深入推進監管工作,從源頭治理App個人信息安全問題
近年來,App強制授權、過度索權、超范圍收集個人信息的現象大量存在,違法違規使用個人信息的問題十分突出,廣大網民對此反映強烈。落實《網絡安全法》《消費者權益保護法》的要求,為保障個人信息安全,維護廣大網民合法權益,中央網信辦、工業和信息化部、公安部、市場監管總局決定,自2019年1月至12月,在全國范圍組織開展App違法違規收集使用個人信息專項治理。根據《關于開展App違法違規收集使用個人信息專項治理的公告》,在近一年專項治理工作基礎上,四部門制定發布了《App違法違規收集使用個人信息行為認定方法》(以下簡稱“《認定方法》”),為App評估和處置提供參考,為App運營者自查自糾提供指引。
《認定方法》結合App功能特性,針對移動互聯網行業現存的個人信息收集使用方面存在的突出問題,對《網絡安全法》關于個人信息保護的原則性要求進行了細化說明:一是明確違法違規行為的具體表現形式,如“未經用戶同意收集使用個人信息”不僅包括根本沒有征求用戶同意的情況,還有收集信息后再征求用戶同意、實際收集的信息超出用戶授權范圍、App更新時自動更改用戶設置的權限狀態等。二是細化解釋法律規定的原則性要求,如明確了《網絡安全法》規定的“必要”、“明示”等的具體含義和要求,“必要”是指實現業務功能所必需,如改善服務質量、提升用戶體驗等不屬于必要范圍,“明示”要求逐項列舉、目的明確、易于理解,收集使用規則更新時提示用戶等。三是指明以不正當方式逃避監管,實際上并未履行法律責任的情況,如《網絡安全法》要求網絡運營者公開收集使用規則,而有些App雖然有隱私政策,但是并未充分履行告知義務:隱私政策中幾乎不涉及收集使用規則,或隱私政策在App中十分隱蔽、難以找到,或隱私政策不是在App中公布,而是在官網等用戶無法直接查看的地方公布,或沒有提供簡體中文版本,用戶難以閱讀。《認定方法》明確要求收集使用規則必須在App中以用戶便于訪問和閱讀的形式展現,并且根據行業和監管實際,規定進行主界面后,通過少于4次點擊等操作即可訪問到。
值得說明的是,《認定方法》主要針對App收集使用個人信息的行為,至于個人信息安全保護措施、非法買賣等犯罪行為不是其重點規范對象。目前,個人信息收集使用方面的法律規定較為原則,執法監管經驗不足,服務模式、業務功能復雜多樣,很多收集使用個人信息的做法處于灰色地帶,監管難度較大,尤其過度收集行為更是個人信息安全的根源性問題。《認定方法》在App違法違規收集使用個人信息評估工作的基礎上,通過深入行業進行調研,根據法律法規劃定出違法違規行為界限,尤其著力探索破解強制收集、超范圍收集、隱蔽收集個人信息等現存突出問題和治理難題,從源頭根治個人信息安全問題,啃個人信息保護的“硬骨頭”,標志著個人信息保護工作進入更為深入階段。
《認定方法》主要針對以下行為進行了界定:
強制收集使用個人信息。有些App要求用戶一次性同意其收集所有業務功能所需的個人信息,或要求用戶授權其運營的其他產品及第三方插件收集用戶個人信息,或要求用戶授權與所謂的“關聯企業”共享個人信息,不同意則不提供服務。較為典型的是將targetSdkVersion值設置小于23,要求用戶一次性同意開啟多個可收集個人信息的權限,用戶不同意則無法安裝使用;有些App在用戶明確表示不同意后,仍頻繁征求用戶同意、干擾用戶正常使用,強迫用戶提供個人信息。
對此,《認定方法》要求App運營者不得通過一攬子征求同意的方式、不同意則拒絕提供無關業務功能、頻繁征求同意等強制性方式獲得用戶授權。
超范圍收集使用個人信息。有些App收集與所提供服務無關的個人信息。很多App為了增加產品功能豐富性,通常將多種業務功能集中開發在一款產品中,要求用戶同意所有業務功能所需個人信息,不提供任一個人信息,則拒絕提供所有服務;有些App在不使用相關功能時,仍頻繁收集僅為此項功能所需的個人信息,或者以超出業務功能所需頻率收集個人信息。
目前,利用個人信息和算法進行定向推送已成為一些互聯網行業的一大營利模式,有些企業為實現精準推送,往往以改善程序功能、提高用戶體驗、定向推送等目的強迫用戶提供并非實現業務功能所必需的個人信息。有些企業為了宣傳產品,未經用戶同意將所收集的用戶個人信息提供給廣告營銷商,進行廣告推送。
對此,《認定方法》要求不得收集無關的個人信息,不得強制收集非必要的個人信息。非必要信息包括“不是業務功能所必需”、“僅為改善服務質量、提升用戶體驗、定向推送信息、研發新產品所需要”、“新增業務功能所需個人信息”等。
隱瞞用戶收集使用個人信息。有些App在用戶注冊界面默認勾選同意隱私政策,非常容易導致用戶在毫不知情的情況下進行授權;有些App在隱私政策中使用“包括但不限于”、“可能用于”等開放式表述,未完整列出具體的個人信息類型,通過要求用戶同意隱私政策而獲得收集無限制多類個人信息的授權;有些App在安裝后,未征得用戶同意,就開始使用Cookie等同類技術收集用戶設備IMEI號、MAC地址等個人信息;有些App為降低成本、提升效率,通過嵌入各類第三方插件(如SDK)實現產品功能的多樣化,而這些第三方插件成為“隱形扒手”,在用戶不知情的情況下收集個人信息,甚至將個人信息傳至境外服務器;有些App故意隱瞞、掩飾收集使用個人信息的真實目的,或者使用模糊性語言使得收集個人信息目的不明確、難以理解,誤導用戶同意收集個人信息;有些App通過其他產品賬號登錄,未經用戶同意,訪問用戶其他產品中的個人信息;有些App在其界面顯示其他產品鏈接,一旦用戶點擊即默認注冊,未經用戶同意將個人信息提供給第三方。
對此,《認定方法》要求App運營者通過逐項列舉的方式明確App及委托第三方、嵌入第三方代碼和插件收集個人信息類型,在收集個人敏感信息或獲取權限時同步告知用戶目的,確保用戶知悉收集個人信息的真實明確目的,收集使用行為要經過用戶明確授權等。
未設置有效的更正、刪除個人信息及注銷用戶賬號的功能。有些App雖設置相關功能和渠道,但無法及時響應;有些App仍把注銷過的賬號信息保留于服務器,注銷賬號機制無效;有些App在用戶注銷時,要求滿足提供超出用戶注冊時所需信息等不合理條件,否則不予注銷。
對此,《認定方法》要求App運營者不僅要設置更正、刪除個人信息及注銷用戶賬號的功能,還要求能夠及時響應,并不得設置不合理的前提條件。
