鉴于不少App存在侵害用户隐私、权限滥用等诸多问题,2019年伊始,工信部、网信办、公安部、市场监管总局四部门联合发布了《关于开展App违法违规收集使用个人信息专项治理的公告》。2019年1月至12月,在全国范围内组织开展了App违法违规收集使用个人信息专项治理工作。全年共检测App多达460万个,下架处置了违法违规App3.1万个,集中核查了相关App线索3000余条,抓获814人。
近日,工信部、网信办、公安部、市场监管总局四部委联合制定并公开发布了《App违法违规收集使用个人信息行为认定方法》(下称《认定方法》),为认定App违法违规收集使用个人信息行为提供参考,为App运营者自查自纠和网民社会监督提供指引,深入落实了《网络安全法》等法律法规。“一参考、一指引、一落实”奠基了《认定方法》在认定App违法违规收集使用个人信息行为方面的重要影响力。据悉,2020年App安全认证工作将依托《认定方法》全面铺开。
《认定方法》共分为6项认定准则,包含31种场景,App运营者只有对照本方法及时、有效地自查自纠,才能减少或者避免被认定为违法违规收集使用个人信息行为,才能充分经受起相关部门、社会公众的共同监督。
第一,“未公开收集使用规则”。该项相较于征求意见稿,一是明确了App应有易于阅读的隐私政策,不仅强调要有,还要注重内容的易读性,同时隐私政策中要明示收集使用个人信息的规则。二是将明显提示用户阅读隐私政策等收集使用规则的时间点,固定在了App首次运行时,提示方式建议采取弹窗方式,在弹窗内展示内容摘要并放置隐私政策全文链接。三是着重强调了隐私政策要易于访问,若进入App主界面后,需多于4次点击等操作才能访问,则可被认定为“未公开收集使用规则”。
第二,“未明示收集使用个人信息的目的、方式和范围”。该项认定方法直击SDK隐瞒收集个人信息的隐私安全问题,相较于征求意见稿,明确了逐项列举的要求不仅适用于App自身收集使用个人信息的目的、方式和范围,亦适用于App嵌入的第三方代码、插件。同时为体现对个人敏感信息保护的突出性,要求每次在需要用户提供个人敏感信息时,应同步告知用户其目的,在收集个人敏感信息时,提出更加严格、更加具体的要求。但本项中的第二条(收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等),笔者认为其中存在值得思量的地方,若App运营者随着自身需要随意改造隐私政策内容,通过适当方式告知用户(例如进入首页时使用弹窗提示,实践中这种提示用户关注度是很小的,用户往往会直接选择关闭弹窗),那么该如何鉴定此类现象?
第三,“未经用户同意收集使用个人信息”。该项认定方法明确了运营者要合法合规收集使用个人信息,不得在未取得用户授权的前提下收集用户个人信息;不得违反用户意愿收集个人信息;不得频繁弹窗、干扰使用;不得超出授权范围收集个人信息;不得以默认选择同意隐私政策等非明示方式征求用户同意;不得未经用户同意私自更改用户权限设置;不得故意欺瞒、掩饰收集使用个人信息;定向推送时,要提供非定向推送信息的选项;需向用户提供撤回同意的途径和方式;此外,运营者还要“知行合一”,不得违反其所声明的收集使用规则。经过用户同意收集使用个人信息,以及明确收集使用规则,不仅是为了告知用户,更是为了提升运营者的行业规范。
第四,“违反必要原则,收集与其提供的服务无关的个人信息”。该项直指App过度索取权限、越界获取个人信息等问题,一是强调实际收集的个人信息类型及索取的权限要与现有业务功能逐项对应,并且与现有业务功能直接相关。二是明确不得因用户拒绝提供非必要个人信息或打开非必要权限,而拒绝提供业务功能,甚至变相强迫用户同意收集非必要个人信息或打开非必要权限的行为。三是规范收集使用个人信息,需要符合必要性原则的基本要求,不得超范围、超频率采集,或者一次性打开多个可收集个人信息的权限。
第五,“未经同意向他人提供个人信息”。该项为对外提供个人信息的合法性给出了指引,一是明确App客户端向第三方提供个人信息应征得同意或匿名化处理。二是规范数据传输至App服务器后,对外提供个人信息的合法性。三是确保App接入第三方应用提供个人信息应征得用户同意。可以看出,前两点对外提供经过匿名化处理无法识别特定个人且不能复原的,无需获得用户的同意,但接入第三方应用提供个人信息必须得到用户的授权同意。
第六,“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”。该项着重强调为用户提供注销权,保障用户的行使权和投诉权。一是明确应提供删除或更正个人信息和注销账号功能。二是不应设置不必要或不合理条件,妨碍用户行驶权利。三是保障App后台操作应与用户操作保持一致,不得欺骗、误导用户,让用户误以为已经完成删除、注销等操作。四是明确建立、公布投诉和举报渠道,并在承诺时限内对用户权利要求进行及时响应,最长承诺时限不得超过15个工作日。
《认定办法》作为大数据时代我国第一部App个人信息保护规范指引,完善了征求意见稿诸多细节规定,更加具体地细化了App收集个人信息行为认定方法,并给了用户更多的知情权、选择权、注销权、投诉权等规定,提高了严谨性和可执行性,为违规收集使用个人信息提供最根本的参考依据。虽然App运营者在收集使用用户个人信息时,多了相对明确的限制,但也多了相对明确的合规指引。当然,App个人信息保护的规范工作仍在不断探索,希望政府部门、App运营者、行业组织、社会公众等继续携手共治,共同构建安全有序的网络生态环境。
1、本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2、本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3、作者投稿可能会经我们编辑修改或补充;4、如本站的文章或图片存在版权,请拨打电话010-88558835进行联系,我们将第一时间处理。
3月5日,第十三届全国人民代表大会第四次会议在北京人民大会堂开幕。党和国家领导人习近平、李克强、汪洋、王沪宁、赵乐际、韩正、王岐山等出席,栗战书主持大会。初春的北京,处处生机盎然。第十三届全国人民代表大会第四次会议5日上午在人民大会堂开幕。近3000名全国人大代表肩负人民重托出席大会,认真履行宪法和法律赋予的神圣职责。
12月28-29日,全国工业和信息化工作会议在京召开。会议以习近平新时代中国特色社会主义思想为指导,全面贯彻党的十九大和十九届二中、三中、四中、五中全会精神,认真落实习近平总书记重要指示批示精神和中央经济工作会议部署,总结2020年工业和信息化工作,分析形势,部署2021年重点工作。工业和信息化部党组书记、部长肖亚庆作工作报告。
3月22日,中国电子信息产业发展研究院发布了《2020年中国家电市场报告》(以下简称《报告》)。《报告》显示,2020年,我国家电市场零售额规模达到8333亿元,在疫情冲击之下显示出较强的韧性;电商渠道对家电零售的贡献率首次超过50%,网络零售对家电消费的促进作用进一步提升;高端产品、生活家电大幅增长,有效促进了消费升级和产业转型。
11月20日,由工业和信息化部、安徽省人民政府共同主办的2020世界显示产业大会在合肥市举行。在开幕式上,工业和信息化部部长肖亚庆、韩国驻华大使张夏成发表视频致辞。安徽省委副书记、省长李国英,工业和信息化部副部长王志军出席开幕式并致辞。
11月2日,由工业和信息化部、国家广播电视总局、中央广播电视总台、广东省人民政府共同主办的2020世界超高清视频(4K/8K)产业发展大会在广州市召开。广东省委书记李希出席开幕式,省长马兴瑞出席并致辞。国家广播电视总局局长聂辰席、工业和信息化部副部长王志军、中央广播电视总台副台长蒋希伟出席开幕式并致辞。
10月19日—20日,由工业和信息化部、江西省人民政府主办的2020世界VR产业大会云峰会在南昌举行。在10月19日的开幕式上,中共中央政治局委员、国务院副总理刘鹤发来书面致辞。江西省委常委、南昌市委书记吴晓军,工业和信息化部副部长王志军,江西省委书记、省人大常委会主任刘奇先后致辞。开幕式由江西省委副书记、省长易炼红主持。
