn)定方法》)���,為認(rèn)定App違法違規(guī)收集使用個(gè)人信息行為提供參考����,為App運(yùn)營(yíng)者自查自糾和網(wǎng)民社會(huì)監(jiān)督提供指引����,深入落實(shí)了《網(wǎng)絡(luò)安全法》等法律法規(guī)。“一參考��、一指引�����、一落實(shí)”奠基了《認(rèn)定方法》在認(rèn)定App違法違規(guī)收集使用個(gè)人信息行為方面的重要影響力���。據(jù)悉��,2020年App安全認(rèn)證工作將依托《認(rèn)定方法》全面鋪開(kāi)����。
《認(rèn)定方法》共分為6項(xiàng)認(rèn)定準(zhǔn)則,包含31種場(chǎng)景��,App運(yùn)營(yíng)者只有對(duì)照本方法及時(shí)�、有效地自查自糾,才能減少或者避免被認(rèn)定為違法違規(guī)收集使用個(gè)人信息行為�����,才能充分經(jīng)受起相關(guān)部門(mén)����、社會(huì)公眾的共同監(jiān)督。
第一���,“未公開(kāi)收集使用規(guī)則”�。該項(xiàng)相較于征求意見(jiàn)稿�����,一是明確了App應(yīng)有易于閱讀的隱私政策��,不僅強(qiáng)調(diào)要有��,還要注重內(nèi)容的易讀性��,同時(shí)隱私政策中要明示收集使用個(gè)人信息的規(guī)則��。二是將明顯提示用戶(hù)閱讀隱私政策等收集使用規(guī)則的時(shí)間點(diǎn)����,固定在了App首次運(yùn)行時(shí),提示方式建議采取彈窗方式���,在彈窗內(nèi)展示內(nèi)容摘要并放置隱私政策全文鏈接����。三是著重強(qiáng)調(diào)了隱私政策要易于訪(fǎng)問(wèn)����,若進(jìn)入App主界面后,需多于4次點(diǎn)擊等操作才能訪(fǎng)問(wèn)��,則可被認(rèn)定為“未公開(kāi)收集使用規(guī)則”��。
第二,“未明示收集使用個(gè)人信息的目的���、方式和范圍”��。該項(xiàng)認(rèn)定方法直擊SDK隱瞞收集個(gè)人信息的隱私安全問(wèn)題�,相較于征求意見(jiàn)稿��,明確了逐項(xiàng)列舉的要求不僅適用于App自身收集使用個(gè)人信息的目的�����、方式和范圍�����,亦適用于App嵌入的第三方代碼�����、插件�����。同時(shí)為體現(xiàn)對(duì)個(gè)人敏感信息保護(hù)的突出性����,要求每次在需要用戶(hù)提供個(gè)人敏感信息時(shí)�,應(yīng)同步告知用戶(hù)其目的����,在收集個(gè)人敏感信息時(shí)���,提出更加嚴(yán)格����、更加具體的要求����。但本項(xiàng)中的第二條(收集使用個(gè)人信息的目的、方式���、范圍發(fā)生變化時(shí)�,未以適當(dāng)方式通知用戶(hù)��,適當(dāng)方式包括更新隱私政策等收集使用規(guī)則并提醒用戶(hù)閱讀等)��,筆者認(rèn)為其中存在值得思量的地方��,若App運(yùn)營(yíng)者隨著自身需要隨意改造隱私政策內(nèi)容,通過(guò)適當(dāng)方式告知用戶(hù)(例如進(jìn)入首頁(yè)時(shí)使用彈窗提示����,實(shí)踐中這種提示用戶(hù)關(guān)注度是很小的,用戶(hù)往往會(huì)直接選擇關(guān)閉彈窗)��,那么該如何鑒定此類(lèi)現(xiàn)象�����?
第三�,“未經(jīng)用戶(hù)同意收集使用個(gè)人信息”。該項(xiàng)認(rèn)定方法明確了運(yùn)營(yíng)者要合法合規(guī)收集使用個(gè)人信息���,不得在未取得用戶(hù)授權(quán)的前提下收集用戶(hù)個(gè)人信息�����;不得違反用戶(hù)意愿收集個(gè)人信息���;不得頻繁彈窗、干擾使用�����;不得超出授權(quán)范圍收集個(gè)人信息;不得以默認(rèn)選擇同意隱私政策等非明示方式征求用戶(hù)同意�����;不得未經(jīng)用戶(hù)同意私自更改用戶(hù)權(quán)限設(shè)置�;不得故意欺瞞、掩飾收集使用個(gè)人信息�;定向推送時(shí)��,要提供非定向推送信息的選項(xiàng)�����;需向用戶(hù)提供撤回同意的途徑和方式���;此外�,運(yùn)營(yíng)者還要“知行合一”��,不得違反其所聲明的收集使用規(guī)則�。經(jīng)過(guò)用戶(hù)同意收集使用個(gè)人信息,以及明確收集使用規(guī)則�,不僅是為了告知用戶(hù),更是為了提升運(yùn)營(yíng)者的行業(yè)規(guī)范���。
第四�,“違反必要原則,收集與其提供的服務(wù)無(wú)關(guān)的個(gè)人信息”��。該項(xiàng)直指App過(guò)度索取權(quán)限����、越界獲取個(gè)人信息等問(wèn)題,一是強(qiáng)調(diào)實(shí)際收集的個(gè)人信息類(lèi)型及索取的權(quán)限要與現(xiàn)有業(yè)務(wù)功能逐項(xiàng)對(duì)應(yīng)����,并且與現(xiàn)有業(yè)務(wù)功能直接相關(guān)。二是明確不得因用戶(hù)拒絕提供非必要個(gè)人信息或打開(kāi)非必要權(quán)限�,而拒絕提供業(yè)務(wù)功能,甚至變相強(qiáng)迫用戶(hù)同意收集非必要個(gè)人信息或打開(kāi)非必要權(quán)限的行為��。三是規(guī)范收集使用個(gè)人信息�����,需要符合必要性原則的基本要求�����,不得超范圍����、超頻率采集��,或者一次性打開(kāi)多個(gè)可收集個(gè)人信息的權(quán)限���。
第五,“未經(jīng)同意向他人提供個(gè)人信息”�����。該項(xiàng)為對(duì)外提供個(gè)人信息的合法性給出了指引��,一是明確App客戶(hù)端向第三方提供個(gè)人信息應(yīng)征得同意或匿名化處理��。二是規(guī)范數(shù)據(jù)傳輸至App服務(wù)器后���,對(duì)外提供個(gè)人信息的合法性。三是確保App接入第三方應(yīng)用提供個(gè)人信息應(yīng)征得用戶(hù)同意����。可以看出���,前兩點(diǎn)對(duì)外提供經(jīng)過(guò)匿名化處理無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的����,無(wú)需獲得用戶(hù)的同意,但接入第三方應(yīng)用提供個(gè)人信息必須得到用戶(hù)的授權(quán)同意�。
第六,“未按法律規(guī)定提供刪除或更正個(gè)人信息功能”或“未公布投訴�����、舉報(bào)方式等信息”���。該項(xiàng)著重強(qiáng)調(diào)為用戶(hù)提供注銷(xiāo)權(quán)�,保障用戶(hù)的行使權(quán)和投訴權(quán)�。一是明確應(yīng)提供刪除或更正個(gè)人信息和注銷(xiāo)賬號(hào)功能。二是不應(yīng)設(shè)置不必要或不合理?xiàng)l件�����,妨礙用戶(hù)行駛權(quán)利����。三是保障App后臺(tái)操作應(yīng)與用戶(hù)操作保持一致,不得欺騙�����、誤導(dǎo)用戶(hù),讓用戶(hù)誤以為已經(jīng)完成刪除���、注銷(xiāo)等操作���。四是明確建立、公布投訴和舉報(bào)渠道�,并在承諾時(shí)限內(nèi)對(duì)用戶(hù)權(quán)利要求進(jìn)行及時(shí)響應(yīng),最長(zhǎng)承諾時(shí)限不得超過(guò)15個(gè)工作日��。
《認(rèn)定辦法》作為大數(shù)據(jù)時(shí)代我國(guó)第一部App個(gè)人信息保護(hù)規(guī)范指引���,完善了征求意見(jiàn)稿諸多細(xì)節(jié)規(guī)定����,更加具體地細(xì)化了App收集個(gè)人信息行為認(rèn)定方法�����,并給了用戶(hù)更多的知情權(quán)�����、選擇權(quán)����、注銷(xiāo)權(quán)、投訴權(quán)等規(guī)定���,提高了嚴(yán)謹(jǐn)性和可執(zhí)行性�,為違規(guī)收集使用個(gè)人信息提供最根本的參考依據(jù)���。雖然App運(yùn)營(yíng)者在收集使用用戶(hù)個(gè)人信息時(shí)�����,多了相對(duì)明確的限制���,但也多了相對(duì)明確的合規(guī)指引。當(dāng)然����,App個(gè)人信息保護(hù)的規(guī)范工作仍在不斷探索,希望政府部門(mén)��、App運(yùn)營(yíng)者�、行業(yè)組織�、社會(huì)公眾等繼續(xù)攜手共治��,共同構(gòu)建安全有序的網(wǎng)絡(luò)生態(tài)環(huán)境�。(賽迪智庫(kù)網(wǎng)絡(luò)安全研究所)
轉(zhuǎn)自:中國(guó)電子報(bào)
【版權(quán)及免責(zé)聲明】凡本網(wǎng)所屬版權(quán)作品,轉(zhuǎn)載時(shí)須獲得授權(quán)并注明來(lái)源“中國(guó)產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”���,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力���。凡轉(zhuǎn)載文章及企業(yè)宣傳資訊,僅代表作者個(gè)人觀點(diǎn)�����,不代表本網(wǎng)觀點(diǎn)和立場(chǎng)�����。版權(quán)事宜請(qǐng)聯(lián)系:010-65363056����。
延伸閱讀
