当前位置:金沙国际网址js7779 > js77999金莎官网 > App数据收集划定红线:《App违法违规收集使用个人信息行为认定方法》解析

App数据收集划定红线:《App违法违规收集使用个人信息行为认定方法》解析

作者:金沙国际网址js7779   来源:http://www.jnchache.net    栏目:js77999金莎官网    日期:2020-01-16

  近期,根据《关于开展App违法违规收集使用个人信息专项治理的公告》,为认定App违法违规收集使用个人信息行为提供参考,落实《网络安全法》等法律法规,国家互联网信息办公室、工业和信息化部、公安部、市场监管总局联合制定了《App违法违规收集使用个人信息行为认定方法》(以下简称

  自2019年1月上述四部委联合发布公告以来, App违法违规收集使用个人信息专项治理工作组动作频频。四部委亦高度重视个人信息保护工作,针对当前App强制授权、过度索权、超范围收集个人信息等网民反映强烈的问题,采取必要的管理规范和相关标准的形式进行规制[1]。 但由于《网络安全法》的规定较为概括,实践中存在着诸多灰色地带,企业对于何种行为违反了法律规定无法进行判断。2019年5月5日,App专项治理工作组发布《App违法违规收集使用个人信息行为认定方法(征求意见稿)》(以下简称《征求意见稿》),如今正式发布《认定方法》。该《认定方法》与之前发布的《App违法违规收集使用个人信息自评估指南》(以下简称《指南》)一脉相承,明确App违法违规收集个人信息行为红线,对于企业合规工作具有重大指导意义。

  较之征求意见稿,《认定方法》规定了主要的App违规情形,以下将结合二者的区别以及近期App专项治理工作组公示的存在收集使用问题的App情形[2]进行重点解读。

  1.没有隐私政策、用户协议,或者隐私政策、用户协议中没有相关收集使用规则的内容;

  2.在App安装、使用等过程中均未通过弹窗、链接等方式提示用户阅读隐私政策,或隐私政策链接无效、文本无法正常显示;

  2.在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;

  3.隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到;

  4.隐私政策等收集使用规则难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等。

  明确收集个人信息的规则需要体现在隐私政策中,对于App提出了明确需要具备隐私政策,并且强调了首次运行需明显提示用户阅读的要求,最后对于难以阅读的障碍也做出了规定,认定模糊和难以理解也构成“未公开收集使用规则”。

  2.**语音等App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策;采用将字体缩小,颜色变浅且放置在页面最底端的方式展示隐私政策链接。

  3.*聘等App进入主界面后,多于 4 次点击等操作才能访问到隐私政策。

  4.*聊等App隐私政策难以阅读:文字显示过小、过密;隐私政策中存在较多错别字或者歧义句;文字无自动换行。

  1.收集使用信息的目的违反合法、正当、必要原则,如仅仅以改善程序功能、提高用户体验、定向推送等为目的收集用户个人信息;

  3.收集使用个人信息的目的、方式和范围发生变化,未以适当方式通知用户,适当方式包括更新隐私政策并提醒用户重新阅读授权等;

  4.在申请可收集个人信息的权限时,未告知收集使用的目的,如在申请调阅通讯录时没有说明原因;

  5.每次要求用户提供个人敏感信息时,如身份证号、银行卡号等,未同步实时说明原因;

  1.未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;

  2.收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等;

  3.在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解;

  4.有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等。

  此处新增了委托或嵌入的第三方收集使用个人信息的明示规定,旨在打击第三方在App上进行隐秘收集的情况;App申请打开权限或者收集个人敏感信息时应同步告知目的,并且额外强调应让用户理解。

  1.*家等App未逐一列出嵌入的百度地图、个信互动、微博等第三方SDK收集使用个人信息的目的、类型,该等SDK包括地图类、广告类、统计类等。

  2.*聊更新后新增了定制化课单功能,将收集用户的课程记录,但未以任何方式告知用户。

  3.**学等App在申请打开电话、存储、日历等可收集个人信息的权限,以及收集用户身份证号、银行账号等个人敏感信息时,未同步告知用户其目的。

  1.未经同意就开始收集个人信息,如App首次运行、提示用户阅读隐私政策前就开始收集个人信息;

  2.用户明确拒绝后,仍收集个人信息,如用户不同意被收集地理位置信息时仍然收集;

  7.未经用户同意私自更改用户设置的权限,包括App更新时将用户设置的权限恢复到默认状态;

  8.用户明确拒绝App收集个人信息请求,App仍频繁征求用户同意,干扰用户正常使用;

  2.用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用;

  5.未经用户同意更改其设置的可收集个人信息权限状态,如App更新时自动将用户设置的权限恢复到默认状态;

  7.以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的线.未向用户提供撤回同意收集个人信息的途径、方式;

  、违反承诺, 均要求用户的同意为真实的意思表示,对于同意的实质和形式是否满足均有反向的规定进行明确,并且在原有的定向推送退出机制的基础上增加了提供撤回同意的途径的要求,充分保障用户的自主选择。1.*来了等App征得用户同意前就开始收集设备MAC地址等个人信息。2.*家等App在用户明确表示不同意打开位置权限后,仍频繁征求用户同意,干扰用户正常使用。

  4.**贷款导航等App以默认选择同意隐私政策的非明示方式征求用户同意。

  业务功能需要;3.捆绑多项业务功能一揽子征求用户同意,不同意则不提供任何单一服务;

  4.当用户拒绝某一业务功能收集个人信息的请求时,App停止提供其他业务功能;

  5.如提供未经注册即可使用(如支持浏览、游客模式)的业务功能,用户若不同意收集此类业务功能所需以外的个人信息,App拒绝提供所有服务;

  6.新增业务功能时,需收集的个人信息超出原有同意范围,如用户不同意收集,则拒绝提供原有业务功能,新增业务功能将取代原有业务功能的除外;

  3.App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;4.收集个人信息的频度等超出业务功能

  需要;5.仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;

  6.要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。

  打击的对象更为集中,恶性更为严重。1.**贷款等App申请打开的位置权限与现有业务功能无关。2.***贷款导航因用户不同意打开非必要的位置权限,拒绝提供所有业务功能。

  4. **银行掌上生活等App收集设备IMEI号、IMSI号、地理位置等个人信息的频度超出业务功能实际需要。

  6. *点等App将targetSDKversion值设置小于23,要求用户一次性同意开启多个可收集个人信息的权限,用户不同意则无法使用。

  2.数据传输至App服务器后,未经同意,且未经匿名化处理,向第三方提供其收集的个人信息;

  1.**集等App均既未经用户同意,也未做匿名化处理,通过客户端嵌入的极光等SDK向第三方提供地理位置等个人信息。

  3.需人工处理的,受理后未在承诺时限内(无承诺时限的,以15个工作日为限)完成核查和处理的;4.更正、删除或注销操作提示完成后,

  更正、删除个人信息及注销用户账号功能;2.为更正、删除个人信息或注销用户账号设置不必要或不合理条件;

  3.虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理;4.更正、删除个人信息或注销用户账号等用户操作已执行完毕,

  5.未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理的。

  ,增加了“有效的”,要求“后台完成”,以及规定不得设置不合理不必要条件。1.*聊等App未提供有效的注销用户账号功能:客服表示直接退出账号并卸载即可注销,但经测试采取前述操作后,账号并未注销。2.***贷款导航等App为注销用户账号设置不合理条件:需提交身份证正反面照片、手持身份证照片等信息才允许注销。

  5.**ce等App未提供有效的个人信息安全投诉、举报渠道:向提供的举报邮箱发送信息,系统退信称该邮箱不存在。

  通过对上述条文和近期公布的存在问题的App的通告的分析,可以发现,本《认定方法》对《网络安全法》及《指南》关注的规制重点提出了目前阶段的底线要求。可以预见的是,App收集个人信息的领域,违法与合法界限将会不断清晰,监管机构将会更加深入和细腻地对于App收集个人信息的行为进行规制。

  综上,我们认为,该《认定方法》体现的监管部门的规制重点仍与《个人信息安全规范》和《指南》保持一致,在于规范个人信息收集中缺乏公示规则、未经同意收集、超限收集、一揽子授权、用户权利保障不足等严重违规现象,同时强调了收集的必要性、用户的理解和选择自主权、实质保障用户权利实现等内容。2020年将是监管机构深入打击非法收集个人信息乱象的一年,企业应尽快结合《指南》和《认定方法》识别合规红线,内化成企业的合规要求。长期来看,企业应结合《个人信息安全规范》进行深入的合规建设,在监管不断趋严的情况下,提高把控和应对相关风险的能力。

  如公安部已颁布的《App违法违规收集使用个人信息自评估指南》,正在修订中的《个人信息安全规范》,市场监管总局下发的《网络交易监督管理办法》(征求意见稿)中关于网络经营者在经营活动中收集消费者信息的规定(第22条),以及工信部日前颁布的《工业和信息化部关于开展App侵害用户权益专项整治工作的通知》等。[2]

  App治理工作组:“关于61款App存在收集使用个人信息问题的通告”,访问时间:2019年12月30日。

文章标签: 金沙国际网址js7779 ,划红线注销

上一篇:没有了