原标题:App运营者自查指南:《App违法违规收集使用个人信息行为认定方法》评估案例
继2019年1月25日,国家互联网信息办公室、工业和信息化部、公安部、市场监管总局发布《关于开展App违法违规收集使用个人信息专项治理的公告》,四部门近期联合制定并发布了《App违法违规收集使用个人信息行为认定方法》(国信办秘字[2019]191号)(以下简称《认定方法》)。《认定方法》的出台,为监督管理部门认定App违法违规收集使用个人信息行为提供参考,为App运营者自查自纠和网民社会监督提供指引。
App专项治理工作组对照《认定方法》,结合近千款App评估中发现的典型问题,进行具体分析解读,供各界参考。
仅在官网、应用商店中展示隐私政策而在App内无法找到隐私政策的,或隐私政策链接无效、文本不能正常显示的,或隐私政策中没有包含该App收集使用个人信息规则。
App首次运行,未通过明显方式提示用户阅读个人信息收集使用规则;只在注册/登录界面展示隐私政策链接,进入App主界面后,无法找到隐私政策;刻意使用灰色字体、缩小字号、遮挡、置于边缘与背景颜色相近等方式未突出显示隐私政策链接(图1.1);用户注册时,注册/登录界面无隐私政策链接如(图1.2)。
App嵌入第三方SDK存在收集个人信息的情况,但未在隐私政策里说明其收集使用个人信息的目的、方式、范围。
App隐私政策中未完整列举逐项说明App实际业务功能收集使用个人信息类型、目的、方式。
仅依赖系统弹窗但未在向用户申请收集个人信息的权限时告知申请的目的(图2.1)或未同步告知用户收集使用个人敏感信息的目的(图2.2)。
App主动进行权限申请的二次弹窗,但仅重复申请权限而未告知目的(图2.3),或目的描述不明确,用户无法得知App收集该类个人信息线)。
《网络安全法》第四十一条规定网络运营者收集、使用个人信息,应“经被收集者同意”且“不得违反法律、行政法规的规定和双方的约定收集、使用个人信息”。
《消费者权益保护法》第二十九条规定经营者收集、使用消费者个人信息,应“经消费者同意”且“不得违反法律、法规的规定和双方的约定收集、使用信息”,“经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息。”
App安装后,未经用户同意就收集设备MAC地址、应用程序列表等个人信息;用户明确表示不同意提供位置信息后,仍通过收集设备IP地址、通讯基站、Wifi信息等计算出用户地理位置等个人信息。
用户不同意收集非必要的个人信息或打开非必要权限,App每次启动仍索要用户已明确拒绝提供的系统权限或个人信息;用户使用与已拒绝的系统权限或个人信息无关的功能时频繁提示用户授权同意。
在申请可收集个人信息权限时,声明只使用其中与业务相关信息,实际上却收集并上传了该权限可允许的所有信息;实际收集的个人信息特别是个人敏感信息超出隐私政策等相关规则的范围;未真实披露收集使用个人信息的目的,欺骗用户打开可收集个人信息的权限(图3.1、图3.2)。
强制索要的系统权限或个人信息非App运行所需的必要条件,如金融类App不同意打开通讯录和位置权限、地图类App不同意打开短信权限,则拒绝提供所有业务功能,中介类App拒绝提供银行卡号、持卡人身份证号、银行预留手机号等信息进行银行卡认证,则不允许发布任何信息等。
App后台自动收集用户设备IMEI号、IMSI号、地理位置等信息过于频繁,超出业务功能实际需要,如某App平均每秒获取10次IMEI号,非地图导航类App平均每秒上传6次GPS定位信息。
安卓版App将软件安装包中的targetSDKversion属性值设置为低于23,安装时,要求用户一次性打开多个可收集个人信息的权限(如图4.3、图4.4)。
六、典型“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”行为
《网络安全法》第四十三条规定“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正”。
《网络安全法》第四十九条规定“网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络安全的投诉和举报。”
《电信和互联网用户个人信息保护规定》第十二条规定“电信业务经营者、互联网信息服务提供者应当建立用户投诉处理机制,公布有效的联系方式,接受与用户个人信息保护有关的投诉,并自接到投诉之日起15日内答复投诉人。”
App中提供的更正、删除个人信息及注销用户账号渠道无法完成相应的操作;未在承诺时间内完成相应操作;客户端提示用户注销成功后,原账号相关信息仍保留在App后台服务器上。
注销时,要求用户提供手持身份证正反面照片,更正个人信息时要求提供人脸认证信息等个人敏感信息;
未建立并公布个人信息安全投诉、举报渠道;未按照法律法规要求或App承诺时限受理并处理用户个人信息投诉、举报。
以上以案例分析方式为判别App违法违规收集使用个人信息行为提供参考,便于App运营者和网民了解《认定方法》条款之所指,从而更有针对性地提升保护个人信息水平和能力。同时,建议对App违法违规收集使用个人信息行为进行认定时应当秉承科学、客观、审慎的态度,以现有法律法规为根本依据,对于发现的问题需全面分析得出结论。比如,问题是否具备典型性、是否为普遍性问题、是否已存在解决方案、对个人权益的影响程度、对产业生态可能带来的影响等等。
个人信息保护的问题,已经开始步入“深水区”,而这其中对于个人信息保护与开发利用、产业生态创新与发展等方面的探讨将更加深入、复杂、具体。安全从来不是一个“孤立”的问题,如何以“治理工作”为契机,探索适应于当下安全态势和舆情趋势、有利于遏制违法违规乱象、有助于保障产业高质量发展的持续监督机制,是“当务之急”,也是“长久之计”。
【版权提示】葫芦娃集团尊重与保护知识产权。若发现平台文章/图片存在版权问题,请及时与我们联系并处理。
- 本文固定链接: http://www.douyinkuaishou.cc/?id=6457
- 转载请注明: admin 于 抖音快手 发表
《本文》有 0 条评论