12月30日,国家互联网信息办公室、工业和信息化部、公安部、市场监管总局四部委联合制定了《App违法违规收集使用个人信息行为认定方法》(下称:《认定方法》)。同日,App个人信息保护工作研讨会在京举办,研讨会上,App专项治理工作组成员何延哲对《认定方法》进行了解读。
根据何延哲在研讨会上公布的最新资料,App专项治理工作组建立了微信公众号“App个人信息举报”,截至目前,收到网民举报信息1.23万条,涉及2300余款App,工作组选取了其中用户量大,与民众生活相关的App进行了评估,委托14家测评机构对1000余款App进行了技术测评,督促问题严重的近300款App进行整改,整改问题达800余个。
何延哲表示,之所以该《认定方法》会出台并在年底发布,个人认为是经过一年工作上的经验积累,从举报、评估、整改到和企业的交流,最终形成了一个可以发挥更长久作用的文件。新京报记者注意到,《认定方法》共划分了六大类行为,为监督管理部门认定App违法违规收集使用个人信息行为提供参考。
第一类行为
“未公开收集使用规则”
包括在1.App中没有隐私政策,或者隐私政策中没有收集使用个人信息规则;2.在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;3.隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到;4.隐私政策等收集使用规则难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等。
何延哲表示,第一类行为的法律依据为《网络安全法》第四十一条与《消费者权益保护法》第二十九条。他表示,在前些年,App没有隐私政策是常态,而现在有隐私政策是常态,这也是现在App的进步。但他也指出,现在依然有中小型、用户量不大的App存在没有隐私政策的情况,也有一些App的隐私政策很不专业,或者和实际情况相差很大,这些情况都视为未公开收集使用规则。此外,隐私政策难以访问,找不到也视为此类行为,因为经过用户调研,许多用户在点击四次之后还找不到就懒得找了,这说明隐私政策在App里的优先级是垫底的,所以我们认为这对公开这个词表现的不够,视为未公开。
第二类行为
“未明示收集使用个人信息的目的、方式和范围”
包括:1.未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;2.收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等;3.在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解;4.有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等。
何延哲解读称,目前App和App中嵌入代码的第三方收集使用个人信息,都需要采取适当方式通知用户。“我们曾使用检测工具检测到一款App中嵌入了54个sdk,这么多sdk有没有个人信息泄露的风险,这些都要提。目前有一些App在整改后就做的很到位,有些专门列出了sdk的列表,甚至把第三方共享的接收方都列出来了,如果把明示工作做到这个程度,相信用户也会对App的信任度有很大的提升。此外,目前二次弹窗索取权限的情况非常多,有时用户对电话权限等的索取不理解,这方面的举报非常多。我们经过研究发现电话权限可能和设备信息相关,这需要企业和用户说清楚。”
第三类行为
“未经用户同意收集使用个人信息”
包括:1.征得用户同意前就开始收集个人信息或打开可收集个人信息的权限;2.用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用;3.实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围;4.以默认选择同意隐私政策等非明示方式征求用户同意;5.未经用户同意更改其设置的可收集个人信息权限状态,如App更新时自动将用户设置的权限恢复到默认状态;6.利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项;7.以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的;8.未向用户提供撤回同意收集个人信息的途径、方式;9.违反其所声明的收集使用规则,收集使用个人信息。
何延哲解读称,有时App会通过一些途径不经过用户同意收集个人信息,如一个公司旗下有很多App,一个App没有收集,但另一个App有,通过各类方法绕过用户同意。此外,默认勾选隐私政策也存在一些争议,“虽然默认这一行为现在比较少了,但有一些案例是App使用非常浅的颜色来提示用户,此时用户可能看不见或略过,这种情况我们就认为是默认了。”
第四类行为
“违反必要原则,收集与其提供的服务无关的个人信息”
包括:1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;2.因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;3.App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;4.收集个人信息的频度等超出业务功能实际需要;5.仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;6.要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。
何延哲解读称,要求用户一次性同意打开多个可收集个人信息的权限的行为,在今年各部门的治理工作下基本得到遏制,新上线的App基本不存在此类问题。而在收集范围方面,例如视频类App要地理位置、中介类应用要用户银行卡身份证、借贷类频繁要用户的通话记录和手机号,我们认为可能超出了必要的范围。
第五类行为
“未经同意向他人提供个人信息”
包括:1.既未经用户同意,也未做匿名化处理,App客户端直接向第三方提供个人信息,包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息;2.既未经用户同意,也未做匿名化处理,数据传输至App后台服务器后,向第三方提供其收集的个人信息;3.App接入第三方应用,未经用户同意,向第三方应用提供个人信息。
何延哲解读称,目前许多平台类的App嵌入了很多第三方,这个第三方可能是sdk,也可能是数据接口,但有时候用户还没同意,刚点开链接跳转过去,信息就已经传过去了,这就属于第五类行为。
第六类行为
“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”
包括:1.未提供有效的更正、删除个人信息及注销用户账号功能;2.为更正、删除个人信息或注销用户账号设置不必要或不合理条件;3.虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理;4.更正、删除个人信息或注销用户账号等用户操作已执行完毕,但App后台并未完成的;5.未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理的。
何延哲解读称,注销账户不合理的问题还比较突出,什么是不合理的还需要进一步研究,例如在注销的时候要核验用户身份是必要的,但核验的信息类型不能多于之前注册的,比如有时注册时只需要提供手机号即可,但注销时要提供身份证号甚至手持身份证照片,这恐怕是不合理的。
新京报记者注意到,网信办、工信部、公安部、市场监管总局四部委均出席了此次App个人信息保护工作研讨会,在会上各部委均对一年以来的个人信息保护工作做出了总结,如公安部十一局处长赵云霞表示今年以来共检测了App460余万个,下架处置了违法违规App3.1万个,集中核查了相关App线索3000余条,抓获814人;市场监管总局认证监管司处长邱磊表示首批App安全认证书计划于近期发布,2020年App安全认证工作将全面铺开。
新京报记者 罗亦丹 编辑 徐超 校对 陈荻雁