“我想中国人可以更加开放,对隐私问题没有那么敏感,如果他们愿意用隐私交换便捷性,很多情况下他们是愿意的,那我们就可以用数据做一些事情。但我们要遵循一定的原则,如果数据会使用者收益,他也愿意,我们就会去做,这是我们的基本原则,这就是什么该做的,什么不该做。”李彦宏的这一段话,曾经引发了关于用户个人信息使用和保护方面的广泛讨论。
在实践中,伴随着中国互联网行业的飞速发展,各大APP在使用过程中,收集用户个人信息已经成为非常常态的现象。近年来,监管体系逐渐健全和完善、政府专项治理行动也日益频密,不管是政府、社会还是个人,都开始逐渐意识到个人信息合规收集、合规使用的重要性。
工业和信息化部(以下简称“工信部”)开展的“APP侵害用户权益专项整治行动”是专项治理行动的典型代表,从该行动开展以来,已经有共计845款APP被通报,且部分APP在通报后未达到整改要求,已被工信部下架。
(来源于工信部“关于下架侵害用户权益APP名单的通报”20210406)
本文将从工信部“APP侵害用户专项整治行动”所通报的违法违规行为出发,分析各大APP被通报和下架的原因,试图为各公司提供APP数据收集合规方面的建议,避免公司所提供的APP遭遇通报和下架的危机。
一、什么是“APP侵害用户权益专项整治行动”
鉴于APP在用户使用过程中,违规收集个人信息、过度索权、频繁骚扰用户等侵害用户权益问题突出,从2019年11月开始,工信部开始部署“APP侵害用户权益专项整治行动”。
根据《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》(以下简称“通知”),整治工作主要面向两类对象:一是APP服务提供者;二是APP分发服务提供者,含应用商店和基础电信企业营业厅等承担APP分发功能的各类企业。整治重点是“违法违规收集个人信息、违规使用用户个人信息、不合理索取用户权限、为用户账号注销设置障碍”等四个方面的八类突出问题。
工信部自2019年12月19日起开始分批发布侵害用户权益APP的通报,其中附有“存在问题的应用软件名单”。工信部要求名单上的软件限时完成整改,否则将被工信部“依法依规组织开展相关处置工作”。迄本文发布为止,工信部已经发布了12批通报,涉及共计845款APP,下架共计232款APP,通报频率从2021年开始已经高达每月一次。
二、“APP侵害用户权益专项整治行动”流程
APP侵害用户权益专项整治行动分为企业自查自纠阶段、监督抽查阶段、通报处置阶段。
1.企业自查自纠阶段
在企业自查自纠阶段,APP服务提供者对照通知内的八类问题认真开展自查,发现问题及时整改;APP分发服务提供者组织对所分发APP进行全面检查,对存在问题的违规应用软件予以督促整改,拒不改正的应组织予以下架处理。
2.监督抽查阶段
在监督抽查阶段,工信部将组织第三方检测机构对APP进行技术检测和检查,重点抽测与群众生活密切相关、下载使用量较大的APP产品和分发平台。对群众反映强烈、难以接受、认为不合理的APP,工信部将组织电信用户委员会、中国互联网协会以及相关媒体机构开展用户和专家评议。各省、自治区、直辖市通信管理局可根据本地实际情况开展检查工作,并将结果报信息通信管理局。通信管理局根据检查的结果向公司发出“违法违规APP处置通知”,要求整改。
3.通报处置阶段
如未根据通知进行整改,工信部将对存在问题的APP统一进行通报。
如在通报之后未能达到整改要求,信管局将对相关APP进行下架处理。
三、“APP侵害用户权益”行为合规建议
虽然“App侵害用户权益专项整治工作”是针对八类问题,但从12批通报中问题的出现频次来看,收集活动无疑是最薄弱的一环。以2021年的第3批通报为例,总共有136款APP上榜,其中就有113款APP存在违规收集个人信息的情况。根据通知的释义,违规收集个人信息指:
1.“私自收集个人信息”。即App未明确告知收集使用个人信息的目的、方式和范围并获得用户同意前,收集用户个人信息。
2.“超范围收集个人信息”。即App收集个人信息,非服务所必需或无合理应用场景,超范围或超频次收集个人信息,如通讯录、位置、身份证、人脸等。
(来源于某APP隐私合规及网络数据安全检测报告)
因此,下文就以这两个重点问题为指引,为APP的个人信息收集活动提供合规建议:
(一)APP应合法、正当、公开透明地收集个人信息
1.什么是“合法”“正当”的收集活动
根据《网络安全法》的规定,网络运营者收集个人信息的行为应当遵循合法、正当的原则。《个人信息安全规范》规定“不应以欺诈、诱骗、误导的方式收集个人信息;不应隐瞒产品或服务所具有的收集个人信息的业务功能;不应从非法渠道获取个人信息;不应收集法律法规明令禁止收集的个人信息;不应大规模收集我国公民的种族、民族、政治观点、宗教信仰等个人敏感信息”。
可以看出,合法性与正当性是从收集的内容以及收集的程序两方面来判断的。从正面看,体现为符合相关要求,例如获取用户信息前取得用户明确、具体的授权,从背面看,体现为不要进行法律法规禁止的活动,例如侵入他人计算机信息系统获取信息。
2.“合法”与“正当”的体现方式——公开信息收集规则
“合法”与“正当”是信息收集活动的纲领性原则,体现在“公开收集使用规则”“明示收集使用个人信息的目的、方式和范围”“收集使用个人信息需要取得用户事先同意”等具体要求上。
根据《APP违法违规收集使用个人信息行为认定方法》(以下简称“《方法》”),以下行为可被认定为“未公开收集使用规则”:
-
在APP中没有隐私政策,或者隐私政策中没有收集使用个人信息规则;
-
在APP首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;
-
隐私政策等收集使用规则难以访问,如进入APP主界面后,需多于4次点击等操作才能访问到;
-
隐私政策等收集使用规则难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等。
除上述规定之外,APP应在隐私政策或用户协议中说明信息收集、使用、存储、管理等流程的细节,从正面体现用户个人信息收集程序的“合法”与“正当”,例如,APP应在用户协议或隐私政策中根据《个人信息安全规范》的要求向个人信息主体告知收集、使用个人信息的目的、方式和范围等规则;向个人信息主体提供查询主体个人信息、个人信息的类型、个人信息的来源、已获得上述个人信息的第三方身份或类型等讯息的渠道。如未能说明相关操作细则的,可能被认为不符合“合法”“正当”的要求。
(二)APP应明确告知收集使用个人信息的目的、方式和范围
APP收集信息时应提前明确告知收集使用个人信息的目的、方式和范围。如应逐一列出APP(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;在收集使用个人信息的目的、方式、范围发生变化时,以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等;在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,同步告知用户其目的,并确保目的明确、容易理解;收集使用规则不应使用大量术语,确保清晰易懂,使用户易于理解。
(三)APP收集个人信息应获取用户同意
1.对“用户同意”的要求
《APP违法违规收集使用个人信息行为认定方法》以负面清单的方式说明了应如何取得用户同意:
-
征得用户同意前就开始收集个人信息或打开可收集个人信息的权限;
-
用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用;
-
实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围;
-
以默认选择同意隐私政策等非明示方式征求用户同意;
-
未经用户同意更改其设置的可收集个人信息权限状态,如APP更新时自动将用户设置的权限恢复到默认状态;
-
利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项;
-
以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的;
-
未向用户提供撤回同意收集个人信息的途径、方式;
-
违反其所声明的收集使用规则,收集使用个人信息。
2.不同类型的信息需要不同类型的同意
根据《个人信息安全规范》的要求,收集个人信息,应向个人信息主体告知收集、使用个人信息的目的、方式和范围等规则,并获得个人信息主体的授权同意。并且,如产品或服务仅提供一项收集、使用个人信息的业务功能时,个人信息控制者可通过个人信息保护政策的形式,实现向个人信息主体的告知。
如果所涉信息为个人敏感信息,应确保个人信息主体的明示同意是在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示。
如果所涉信息为个人生物识别信息的,应单向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。
3.不同类型的信息主体需要不同类型的同意
如信息主体未满14周岁的,收集应征得监护人的明示同意;如信息主体是年满14周岁的未成年人,应征求未成年人或其监护人的明示同意。
4.不同类型的信息获取方式需要不同类型的同意
如间接获取个人信息时,应要求个人信息提供方说明个人信息来源,并对其个人信息来源的合法性进行确认;应了解个人信息提供方已获得的个人信息处理的授权同意范围,包括使用目的,个人信息主体是否授权同意转让、共享、公开披露、删除等;如开展业务所需进行的个人信息处理活动超出已获得的授权同意范围的,应在获取个人信息后的合理期限内或处理个人信息前,征得个人信息主体的明示同意,或通过个人信息提供方征得个人信息主体的明示同意。
5.某些APP可能需要获得上述所有类型的同意
由于用户群体的复杂性,部分APP可能需要获得上述所有类型的同意。如APP向未成年人用户获取同意时,应符合相应的要求。如APP提供在线开具处方功能的,可能涉及到个人敏感信息或个人生物识别信息,也需要特别的同意形式。
6.获取用户同意的方式
“公开收集使用规则”“明示收集使用个人信息的目的、方式和范围”“收集使用个人信息需要取得用户事先同意”等合规要求都可以通过在《用户协议》《隐私协议》中进行约定,随后要求用户勾选同意的方式达成。以下就取得用户同意的方式举几个例子:
APP可以要求用户在注册时或打开APP时主动勾选同意《用户协议》《隐私政策》,否则不能注册或使用APP:
APP就非基本功能所需要的信息,单独取得用户授权。以滴滴的行程录音功能为例:
APP也可以要求用户通过手机权限进行授权,以IOS为例:
(四)APP只应收集必要的个人信息
1.什么是必要的个人信息
根据国家互联网信息办公室等四部门联合印发的《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称“《规定》”),必要个人信息是指保障APP基本功能服务正常运行所必需的个人信息,缺少该信息APP即无法实现基本功能服务。并且,APP不得因为用户不同意提供非必要个人信息,而拒绝用户使用其基本功能服务。
《规定》对于必要的个人信息从类别上进行了划分。但实践中,主管部门还会考虑其他因素来判断是否“必要”,例如收集信息的频率是否是实现产品或服务的功能所需的最低频率,又或是个人信息的数量是否满足最低要求等。
2.必要的个人信息包括哪些
根据《规定》,APP提供的服务不同,必要的个人信息也不同。实践中互联网公司的APP往往具有复合功能,此时应全面符合相应的要求。根据《规定》,我们整理了几类常见APP的服务及其对应的必要信息:
常见服务 | 基本功能服务 | 必要个人信息 |
地图导航类 | 定位和导航 | 位置信息、出发地、到达地 |
网络约车类 | 网络预约出租汽车服务、巡游出租汽车电召服务 |
注册用户移动电话号码;
乘车人出发地、到达地、位置信息、行踪轨迹; 支付时间、支付金额、支付渠道等支付信息(网络预约出租汽车服务) |
即时通信类 | 提供文字、图片、语音、视频等网络即时通信服务 |
注册用户移动电话号码;
账号信息:账号、即时通信联系人账号列表 |
网络社区类 | 博客、论坛、社区等话题讨论、信息分享和关注互动 | 注册用户移动电话号码 |
网络支付类 | 网络支付、提现、转账等功能 |
注册用户移动电话号码;
注册用户姓名、证件类型和号码、证件有效期限、银行卡号码 |
网上购物类 | 购买商品 |
注册用户移动电话号码;
收货人姓名(名称)、地址、联系电话; 支付时间、支付金额、支付渠道等支付信息 |
网络游戏类 | 提供网络游戏产品和服务 | 注册用户移动电话号码 |
如互联网公司提供的基本功能服务只有提供网络游戏产品和服务,那么必要个人信息就只包括注册用户移动电话号码,除此之外,我们推荐公司不要向用户索取其他信息,以免招致监管。
不论中国人对隐私的态度如何,APP的提供主体在收集用户个人信息的过程中应合法合规,否则可能轻则面临警告、通报,重则面临产品下架、吊销营业执照的处罚。同时,随着个人信息保护意识的增强和法律监管的逐步完善,企业在提供服务的过程中应该保持警惕,做到合法合规地收集、使用用户信息与数据。