从《移动互联网应用程序(App)收集使用个人信息自评估指南》看个人信息保护着力点
为指导应用运营者对自身收集、使用个人信息行为进行自查自纠,2019年3月,应用专项治理工作组发布了《应用违法违规收集使用行为自查自查指南》。个人信息”。随着对App违法收集、使用个人信息行为评价工作的开展和深入,《App违法违规收集、使用个人信息行为认定办法》(以下简称《办法》)的出台测定方法”)、国家标准GB/T 35273-2020《信息安全技术个人信息安全规范》(以下简称《规范》)的修订,编写组结合各方经验和反馈,及时修订指南,2020年3月,《网络安全标准实施指南——移动互联网应用(App)收集和使用个人信息自评估指南(征求意见稿)》向社会公开征求意见稿,7月发布最新版《网络安全规范》实用指南——移动互联网应用(App)收集和使用个人信息自评估指南(以下简称“新版”)准则”)。
围绕《认定办法》中的六类违法违规行为,新版《指引》将一一解读细化。在结构上,删除了《征求意见稿》中各评价点的法律依据,使文本更加简洁实用;在内容上,更广泛地出台了相关法律法规和标准的要求,将六大评价要点细化为71条,多处补充了App个人信息保护合规路径和典型违法行为以注释的形式,帮助App运营者通过表象了解法律、法规和标准的要求,方便他们在自评过程中,有针对性地查找问题;从细化变化来看,文字更加简洁准确,要求更加贴近实际应用,充分体现了个人信息保护与良好用户体验相结合的编制思路。
一、依据法律法规、标准规范,注重信息保护技术文档的一致性。
新版《指南》是在新发布和修订的基础上修订了法律法规和标准的内容。
随着数字经济的发展,儿童个人信息面临着各种泄露风险。欧盟的《通用数据保护条例》也明确规定,儿童的个人数据应受到特殊保护。2019年8月,我国颁布首部未成年人数据保护专门法《儿童个人信息网络保护规定》。对应其第8条“网络运营者应当建立专门的儿童个人信息保护规则和用户协议”,新版《指引》对具有收集、使用儿童个人信息相关业务功能的应用增加1.1d)信息《个人信息保护规定》。
针对App嵌入第三方应用等个人信息收集,对应《规范》9.7新增的第三方访问管理要求,评估点5细分向他人提供个人信息的情况有第三方应用程序收集个人信息的几种方式,由应用程序直接发送给第三方,并在后台发送给第三方并被第三方访问。明确应用运营方需要向用户明确说明产品或服务中嵌入的第三方应用,第三方应用的采集行为需要用户授权。针对同一考核点不同文件存在差异的情况,新版《指南》有针对性地提出了自我考核建议。例如4.3c)在强制采集用户个人信息场景下结合了《规范》第四类第5款中“定向推送信息”和5.3f)中“增强安全性”的要求。以不正当方式获取信息,建议用户同意在这两种情况下不强制收集个人信息;上述两份文件中,回应用户查询、更正、删除个人信息和受理用户个人信息安全投诉举报的时限不一致,6.2b)和6.3b)采用了《决定》的要求方式”,即答复处理时限不得超过15个工作日。
可见,除了《规范》提出的个人信息保护基线要求外,App作为更注重与用户交互的服务方式,适合进一步选择更有利于用户的响应机制,到用户体验。此外,新版指南直接引用了引用规范中的相关要求,避免重复,将两者紧密结合。删除6.1c)中“为身份验证和注销过程提供额外的个人敏感信息”的描述,作为注销账户的不合理条件不仅是《规范》8.5c)和e)关于注销账户的描述取消身份验证时收集个人信息的条件回应也反映,对于注销账户等对用户权益影响较大的操作,要求企业在满足用户行使个人信息权利的同时,兼顾企业的合理合理性。保护用户权益、避免纠纷的诉求。
二、介绍标注实例,加深经营者对本质要求的理解
《指南》可视为对应用程序运营者自评估参考使用的法律、法规和标准进行细化和解释的要求。本版重点在上一版的基础上增加了扩展说明。同时,以“笔记”的形式介绍了运营商在个人信息保护方面的最佳实践,并对典型的APP违规应用场景进行了说明,增加了《指南》的实用性。
要求在“常规交互界面”显示隐私政策链接,存在范围不明确、容易产生歧义的问题。 ”,表示固定路径是指“我–设置–关于”或“我的–设置–隐私”等用户熟悉的页面跳转路径,准确表达了容易查找的意思隐私政策。
2019年专项治理工作中,发现多款APP存在“频繁征求用户同意,干扰用户正常使用”的违规行为。运营商常常困惑于如何理解这个要求的具体频率和应用场景。新版3.3a)、b)《指引》描述了App频繁征求用户意见的具体表现,同时用注解说明“支持App正常运行”等在某些情况下,用户主动选择使用的特定功能会触发同意请求。动作不是频繁的干扰行为。
为进一步明确收集个人信息前通知同意的合规要求,在3.1b)的备注中增加“用户同意前”的场景描述,更准确地解释了“同意”根据《规定》第三类行为第一款的含义,App收集个人信息的前提不仅是履行告知目的的义务,还应当取得用户的授权同意。此外,针对应用更新频繁的现状,新版《指引》补充了注3.5b),解释了在什么情况下应用更新无需再次征求用户同意,揭示了个人信息保护的本质应该真正站在用户的角度来做。说到要公开什么,就简单一点,不搞形式主义,不做无用功。
三、调整评价分值,突出个人信息保护与良好用户体验的结合
一方面响应用户诉求,兼顾使用便利性。另一方面,关注产业发展,增强企业实践的可操作性。
《网络安全法》第41条确认网络运营者有“公布收集使用规则”的义务,但并未规定具体形式和要求,因此独立的隐私政策是否是合规的必然要求一直是成为业界争论的焦点,也引起了运营商的广泛关注。 1.3c) 将原要求“另行以书面形式公布隐私政策”调整为“如因特殊原因需在用户协议、用户须知等文件中说明个人信息收集、使用规则的”作为展示条件,应尽可能显着标示,并标示“持续页面展示”,即是否单独制定和发布隐私政策可由运营者根据实际情况决定。这一要求的弱化,增强了用户个性化展示隐私政策的自由度,回应了用户因过多的文本协议导致的用户体验不佳的诉求。
为保证经营者做法的可操作性和指引的普适性,6.2d)不再强调对用户更正和删除个人信息的“同步”响应,而只是在后台“及时”执行操作。本次细则修订,既结合行业现状,降低技术难度,又从实际角度对保护用户权益提出了可行性要求;同时,当3.1a)要求在收集个人信息前选择同意或不同意时,应改为“自制”“主动选择”“可选”的用户授权行为描述,让App在设置相应功能时有更大的灵活性和创新空间,提升用户体验。
四、回应媒体热议,以问题为导向,向运营商提出建议
个人信息安全事件频发,引起媒体和公众的强烈关注,监管部门高度重视。 App专项治理工作主要是解决广大网民反映强烈的违法违规使用个人信息问题。新版《指引》在分析媒体热议问题的违法性质的基础上,提出了与《认定办法》中六类行为相对应的评价要点,提出了更加全面的建议。
经营者收集、使用个人信息的合规性。针对近期媒体热议,用户关心的App自启动、频繁访问用户通讯录、相册等问题。 4.4b) 明确在用户主动关闭App后,未经用户同意,不会以自启动或关联启动方式收集个人信息。本次补充,与App专项治理工作组通报的“收集用户个人信息的频率超出业务功能实际需求”问题相比,进一步明确了超出合理频率收集个人信息的典型场景。