《App违法违规收集使用个人信息自评估指南》逐条解读与要点提示
王新锐(北京市安理律师事务所)
罗 为(北京市安理律师事务所)
本文为威科先行法律信息库首发文章
2019年1月25日,中央网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》(以下简称《公告》)(见《关于开展App违法违规收集使用个人信息专项治理的公告》解读(一))。为落实《公告》的内容,受四部门委托,全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立App违法违规收集使用个人信息专项治理工作组(以下简称“App专项治理工作组”),具体推动App违法违规收集使用个人信息评估工作。
3月1日,App专项治理工作组编制并发布了《App违法违规收集使用个人信息自评估指南》(以下简称《自评估指南》),之后还会发布《App违法违规收集使用个人信息评估要点和操作规程》、《大众化应用基本业务功能及必要信息规范》。
根据我们对监管思路的理解,企业先通过自评估并进行相应整改,可以减少监管机构采取严厉手段的压力,某种程度上给企业提供了政策的缓冲期,但时间窗口并不长。从总体上看,《自评估指南》主要聚焦于现实中比较突出的问题,针对性非常强,各项具体要求主要来源于《网络安全法》、《消费者权益保护法》、《信息安全技术 个人信息安全规范》(以下简称《个人信息安全规范》),以及于今年1月30日发布征求意见的《信息安全技术 个人信息安全规范(草案)》(以下简称《个人信息安全规范》2.0),并在此基础上提出了进一步的细化要求。而对于这些首次出现的细化要求,企业在自查自纠时应当特别关注。
“汝果欲学诗,工夫在诗外”,《自评估指南》虽然字数不多,但实际包含的信息量很大,我们下面将进行逐条的拆解,尽可能还原相关监管机构在个人信息方面的治理思路,并给出相应建议。
一、隐私政策文本
评估项1:隐私政策的独立性、易读性
评估点 | 评估标准 |
1.是否有隐私政策 | 在App界面中能够找到隐私政策,包括通过弹窗、文本键接、常见问题(FAQs)等形式。 |
解读:
隐私政策,概念来源于英美的privacy policy,其并非仅仅局限于用户隐私问题,而是以个人信息保护为核心,由App运营者制定的关于用户个人信息的收集、使用等方面的一套规则,主要出于约定俗成的原因而被称为隐私政策,也有的企业改称“隐私保护指南”或“个人信息保护指南”。该隐私政策必须经过被收集者的同意,发布隐私政策是保证个人信息主体知情权的重要手段。清晰的隐私政策,才能实现《网络安全法》要求的“明示收集、使用信息的目的、方式和范围”。
《个人信息安全规范》2.0第5.6节d)项规定:“隐私政策应公开发布且易于访问,例如,在网站主页、移动应用程序安装页、社交媒体首页、或本标准5.4或5.5规定的交互界面或设计等显著位置设置链接。” App运营者首先应当制定隐私政策,并保证用户可在App界面内对该隐私政策进行访问。具体访问方式包括用户下载登录时弹窗提醒、在App中放置阅读链接或者在常见问题板块提供相应链接等。
值得说明的是,一些大型集团旗下拥有多款App,如果没有制定单独的隐私政策,但有集团内统一适用的隐私政策也是可以被接受的,但是要注意该集团统一适用的隐私政策应当在集体旗下各个App中都能够被查找到。
评估点 | 评估标准 |
2.隐私政策是否单独成文 | 隐私政策以单独成文的形式发布,而不是作为用户协议、用户说明等文件中的一部分存在。 |
解读:
本条首次提出了隐私政策应当单独成文的标准,是在《个人信息安全规范》等文件“应当制定隐私政策”要求上的进一步细化。在实践中,部分App运营者并未制定单独成文的隐私政策,其个人信息收集、使用等相关的规则散见于用户协议、用户说明等其他文件中,对普通用户来说查找困难,更不要说理解。本条标准要求隐私政策单独成文,是对隐私政策重要性的再次重申,App运营者应当明确区分隐私政策与用户协议、用户说明等文件,采用“隐私政策”或类似名称,并将与个人信息保护相关的内容全部单独列于独立的隐私政策当中。据我们调研,还有相当多的头部App至今没有起草单独的隐私政策,其一旦遇到个人信息风险事件,无疑会比其他企业承担更重的责任。
需要说明的是,很多企业认为用户不会认真阅读隐私政策,因此随意对待,甚至直接抄袭同类公司的隐私政策。但隐私政策的读者既包括用户,也包括监管机构、司法机构、研究者和媒体,是外界监督企业的主要文本依据,某种程度上也是企业提出抗辩的主要依据。
评估点 | 评估标准 |
3.隐私政策是否易于访问 | 进入App主功能界面后,通过4次以内的点击,能够访问到隐私政策,且隐私政策链接位置突出、无遮挡。 |
解读:
《个人信息安全规范》要求“隐私政策应公开发布且易于访问”,本条评估标准在此基础上首次明确提出了“4次以内”的点击次数标准,将“易于访问”的标准具体化。根据本条标准,用户在点击进入App主功能界面后,应当能够通过4次内的点击看到隐私政策文本。点击次数的计数从进入主功能界面开始, 4次以内的点击应当理解为包含4次。经过测试,目前常用的几款社交、购物、导航类App中,用户基本能够在进入主界面后通过4次点击访问到隐私政策。
此外,本条还提出隐私政策链接应当位置突出、无遮挡,对此,建议App运营者对隐私政策链接采用不同颜色、不同字体的标注方式。看似只是很小的变化,但从以往的司法实践中也能起到一定的抗辩效果。
评估点 | 评估标准 |
4.隐私政策是否易于阅读 | 隐私政策文本文字显示方式(字号、颜色、行间距等)不会造成阅读困难。 |
解读:本条从隐私政策文本文字显示方式方面评估隐私政策是否易于阅读,要求App运营者不得通过缩小字号、选择辨识度较低的颜色或者减少行间距等方式给用户阅读增加障碍。易于阅读,也是知情同意原则的延伸。
隐私政策的排版,也具有实际的法律意义。在某些行为给用户带来较高风险时,我们尤其建议采用具有区分度的排版提示用户注意,如对隐私政策文本区分字体、字号、颜色,通过加粗、下划线、增加行间距、段落间距等方式标注重点、区分段落,还可以添加目录与内部跳转链接等。
此外《个人信息安全规范》第5.6节第c)项中规定“隐私政策的内容应当清晰易懂。符合通用的语言习惯,使用标准化的数字、图示等,避免使用有歧义的语言,并在起始部分提供摘要,简述告知内容的重点”。
· 评估项2:清晰说明各项业务功能及所收集个人信息类型
评估点 | 评估标准 |
5.是否明示收集个人信息的业务功能 | 隐私政策中应当将收集个人信息的业务功能逐项列举,不应使用“等、例如”字样。 注:业务功能是指App面向个人用户所提供的一类完整的服务,如地图导航、网络约车、即时通讯、社区社交、网络支付、新闻资讯,网上购物、短视频、快递配送、餐饮外卖、交通票务等。 |
解读:
基于此,本条评估要求App运营者在隐私政策中以穷举的方式,将收集个人信息的业务功能逐一列明。实践中,不乏有App在其隐私政策中对于业务功能范围用“等”字来模糊处理,希望以此扩大用户在同意该隐私政策时的授权范围。但本条标准提出后,App运营者应当重新逐一梳理其App内提供的所有业务功能,一一核对各项业务功能是否存在收集个人信息的情况,并将其中收集个人信息的业务功能在隐私政策中逐一列明,不应遗漏。
评估点 | 评估标准 |
6.业务功能与所收集个人信息类型是否一一对应 | 隐私政策中对每个业务功能都应说明其所收集的个人信息类型,不应出现多个业务功能对应一类个人信息的情况。 |
解读:
本条要求是第一次出现,在评估点5的基础上进一步要求隐私政策中对各个业务功能收集的个人信息的类型进行分别说明,且特别强调“不应出现多个业务功能对应一类个人信息的情况”,即有多少项业务功能,就对应做多少次收集个人信息类型的说明。评估点5与评估点6进行如此细致的拆分,足以看出此次评估对隐私政策制定中“清晰说明”方面的严格要求,对此 App运营者应当予以足够重视其中发出的信号。
根据我们以往的经验,这条要求会给起草隐私政策带来相当大的难度,必须和业务“严丝合缝”,也要求企业在App进行调整或升级时,相应调整隐私政策。
评估点 | 评估标准 |
7.是否明示各项业务功能所收集的个人信息类型 | 每个业务功能在说明其所收集的个人信息类型时,应在隐私政策中逐项列举,不应使用“等、例如”等方式概括说明。 |
解读:
本条评估主要针对各业务功能收集的个人信息类型,在穷举所有业务功能的前提下,要求对各项业务功能所收集的个人信息类型也进行分别的穷举列明。因此,App运营者不得再使用概括性语言综述所收集个人信息,如“我们收集您的身份等相关信息”此类描述,而应明确写明“我们收集您的姓名、电话号码、地址信息”。
此外,根据《个人信息安全规范》2.0的新增规定,隐私政策的内容应包括但不限于“各业务功能分别收集的个人信息类型,区别基本业务功能及其运行所必要收集的个人信息,以及扩展业务功能及其运行所必要收集的个人信息。”如该版本修订后正式生效,App运营者应当在对业务功能进一步区分的基础上列明各项业务功能所必要收集的个人信息。
App运营者应当在梳理其业务功能的过程中,对各项业务功能收集的个人信息进行细致检查、记录,确保能够将其准确地、一一对应地列明在隐私政策当中。对于遏制过度收集个人信息,这条会起到比较重要的作用,但也确实会和很多企业的业务流程发生碰撞,对个人信息保护的相关负责人提出了很高的要求。
评估点 | 评估标准 |
8.是否显著标识个人敏感信息类型 | 隐私政策应对个人敏感信息类型进行显著标识(如字体加粗、标星号、下刻线、斜体、颜色等)。 注:个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)未成年人的个人信息等。(该定义见GB/T 35273《个人信息安全规范》3.2节) |
解读:
以往对敏感信息的判定还是存在一定的争议,根据《个人信息安全规范》2.0附录B,对个人敏感信息的判定可以从泄露、非法提供以及滥用三个角度进行,也即在发生某类个人信息的泄露、非法提供以及滥用的情况下,若会对个人信息主体权益带来重大风险,则该类信息属于个人敏感信息。同时该规范附录B对个人敏感信息举例如下。
· 评估项3:清晰说明个人信息处理规则及用户权益保障
评估点 | 评估标准 |
9.App运营者的基本情况 | 隐私政策应对App运营者基本情况进行描述,至少包括: 1、公司名称; 2、注册地址; 3、个人信息保护相关负责人联系方式 |
解读:
《个人信息安全规范》中便明确要求“个人信息控制者应制定隐私政策,内容应包括但不限于:1)个人信息控制者的基本情况,包括注册名称、注册地址、常用办公地点和相关负责人的联系方式等”。但该条款在目前隐私政策的起草中并未引起足够的重视,主要体现为以下两个方面:第一,App运营者的基本情况未在隐私政策中进行描述。其实不少App会在用户注册服务协议中介绍公司的基本情况,或者在App中设置类似于“关于我们”等专门介绍性的页面,但由于未体现在隐私政策中可能会构成违规。第二,目前隐私政策中普遍未提供个人信息保护相关负责人联系方式。《个人信息安全规范》仅要求提供“相关负责人”的联系方式,《自评估指南》将相关负责人明确定义为与个人信息保护相关的负责人。
该条款从表面上看是对形式的规定,似乎不难满足(如果是旗下拥有多家公司但运用统一隐私政策的大型集团,本条如何执行还是值得讨论的),但我们认为《指南》中单独列明运营者的基本情况必须纳入隐私政策是别有深意的。首先,运营者基本信息的披露将为个人行使权利、进行举报监督等提供方便。自四部门开展App专项治理以来,专项治理工作组设立了“App个人信息举报”微信公众号和pip@tc260.org.cn专用邮箱两种举报渠道,隐私政策中提供的信息将便于用户行使举报权利,也方便了用户对于更正权、删除权等权利的行使。其次,隐私政策的要求将反向迫使运营者落实个人信息保护负责人等相关制度。《个人信息安全规范》中明确规定了运营者应当任命个人信息保护负责人和个人信息保护工作机构,并且对职责进行了具体规定,若运营者的主要业务涉及个人信息处理且从业人员规模大于200人,或者处理的个人信息量达到了10.1节c)项规定的规模,则还要求运营者设立专职的个人信息保护负责人和个人信息保护工作机构。隐私政策的要求将促使企业尽快明确相关负责人并对其职责进行落实。
为此,我们建议企业:1. 在隐私政策中设立专门的版块介绍运营者的基本情况。2. 对照前述《个人信息安全规范》的规定,审查自身是否属于需要设立专职个人信息保护负责人的情形,确保公司内部的责任部门和人员满足要求。3. 确保相关版块中提供的公司注册名称、注册地址、个人信息保护相关负责人联系方式准确无误,并确保一旦负责人发生了变动,有流程能够对隐私政策信息进行及时更新。
评估点 | 评估标准 |
10.个人信息存储和超期处理方式 | 隐私政策应对个人信息存放地域(国内、国外);存储期限(法律规定范围内最短期限或明确的期限)、超期处理方式进行明确说明 |
解读:
该条标准对个人信息存储和超期处理方式两方面进行了规定。在个人信息存储方面,《网络安全法》第37条规定了关键信息基础设施运营者在我国境内运营中收集和产生的个人信息必须在境内存储。在国家网信办颁布的《个人信息和重要数据出境安全评估办法(征求意见稿)》的第二条中,更是要求所有网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据都应当存储在境内。因业务需要,确需向境外提供的,应当按照该办法进行安全评估。
对于存储期限和超期处理方式的规定主要来自于《个人信息安全规范》中的个人信息保存时间最小化的要求,具体包括:“a)个人信息保存期限应为实现目的所必需的最短时间;b)超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理。” 其中,删除的定义为“在实现日常业务功能所涉及的系统中去除个人信息的行为,使其保持不可被检索、 访问的状态”,匿名化的定义为“通过对个人信息的技术处理,使得个人信息主体无法被识别,且处理后的信息不能被复原的过程”。
目前何为“实现目的所必须的最短时间”并没有明确的标准,但一般可以认为,当用户选择了退出某项业务功能、注销账户或者运营者自身停止运营时,便不再有继续存储的必要,运营者应当采取相应的删除、匿名化措施。
从现状来看,鉴于许多App还未对自身不同业务功能和所需的信息进行对应,“一揽子授权”的情况仍然存在以及部分App不提供注销服务,这条标准的实施前提即存在问题,在自身停止运营时的个人信息处理情况也很少能在隐私政策中看到。
为了达到合规目的,我们建议运营者可以:1. 对存储期限进行说明,例如对部分个人信息规定在“在App使用期间”,对于部分某特定功能需要的个人信息,规定在“该业务开通期间”。2. 对不同业务功能所需的个人信息进行梳理,并在隐私政策中说明退出各业务功能时部分个人信息的处理方式。3. 在隐私政策中说明用户注销账号后个人信息的处理方式。4. 在隐私政策中说明App停止运营后个人信息的处理方式。5. 对照《个人信息安全规范》中对删除、匿名化的定义,检验自身对个人信息处理后的效果。6. 审查自身对个人信息的管理机制,确保用户在退出特定业务、注销账号时能够及时完成处理。
评估点 | 评估标准 |
11.个人信息的使用规则 | 如果App运营者将个人信息用于用户画像、个性化展示等,隐私政策中应说明其应用场景和可能对用户产生的影响。 |
解读:
《个人信息安全规范》对于用户画像的定义是“通过收集、汇聚、分析个人信息,对某特定自然人个人特征,如其职业、经济、健康、教育、个人喜好、信用、行为等方面做出分析或预测,形成其个人特征模型的过程”。用户画像还可以分为“直接使用特定自然人的个人信息,形成该自然人的特征模型”的直接用户画像和“使用来源于特定自然人以外的个人信息,如其所在群体的数据,形成该自然人的特征模型”的间接用户画像。《个人信息安全规范》2.0增加了对个性化展示的定义,个性化展示是指“基于特定个人信息主体的网络浏览历史、兴趣爱好、消费记录和习惯等个人信息,向该个人信息主体展示信息内容、提供商品或服务的搜索结果等活动”。
用户画像和个性化展示的问题是目前立法关注的焦点。在四部门联合发布的公告中提出“倡导App运营者在定向推送新闻、时政、广告时,为用户提供拒绝接收定向推送的选项”。《个人信息安全规范》2.0中也对个性化展示的退出机制进行了诸多规定,但个性化展示对个人信息的使用程度,具体的退出机制还有待与监管部门进行进一步沟通明确。
运营者在进行合规时应重点关注《个人信息安全规范》的下列规定,第一,“除为达到个人信息主体授权同意的使用目的所必需外,使用个人信息时应消除明确身份指向性,避免精确定位到特定个人。例如,为准确评价个人信用状况,可使用直接用户画像,而用于推送商业广告目的时,则宜使用间接用户画像;”第二,“当仅依据信息系统的自动决策而做出显著影响个人信息主体权益的决定时(例如基于用户画像决定个人信用及贷款额度,或将用户画像用于面试筛选),个人信息控制者应向个人信息主体提供申诉方法。”
我们建议运营者:全面梳理目前直接用户画像、间接用户画像的应用情形,梳理应用场景中会对个人信息主体权益产生影响的情形,对于会对个人信息主体权益产生影响的应用场景,在隐私政策中为个人信息主体提供申诉方法。
评估点 | 评估标准 |
12.个人信息出境情况 | 如果存在个人信息出境情况,隐私政策中应将个人出境信息类型列出并显著标识(如字体加粗、标星号、下划线、斜体、颜色等)。 |
解读:
《个人信息安全规范》中规定,“如果个人信息存在跨境传输情况,需单独列出或重点标识”,国家网信办发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》第四条规定,“个人信息出境,应向个人信息主体说明数据出境的目的、范围、内容、接收方及接收方所在的国家或地区,并经其同意。未成年人个人信息出境须经其监护人同意。”目前《信息安全技术 数据出境安全评估指南》正处于征求意见稿阶段,一旦其生效,便意味着个人信息跨境传输需要进行安全评估,由于具体评估流程和审查标准较为复杂,我们之后将在专门的文章中另行阐述。
在进行此项评估时,企业应特别注意:1. 对个人出境信息分类进行具体说明,如姓名、出生日期、身份证号码等等,而不能笼统地说存在身份信息的出境,具体信息类型可以参照《个人信息安全规范》附录。2. 对个人出境信息类型进行显著标识,具体方法可参考标准中所列举的。3. 慎重审查隐私政策中列明的个人出境信息的范围,《数据跨境安全评估指南》即将生效,届时个人信息出境将严格要求个人同意。若隐私政策中规定的范围过窄,可能难以满足企业出境的需要,但若规定的过宽,则可能难以满足数据出境目的评估中必要性的要求,隐私政策本身的合理性也将受到质疑。
值得运营者注意的是,《个人信息和重要数据出境安全评估办法》和《数据出境安全评估指南》规制的对象为个人信息,而根据《个人信息安全规范》的规定,个人信息经匿名化处理,使得个人信息主体无法被识别,且处理后的信息不能被复原的,处理后的信息便不属于个人信息,换言之,进行匿名化处理后的信息不再受上述法律的规制,若同时不构成重要数据,在出境时的阻力将大大减少,也无需再特别说明、征得个人的同意,故企业可考虑根据自身情况是否采取一定的匿名化措施以减轻合规的压力。
评估点 | 评估标准 |
13.个人信息安全保护措施和能力 | 隐私政策中应对App运营者在个人信息保护方面采取的措施和具备的能力进行说明,如身份鉴别、数据加密、访问控制、恶意代码防范、安全审计等。 |
解读:
《网络安全法》第42条规定,“网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。”以网安法为根据,近年来我国陆续出台了一系列与个人信息安全相关的标准,如2015年4月1日实施的《信息安全技术 云计算服务安全能力要求》,2018年7月1日实施的《信息安全技术 大数据服务安全能力要求》,国家也开展了一系列的认证、评估,如2019年2月国内首次公布“个人信息安全管理体系认证”认证结果。
对App运营者而言,可以考虑从安全技术措施和内部管控流程两方面入手审查自身个人信息安全保护措施和能力。在安全技术措施方面,可以首先对自身在个人信息处理、存储等过程中使用的技术措施进行全面梳理,并按照相关的国家标准,如《信息安全技术 数据安全能力成熟度模型》(报批稿,目前首批试点已启动)等确定自身的安全能力。根据自身App的性质,可以考虑是否有申请某些安全认证的必要。在内部管控流程方面,可以对照《个人信息安全规范》和相关国家标准中的具体要求,对于安全审计流程、访问控制机制等进行逐条落实。
具体隐私政策中的相关说明可以通过如下方式进行:1. 列举对个人信息进行安全保护的技术措施,如数据加密技术、身份识别技术等。2. 参考相关的国家标准对自身的安全能力等级进行说明。3. 说明自身遵循的个人信息安全协议和取得的认证。包含目前主动遵循的 国际或国内的个人信息安全法律、法规、标准、协议等,以及目前已取得的个人信息安全相关的权威独立机构认证。4. 说明运营者内部的安全管控措施,如个人信息访问、使用的授权,安全审计机制,个人信息的保留和删除机制等。
评估点 | 评估标准 |
14.对外共享、转让、公开披露个人信息规则 | 如果存在个人信息对外共享、转让、公开披露等情况,隐私政策中应明确以下内容: 1、对外共享、转让、公开披露个人信息的目的; 2、涉及的个人信息类型; 3、接收方类型或身份。 |
解读:
《个人信息安全规范》中对个人信息的共享、转让、公开披露等行为进行了定义,公开披露是指向社会或不特定人群发布信息的行为,转让是指将个人信息控制权由一个控制者向另一个控制者转移的过程,而共享指向的是个人信息控制者向其他控制者提供个人信息,且双方分别对个人信息拥有独立控制权的过程。
对外共享、转让和公开披露作为对个人信息的使用是需要获得个人信息主体的授权同意的。该条标准在《个人信息安全规范》中也可以找到依据。从立法趋势来看,对于个人信息对外共享、转让、公开披露的管控趋于严格。不仅需要进行个人信息安全影响评估,近期发布的《个人信息安全规范》2.0还增加了对第三方接入管理的要求。
我们认为隐私政策的自我审查中要着关注几点:1. 对外共享、转让、公开披露个人信息目的的说明中要尤其注重合理性和正当性,不仅需要说明自身行为的目的,对于第三方使用个人信息的目的也应当进行说明。2. 说明涉及的个人信息类型应当尽可能详细化,尤其应当注意个人敏感信息类型。3. 在说明接收方类型或身份时应当重点说明个人信息流动过程中的面临的风险,以及接收方对于个人信息的安全保护能力、采取的安全措施等。更具体的要求可以参照《个人信息安全规范》中个人信息共享、转让和公开披露的相关规定。
评估点 | 评估标准 |
15.用户权利保障机制 | 隐私政策应对以下用户操作方法提供明确说明: 1、个人信息查询 2、个人信息更正 3、个人信息删除 4、用户账户注销 5、撤回已同意的授权 |
解读:
《个人信息安全规范》中规定了主体参与原则,要求运营者向个人信息主体提供能够访问、更正、删除其个人信息,以及撤回同意、注销账户等方法。标准中所列的每一项都是个人信息主体享有的权利,不少App的隐私政策已经通过专门章节对用户权利进行了描述,但这次评估中不仅要求App运营者保障用户权利,更要求对用户的行使权利方法提供明确说明,这意味着运营者不能再通过喊口号的方式进行宣示性规定,而是必须建立实际的用户行使权利渠道。
目前App涉嫌违规主要体现在几个方面:一是相关渠道缺失,如部分App不提供用户账户注销的途径,针对注销难的情况,上海市通信管理局曾于2018年对上海80余家互联网企业及260余项互联网业务的用户账号进行过专项抽查和整治。二是对用户行使权利附加不合理的条件,用户行使权利程序复杂,违背同样简便要求。例如某App注销时需要“说明注销原因、提供ID号、身份证正反面照片、手持身份证正反面照片、去手机营业厅开具手机号归属证明”等显然明显不合理的条件。三是用户行使权力达不到应有的效果。例如某些App虽然进行了用户注销,声称删除了个人信息,但被注销的账号再次被激活后之前的信息全在,显然不符合《个人信息安全规范》中对于删除、匿名化效果的定义。上述违规的行为需要企业特别注意,在规定本条标准下的操作方法时,可以对照《个人信息安全规范》中对个人信息主体各项权利的描述一一落实,在规定用户可以行使权利的条件、行使权利的程序、行使权利的结果时注意不要违反《个人信息安全规范》的要求。
评估点 | 评估标准 |
16.用户申诉渠道和反馈机制 | 隐私政策中至少提供以下一种投诉渠道: 1、电子邮件 2、电话 3、传真 4、在线客服 5、在线表格 |
解读:
《个人信息安全规范》要求隐私政策中规定“处理个人信息主体询问、投诉的渠道和机制,以及外部纠纷解决机构及联络方式。”该评估标准对运营者可以选择的内部投诉渠道进行了列举,具体实施中,运营者可以通过提供电子邮箱地址、电话号码、传真地址等方式满足合规要求。在《个人信息安全规范》附录给出的推荐模板中,还建议明确用户可以收到回应的时间。附录还建议运营者对外部争议解决机构及联络方式进行说明,例如说明运营者所在管辖区的法院,提供行业自律协会的信息等等。
评估点 | 评估标准 |
17.隐私政策时效 | 应明确标识隐私政策发布、生效或更新日期。 |
解读:
我们认为这一评估点体现了监管部门对隐私政策透明度的要求,目前大多数App的隐私政策没有明确表明其时效性。相关隐私政策发布、生效或更新的时间,能够使用户更清楚地了解App运营者发布、更新隐私政策的情况,也能督促App运营者根据法律要求及时更新隐私政策。
评估点 | 评估标准 |
18.隐私政策更新 | 如果发生业务功能变更、个人信息出境情况变更、使用目的变更、个人信息保护相关负责人联络方式变更的情形时,隐私政策应进行相应修订,并通过电子邮件、信函、电话、推送通知等方式及时告知用户。 |
解读:
《个人信息安全规范》5.6节第f)项已有类似规定:“在本条a)所载事项发生变化时,应及时更新隐私政策并重新告知个人信息主体。”我们认为,该评估点的要求,主要包括两个方面:首先,一旦涉及产品业务功能、个人信息出境情况、个人信息使用目的发生变更,或者个人信息保护相关负责人联络方式发生变更,App运营者应当及时对其隐私政策做出修订,避免出现发生上述变更但是有关用户无法获取相关信息的情况。其次,App运营者的义务在及时更新隐私政策之外,还包括采取合理的方式履行其告知义务。值得注意的是,本项评估标准列举的通知方式不包括“公告”,尽管有“等方式”这一兜底用语,但从已列举的情形来看我们认为监管部门要求App运营者进行通知时应尽量采取能够直接通知到个人的方式。
此外,我们认为,如用户不同意更新后的隐私政策,App中还应当提供注销账号等服务,使用户可以停止使用相关产品或服务,或停止使用其不同意的内容所对应的业务功能。
· 评估项4:不应在隐私政策等文件中设置不合理条款
评估点 | 评估标准 |
19.隐私政策等文件是否存在免责等不合理条款 | App运营者不应在用户协议、服务协议、隐私政策等文件中出现免除自身责任、加重用户责任、排除用户主要权利条款。 注:免除自身责任是指App运营者免除其依照法律规定应当负有的强制性法定义务; 加重用户责任是指App运营者要求用户在法律规定的义务范围之外承担责任或损失; 排除用户主要权利是指App运营者排除用户依照法律规定或者依照合同的性质通常应当享有的主要权利。 |
解读:
用户协议、服务协议、隐私政策的内容属于App运营者为了重复使用而预先拟定,且未与用户协商的格式条款,而不合理的免责条款一直是格式条款存在的突出问题。《消费者权益保护法》第26条规定,“经营者不得以格式条款、通知、声明、店堂告示等方式,作出排除或者限制消费者权利、减轻或者免除经营者责任、加重消费者责任等对消费者不公平、不合理的规定,不得利用格式条款并借助技术手段强制交易。”
中国消费者协会于2018年11月28日发布的《100款App个人信息收集与隐私政策测评报告》即指出,大量App的隐私条款存在不合理免责条款,其中金融理财类和邮箱云盘类App不合理免责条款问题更为突出。如,某些金融理财类App的隐私政策中出现“自愿承担风险,个人承担一切责任”等条款,某些邮箱类App的隐私政策中则出现“对于外部链接不承担责任”、“附赠产品免责”等不合理的免责条款。
当然,我们并不认为App用户协议、服务协议、隐私政策中关于App运营者的所有免责条款均会被认定无效或者不合理。通过对评估标准的解读可以得知,App运营者基于商业运营的合理需要仍可以设定相关免责条款,监管部门的关注点在于评判该等免责条款是否公平,是否会使得App运营者免除其强制性法定义务,以及是否要求用户承担法律规定及合同约定之外的责任。
我们认为,隐私政策等文件中存在的存在免责等不合理条款,将是本次整治活动的排查重点,App运营者不仅需要重视上述免责条款的约定,还需履行关于格式条款的提示、说明义务并且遵守格式条款的解释规则等规定,最好能采取加粗、下划线等合理方式提请用户注意免除或者限制其责任的条款;并确保有关条款应易于理解,避免使用有歧义的语言。
二、App收集使用个人信息行为
· 评估项5:收集个人信息应明示收集目的、方式、范围
评估点 | 评估标准 |
20.是否向用户明示收集、使用个人信息的目的、方式、范围 | 1、在用户安装、注册或首次开启App时,应主动提醒用户阅读隐私政策。 2、当App打开系统权限时(不包括用户自行在系统设置中打开权限的情况),App应当说明该权限将收集个人信息的目的。 3、收集个人敏感信息时,App应通过弹窗提示等显著方式向用户明示收集、使用个人信息的目的、方式、范围。 |
解读:
本项评估标准旨在保障用户的知情权,确保用户知悉隐私政策、App使用的系统权限及收集个人敏感信息的情况。目前,部分App在用户安装、注册或首次开启时,未将隐私政策放置在注册、登陆界面提示用户阅读,或在勾选处采用预填写“登陆即代表同意隐私政策”等方式取得用户同意;在App打开系统权限时,部分App未向用户提示该等操作,或仅说明将使用相关权限但未对权限开启目的进行说明;在收集个人敏感信息时,部分App也未向用户进行说明。根据《100款App个人信息收集与隐私政策测评报告》,79款App隐私政策存在默认同意或未提示阅读等问题;59款App未明确告知收集个人信息类型,且收集敏感信息时未明确告知用户信息的用途。
值得一提的是,在《个人信息安全规范》2.0第5.6节中,特意增加了相关规定,“在个人信息主体首次使用产品或服务、注册账号等情形时,宜通过弹窗等形式主动向其展示隐私政策的主要或核心内容、帮助用户理解并决定是否选择同意相应规则并继续使用该产品或服务。”
我们注意到,该项评估标准要求在用户注册安装、打开系统权限以及收集个人敏感信息三个节点均以弹窗或其他说明方式反复履行告知义务,我们建议App运营者内部合规部门和业务部门共同协商探讨,在不会过度影响用户体验的情况下,履行其合规义务。
评估点 | 评估标准 |
21.若使用Cookie及其同类技术收集个人信息,是否向用户明示 | 当使用Cookie等同类技术(包括脚本、Clickstream、Web信标、Flash Cookie、内嵌Web链接、sdk等)收集个人信息时,应向用户明示所收集个人信息的目的、类型。 |
解读:
App使用Cookie等同类技术收集个人信息的情况,一直是App用户关注的要点,也是监管部门关注的重点,在《个人信息安全规范》附录D的隐私政策模版中,针对“如何使用Cookie和同类技术”的编写要求,也给出了相应的合规范例。
我们建议,App运营者在隐私政策中将“如何使用Cookie和同类技术”作为单独的一部分进行说明,并向用户提供限制自动工具进行数据收集的方法和详细的指导,具体可参考《个人信息安全规范》附录D隐私政策模版的要求和示范性表述并结合App的具体情况起草相关条款。
评估点 | 评估标准 |
22.若存在嵌入第三方代码插件收集个人信息的功能,是否向用户明示 | 如果通过嵌入第三方代码、插件等方式将个人信息传输至第三方服务器,应通过弹窗提示等方式明确告知用户。 |
解读:
与其他个人信息收集方式相比,通过嵌入第三方代码、插件等方式将个人信息传输至第三方服务器的行为更为隐蔽,通常情况下用户对此类行为没有直观的感知,而相关个人信息被第三方收集使用,可能会严重背离用户对于其个人信息收集和使用的合理期待。
对此,《个人信息安全规范》第8.6节规定,个人信息控制者在提供产品或服务的过程中部署了收集个人信息的第三方插件(例如网站经营者与在其网页或应用程序中部署统计分析工具、软件开发工具包SDK、调用地图API接口),且该第三方并未单独向个人信息主体征得收集、使用个人信息的授权同意,则个人信息控制者与该第三方为共同个人信息控制者,并应履行向个人信息主体明确告知的义务。
有鉴于此,我们建议App运营者梳理App中嵌入的第三方代码、插件,以及App向该等第三方代码、插件传输的个人信息的类型、目的和范围,并在将个人信息传输至第三方服务器前,通过弹窗提示等方式明确告知用户。从保护用户的权利出发,最好还能通过产品设计,确保用户能够依法行使同意权。对此,App运营者可以考虑借鉴操作系统在实践中的做法:当操作系统上承载和集成的各类应用App存在收集用户个人信息的行为时,操作系统通常会及时检测到该行为,并通过事先设定的弹窗提示用户。如当iOS系统上的地图类App收集用户个人信息时,操作系统会弹窗提示“允许某某地图在您并未使用该应用时访问您的位置吗”,即属此类典型操作。
· 评估项6:收集使用个人信息应经用户自主选择同意,不应存在强制捆绑授权行为
评估点 | 评估标准 |
23.收集个人信息前是否征得用户自主选择同意 | App收集个人信息前应提供由用户主动选择同意或不同意的选项,不同意应仅影响与所拒绝提供个人信息相关的业务功能。 |
解读:
用户的知情同意原则是个人信息保护的基本原则之一。如何保障用户的知情同意,一直是监管机构关注的重点。对于此项评估标准,我们认为应当关注以下几个方面:1. 在收集个人信息前,App应提供用户主动选择同意或不同意的选项;2. 应当存在个人信息主体撤回同意的实现机制,且撤回同意的实现方式或途径应当与作出同意的方式或途径同样简便;3. 用户做出不同意的选择或撤回相关同意,不应影响其自主选择使用的其他业务功能或降低业务功能的服务质量。
评估点 | 评估标准 |
24.是否存在将多项业务功能和权限打包,要求用户一揽子接受的情形 | 1、不应通过捆绑App多项业务功能的方式,要求用户一次性接受并授权同意多项业务功能收集个人信息的请求。 2、根据用户主动填写、点击、勾选等自主行为,作为产品或服务的业务功能开启或开始收集个人信息的条件。 |
解读:
当前,App强制授权、过度索权的现象大量存在,四部委《关于开展App违法违规收集使用个人信息专项治理的公告》特别指出,“不以默认、捆绑、停止安装使用等手段变相强迫用户授权”。
对于此项评估标准,我们认为应当关注以下几个方面:1. 将App产品和服务的功能划分为基本业务功能和扩展业务功能;2. 对于基本业务功能,根据用户主动填写、点击、勾选等自主行为,作为产品或服务的业务功能开启或开始收集个人信息的条件;3. 对于扩展业务功能,建议采用单独的交互界面或设计(弹窗、文字说明、填写框、提示条、提示音等形式)向用户告知该种功能需要收集的个人信息类型、目的、方式和范围等信息,并由用户主动选择是否同意。
· 评估项7:收集个人信息应满足必要性要求
评估点 | 评估标准 |
25.实际收集的个人信息类型是否超出隐私政策所述范围 | 各业务功能实际收集的个人信息类型应与隐私政策所描述的内容一致,不应超出隐私政策所述范围。 |
解读:
如前所述,收集个人信息前,App运营者应向个人信息主体明确告知所提供产品和服务的不同业务功能收集的个人信息类型,并获得个人信息主体的授权同意,若App运营者收集的个人信息的范围超出之前同意的范围,应及时更新隐私政策并再次征得个人信息主体的明示授权同意。
需要特别注意的是,App运营者在其产品或服务中集成第三方产品或服务的情况也较为常见,对于该第三方产品或服务收集个人信息的行为(委托处理和共同个人信息控制的情形除外),例如App内置可收集用户个人信息的第三方SDK的模式,除了要求第三方遵守App隐私政策中约定的类型收集用户个人信息,还应开展技术检测等形式确保第三方个人信息收集、使用的行为符合隐私政策的约定,如发现超出约定范围,应及时切断接入。
评估点 | 评估标准 |
26.收集与业务功能有关的非必要信息,是否经用户自主选择同意 | 当App运营者收集的个人信息超出必要信息范围时,应向用户明示所收集个人信息目的并经用户自主选择同意。 注1:必要信息指与基本业务功能直接相关,缺少该信息则基本业务功能无法实现的信息。 注2:自主选择同意是指个人信息主体通过书面声明或主动做出肯定性动作,对其个人信息进行特定处理做出明确授权的行为。肯定性动作包括个人信息主体主动作出声明(电子或纸质形状)、主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等。 |
解读:
本条评估标准,再次强调了信息收集时的必要性原则,以及经过用户自主选择同意的要求,“自主选择”上文已多次提及,而“必要性”原则也是个人信息收集使用的重要原则。
根据《个人信息安全规范》2.0第5.2节,收集个人信息的类型应与实现产品或服务的业务功能有直接关联。直接关联是指没有该信息的参与,产品或服务的功能无法实现。
实践中,这条评估标准往往成为认定收集个人信息是否合法的重要依据之一。如近几年监管机构对Facebook实施的处罚,其中涉及个人信息的处罚考量,一条重要标准即是“收集个人信息的必要性”。
评估点 | 评估标准 |
27.是否收集与业务功能无关的个人信息 | App不应收集与业务功能无任何关系的个人信息。 |
解读:
本条评估标准同样涉及收集个人信息的必要性原则。如果说收集与业务功能有关的非必要信息是“附条件合规”(合规条件即是“用户自主选择同意”),那么,收集与业务功能无关的个人信息就是“本身违规”的问题,App运营者收集与业务功能完全无关的个人信息,更容易给社会公众留下“作恶”的负面印象。
评估点 | 评估标准 |
28.是否在用户明确拒绝后继续索要权限、打扰用户 | 对于用户明确拒绝使用、关闭或退出的特定业务功能,App不应再次询问用户是否打开该业务功能或相关系统权限。 |
解读:
在实践中,App运营者反复提醒用户打开某项业务功能或权限的情况较为常见,给不同意此类授权的用户造成极大困扰,有强迫用户授权的嫌疑。针对此种情形,《个人信息安全规范》2.0第5.3节规定了诸多App运营者不得强迫收集个人信息的要求,其中就包括如个人信息主体不同意使用、关闭或退出特定业务功能,个人信息控制者不得频繁征求个人信息主体的同意。
需要特别指出的是,本次评估指南提出了比《个人信息安全规范》2.0更为严格的标准,将App运营者的义务从“不得频繁”变为“不应再次”,也就是说一旦用户明确拒绝使用、关闭或退出的特定业务功能,App运营者将不得再次询问用户是否打开相关权限。
评估点 | 评估标准 |
29.App更新是否更改系统权限设置 | App更新升级后,不应更改原有的系统权限设置。 |
解读:
实践中,部分App更新升级后,在未提示用户并再次取得用户同意的情况下,擅自更改原有系统权限设置,侵犯了用户对于个人信息的知情权和选择权。系统权限的设置体现了用户对App运营者收集、使用其个人信息的授权情况,若App更新升级后,便可自动更改原有的权限设置,用户的个人信息安全将无法得到基本的保障,因此App运营者应保证在App更新升级时,不得未经用户同意或用户主动操作自行更改系统权限,扩大收集、使用的个人信息范围。
三、App运营者对用户权利的保障
· 评估项8:支持用户注销账号、更正或删除个人信息
评估点 | 评估标准 |
30.是否支持用户注销账号 | App应提供注销账号的途径(如在线功能界面、客服电话等),并在用户注销账号后,及时删除其个人信息或进行匿名化处理。 |
解读:
大数据时代用户数据之珍贵使得运营者往往对App账号注销持有反感的态度,因此,用户是否能够注销账户也成为监管重点之一。实践中,一些互联网产品或服务根本不提供注销账户的功能,或是将用户注销账号的途径设置得异常复杂繁琐,如账号注销途径设置较为隐蔽、用户需点击进入第4/5级子页面后才可注销账号。为此,上海市通信管理局于2018年就曾对上海80余家互联网企业及其260余项互联网业务的用户账号可注销情况进行抽查,就用户账号注销难等问题约谈通报相关企业,并责令其立即整改。根据《个人信息安全规范》的要求,通过注册账户提供服务的个人信息控制者,应向个人信息主体提供注销账户的方法,且该方法应简便易操作。个人信息主体注销账户后,应删除其个人信息或做匿名化处理。因此,App运营者应直接在产品或服务提供的在线功能界面中设置相应的选项或提供客服电话,以便个人信息主体在线行使注销账户的权利。在用户注销账户后,运营者应当及时删除用户个人信息或对个人信息进行匿名化处理。
评估点 | 评估标准 |
31.是否支持用户查询、更正或删除个人信息 | App应提供查询、更正、删除个人信息的途径。 |
解读:
根据网信办、工信部、公安部等联合开展的“隐私条款专项工作反馈”的情况,以及全国人大常委会“一法一决定”的执法检查报告,绝大多数企业无法保障用户查询、更正或删除个人信息等方面的合法权利。本次评估标准再次强调了保障用户个人信息控制权的要求,我们认为有关App运营者,应当关注以下几个方面内容:1. 在产品设计方面,应向用户提供个人信息访问、更正和删除的方法和途径;2. 用户应可以访问、查询App运营者持有的该主体的个人信息内容及类型、上述个人信息的来源和所用于的目的、已经获得上述个人信息的第三方身份或类型;3. 若用户发现App运营者所持有的该主体的个人信息有错误或不完整的,App运营者应为其提供请求更正或补充信息的方法;4. 当App运营者违反法律法规或违反与用户的约定向第三方共享、转让个人信息且用户要求删除的,App运营者除应立即停止共享、转让行为外,还应通知第三方及时删除,以最大限度保障用户的合法权益。
· 评估项9:及时反馈用户申诉
评估点 | 评估标准 |
32.是否及时反馈用户申诉 | App运营者应妥善受理并及时反馈用户申诉,原则上在15天内回复处理意见或结果。 |
解读:
根据《个人信息安全规范》第7.12节的规定,个人信息控制者应建立申诉管理机制和申诉渠道,包括跟踪流程,并在合理的时间内,对申诉进行响应。同时,若个人信息控制者在其产品或服务中接入具备收集个人信息功能的第三方产品或服务的,应要求第三方产品或服务建立响应个人信息主体请求、申诉的机制。
本条评估标准相较《个人信息安全规范》,做了进一步细化的要求,即设定了“15天”的回复时限。此处需重点解读的是:一方面,“原则上在15天内”表明15天的期限是常态,也即是说,正常情况下处理用户申诉,应当在这个期限内回复处理意见(不论该处理意见是“予以处理”或“不予处理”),这是处理申诉及时性的要求;另一方面,既然有原则,自然也有例外,如若遇到特殊情况,例如“用户恶意申诉”、“申诉渠道错误”等情形,导致App运营者无法在15天期限内回复的,不宜继续适用15天的反馈时间要求。
主编:麻策
责任编辑:Zoey
封面图片来源:pixabay.com