導言
2021年����,數據合規領域大事頻發。
立法上�����,我國數據立法全方位發力��,法律體係架構初步搭建完成。頂層立法落地——《民法典》生效�����,《數據安全法》《個人信息保護法》先後實施並與《網絡安全法》共同構成我國數據監管“三駕馬車”��;配套法律文件相繼出台——《關鍵信息基礎設施安全保護條例》正式實施�,《網絡交易管理辦法》升級至《網絡交易監督管理辦法》���,《網絡安全審查辦法》修訂����,《互聯網信息服務算法推薦管理規定》《網絡數據安全管理條例(征求意見稿)》《數據出境安全評估辦法(征求意見稿)》發布����,各類細則對上位法進行了銜接和補充���;地方立法活躍——深圳和上海的數據條例發布並於2022年生效���;汽車���、金融�、健康��、工業和信息化領域聚焦特定行業�����,就若幹重點問題作出規定……
司法上���,全國首個涉數據糾紛專業合議庭在廣州互聯網法院掛牌成立����;“人臉識別第一案”終審宣判���,最高人民法院發布《關於審理使用人臉識別技術處理個人信息相關民事案件適用法律若幹問題的規定》��,加強對人臉信息的保護�����;“大數據殺熟”第一案審結����;公訴機製介入個人信息權益保護���,民事公益訴訟案件數量增長����;大學生爬取並盜走某電商平台用戶數據十幾億條���,被判侵犯公民個人信息罪��;全國首例非法獲取地理信息數據刑事案終審裁判�,三被告人犯非法獲取計算機信息係統數據罪……
監管上����,App專項治理繼續深入����,“大廠”App相繼“上榜”�;多家銀行因侵犯客戶個人信息權益被罰�����;智能網聯車企事故頻出�����,促使數據本地化和跨境監管措施加速落地�;人臉技術濫用受到消費者質疑����,監管部門出手整治�;平台借算法助力擴張���,也因“大數據殺熟”����、“大數據剝削”�、“信息繭房”���、不正當競爭�、壟斷等諸多問題屢被約談……
經濟環境上����,在全球經濟持續數字化轉型的背景下��,我國“十四五”規劃綱要提出加快數字化發展���、建設數字中國的重要部署�����;數據要素市場化配置加速�,北京�、上海數據交易所揭牌成立����,NFT形成數據價值確權�����、登記新模式��,數字貨幣試點場景拓展�����、權益保護加強���,數據資產化進程加快�����;元宇宙潮起�,互聯網科技巨頭紛紛布局……
2021年無疑在數據合規領域發展史上劃下了濃墨重彩的一筆�����,經濟和技術的發展給數據合規帶來更多機會�,也提出更多問題�、更大挑戰。
作為 “必修課”�����,tiandagongheshujuheguituanduizaimeiniannianchuhuiduishangyiniandushujuheguilingyudezhuyaowentijinxinghuiguheshuli�,bingduixiangguanwentizaixinyiniandefazhanqushijinxingyucehefenxi����,yijieciyukehu���、同仁探討��、分享我們的觀察和思考。今年�����,我們選取了一些有代表性的案例���,希望以此為切入點���,結合我們在實踐中的經驗����,對App專項治理�、人臉識別與AI合規���、算法治理與反壟斷�����、網絡安全審查和數據安全����、重點行業監管等幾個在2021年nian備bei受shou關guan注zhu的de數shu據ju合he規gui問wen題ti展zhan開kai討tao論lun�����,希xi望wang能neng夠gou給gei企qi業ye了le解jie和he解jie決jue相xiang關guan問wen題ti提ti供gong一yi些xie思si路lu和he啟qi發fa。我wo們men將jiang以yi係xi列lie文wen章zhang的de形xing式shi在zai天tian達da共gong和he官guan方fang公gong眾zhong號hao平ping台tai陸lu續xu發fa布bu以yi上shang專zhuan業ye文wen章zhang��,敬jing請qing關guan注zhu。
第一篇:從違規通報清單看App個人信息合規問題
2022年2月18日�����,工業和信息化部(下稱“工信部”)發布了2022年第1批關於侵害用戶權益行為的App通報清單。自工信部2019年12月發布第一批違規App通報清單以來����,這已經是該部門發布的第21張此類清單。
隨著智能手機的廣泛普及����,移動互聯網應用程序(或稱“移動智能終端應用軟件”�,下稱“App”)正在引領著科技服務的新浪潮。一方麵���,種類繁多的App為我們提供了便捷����、創新的服務�����,重塑了人們在數字時代的生活習慣與行為模式��;而另一方麵��,伴隨著App服務深度滲透到社會生活的各個角落��,個人信息安全問題日益凸顯。近年來�,圍繞App個人信息保護的立法及執法活動都處於相對活躍的狀態���,特別是自2021年11月1日《個人信息保護法》(下稱“《個保法》”)正式生效後�����,個人信息保護已成為App產品生態鏈中被廣泛討論的重要話題。本文將重點回顧過去一年中App相關的重要立法與執法活動��,並希望結合本團隊的項目實務經驗��,幫助企業梳理App個人信息合規監管重點問題���,從而對2022年的監管趨勢進行展望。
一�、App個人信息保護相關立法活動回顧
早在2016年�����,國家互聯網信息辦公室(下稱“國家網信辦”)即出台了首部專門針對App的部門規章《移動互聯網應用程序信息服務管理規定》(下稱“《管理規定》”)��,其中明確規定了App服務提供者應當“建立健全用戶信息安全保護機製�����,收集���、使用用戶個人信息應當遵循合法�、正當����、必要的原則���,明示收集使用信息的目的���、方式和範圍�����,並經用戶同意”。
隨後���,工信部於2016年12月發布了《移動智能終端應用軟件預置和分發管理暫行規定》�,該規定於2017年7月1日ri生sheng效xiao�,其qi中zhong明ming確que規gui定ding了le未wei經jing明ming示shi且qie經jing用yong戶hu同tong意yi�����,不bu得de收shou集ji使shi用yong用yong戶hu個ge人ren信xin息xi���,同tong時shi要yao求qiu生sheng產chan企qi業ye和he互hu聯lian網wang信xin息xi服fu務wu提ti供gong者zhe均jun應ying通tong過guo用yong戶hu提ti示shi�、企業網站等方式明示所提供App的信息�����,包括明確告知用戶App收集���、使用用戶個人信息的內容��、目的���、方式和範圍等。
2019年3月3日�,App違法違規收集使用個人信息專項治理工作組發布了《App違法違規收集使用個人信息自評估指南》。2019年11月28日�����,國家網信辦��、工信部�、公安部���、國家市場監督管理總局(下稱“市場監管總局”)聯合發布了《App違法違規收集使用個人信息行為認定方法》(下稱“《認定方法》”)�,其中明確了包括“未公開收集使用規則”“未明示收集使用個人信息的目的�����、方式和範圍”“未經用戶同意收集使用個人信息”“違反必要原則�,收集與其提供的服務無關的個人信息”“未經同意向他人提供個人信息”“未按法律規定提供刪除或更正個人信息功能”“未公布投訴���、舉報方式等信息”在內的六種App違法違規收集使用個人信息行為的認定規則。上述兩個文件對於App服務提供者進行個人信息保護合規自查具有非常重要的參考價值。
進入2021年�����,各主管部門持續發力。4月26日工信部發布了《移動互聯網應用程序個人信息保護管理暫行規定(征求意見稿)》(下稱“《暫行規定(征求意見稿)》”)�,明確了App開發運營者�����、App分發平台���、App第三方服務提供者�����、移動智能終端生產企業��、網絡接入服務提供者等五類主體的個人信息保護義務。
5月1日��,國家網信辦�、工信部����、公安部�、市場監管總局聯合發布的《常見類型移動互聯網應用程序必要個人信息範圍規定》(下稱“《常見App必要個人信息規定》”)正式實施�����,其中明確了地圖導航���、網絡約車�����、即時通信�、網絡社區��、網絡支付等39類常見類型App的必要個人信息範圍�,進一步明確了App服務提供者在提供基本服務時所能夠收集處理的必要個人信息範圍。
2021年是個人信息立法的“大年”。《個保法》《數據安全法》《網絡數據安全管理條例(征求意見稿)》(下稱“《數安條例(征求意見稿)》”)等法律法規的相繼出台����,從更高位階為App的個人信息保護工作提供了堅實依據與明確指導。
2022年1月5日��,國家網信辦發布了《移動互聯網應用程序信息服務管理規定(征求意見稿)》(下稱“《管理規定(征求意見稿)》”)��,並公開向社會公眾征求意見。《管理規定(征求意見稿)》在《管理規定》的基礎上���,結合《個保法》《數據安全法》等新法新規的規定進一步細化要求:從事App個人信息處理活動“應當遵循合法��、正當�、必要和誠信原則���,具有明確��、合(he)理(li)的(de)目(mu)的(de)並(bing)公(gong)開(kai)處(chu)理(li)規(gui)則(ze)�,遵(zun)守(shou)必(bi)要(yao)個(ge)人(ren)信(xin)息(xi)範(fan)圍(wei)的(de)有(you)關(guan)規(gui)定(ding)����,規(gui)範(fan)個(ge)人(ren)信(xin)息(xi)處(chu)理(li)活(huo)動(dong)�,采(cai)取(qu)必(bi)要(yao)措(cuo)施(shi)保(bao)障(zhang)個(ge)人(ren)信(xin)息(xi)安(an)全(quan)����,不(bu)得(de)以(yi)任(ren)何(he)理(li)由(you)強(qiang)製(zhi)要(yao)求(qiu)用(yong)戶(hu)同(tong)意(yi)非(fei)必(bi)要(yao)的(de)個(ge)人(ren)信(xin)息(xi)處(chu)理(li)行(xing)為(wei)��,不(bu)得(de)因(yin)用(yong)戶(hu)不(bu)同(tong)意(yi)提(ti)供(gong)非(fei)必(bi)要(yao)個(ge)人(ren)信(xin)息(xi)��,而(er)拒(ju)絕(jue)用(yong)戶(hu)使(shi)用(yong)其(qi)基(ji)本(ben)功(gong)能(neng)服(fu)務(wu)”。另外�����,《管理規定(征求意見稿)》第十九條還特別強調了�,App分發平台負有對申請上架和更新的App名稱�����、圖標���、簡介��、信息服務�����、個人信息收集使用行為等進行審核的義務�����,發現存在數據安全風險隱患�����、違法違規收集使用個人信息行為的�,或者損害個人����、組織合法權益的��,應當停止提供服務。
2022年2月16日����,工信部發布《關於進一步規範移動智能終端應用軟件預置行為的通告(征求意見稿)》�����,要求移動智能終端生產企業“確保除基本功能軟件外的預置應用軟件均可卸載�����,並提供安全便捷的卸載方式供用戶選擇”。
可以看到����,App個人信息保護相關的立法活動始終處於活躍狀態����,隨著《個保法》的正式生效���,上層立法及後續配套規則的完善將為App個人信息保護提供更為明確的法律依據����,同時也將對App個人信息保護合規義務的落實提出更高的要求。
二�、2021年App專項治理活動回顧
1. 網信部門關於App違法違規收集個人信息情況的專項治理活動
2021年��,國家網信辦依據《網絡安全法》《認定方法》《常見App必要個人信息規定》等法律和有關規定�,組織對常見類型公眾大量使用的部分App的個人信息收集使用情況進行檢測�,並針對檢測結果通報要求涉及的App進行限期整改。期間共發布了4批《App違法違規收集使用個人信息情況的通報》��,共涉及17類351款App。
與此同時���,各地網信辦根據《網絡安全法》《數據安全法》《個保法》《認定方法》《常見App必要個人信息規定》等法律和有關規定多次圍繞App違法違規收集個人信息的情況進行專項治理�����,浙江�����、黑龍江���、海南���、山東����、天津等地的通報結果也通過網信辦官方網站進行了發布。
此外�����,在2021年7月4日���,國家網信辦發布了關於下架某網絡約車App的通報。通報中指出�����,經檢測核實��,該網絡約車App及其多款關聯App存在嚴重違法違規收集使用個人信息問題��,依據《網絡安全法》相關規定����,國家網信辦通知應用商店下架相關App��,並要求相關運營者嚴格按照法律要求�,參照國家有關標準���,認真整改存在的問題����,切實保障廣大用戶個人信息安全。由於該網絡約車App境外上市等事件的持續發酵�����,該通報內容也吸引了資本市場及其他同業者的廣泛關注。
2. 工信部門關於App侵害用戶權益的專項治理活動
工信部自2019年10月31日發布《工業和信息化部關於開展App侵害用戶權益專項整治工作的通知》開始�,展開了密集的App侵害用戶權益專項整治活動�,重點對於“違規收集用戶個人信息”“違規使用用戶個人信息”“不合理索取用戶權限”“為用戶賬號注銷設置障礙”共四方麵八類侵犯用戶權益的行為進行檢查�����,對其中存在侵害用戶權益行為的App進行通報並要求其限期整改�,逾期未整改的��,工信部對其進行了下架通報處理。
此後���,工信部於2020年7月22日再次發布《工業和信息化部關於開展縱深推進APP侵害用戶權益專項整治行動的通知》���,重點強調了對軟件工具開發包(SDK)提供者及應用分發平台的整治���,並針對性明確了與上述整治對象相關的侵害用戶權益的行為。
2021年��,工信部發布《關於侵害用戶權益行為的App通報》共8批次��,其中包括了2021年2月通報的《關於違規調用麥克風��、通訊錄�����、相冊等權限侵害用戶權益行為的App通報》�,涉及App共592款。此外針對包括超範圍索取權限����、過度手機個人信息�、違規調用通訊錄信息等重點問題。工信部在下半年開展了三批次的“回頭看”專項通報�����,涉及App共121款。
對於經通報後未能限期完成整改的App���,工信部2021年發布《關於下架侵害用戶權益App名單的通報》共9批次���,涉及App共526款。
截至2022年2月���,該專項活動已累計發布《關於侵害用戶權益行為的App通報》共21批���,涉及被通報整改的App 1,000餘款。除工信部外����,2021年各地方通信局也不時在工信部官方網站發布區域內的App治理情況及檢查結果通報。
3. 其他相關執法活動
與App相關的專項治理活動主要由工信部門與網信辦集中開展�����,其他包括公安部“淨網”行動在內的各項專項整治活動也有涉及。此外����,各地檢察機關以及公安機關在開展打擊個人信息犯罪活動的過程中同時會對涉案App進行相應處理。
三��、2021年工信部關於侵害用戶權益行為的App專項整治重點內容
如前所述�����,雖然針對App的監管仍然維持“九龍治水”的多頭共管格局��,其中仍以作為互聯網行業主管部門的工信部及其下屬各級通信管理局開展的監管執法活動最為活躍。本文針對工信部2021年開展的關於App侵害用戶權益行為專項治理活動中公開通報的信息進行了整理����,以便統計並分析揭示出App專項治理活動中涉及到的個人信息保護重點問題。
1. 工信部通報中提及的App所涉侵害用戶權益的問題包括“違規收集個人信息”“超範圍收集個人信息”“強製����、頻繁���、過度索取權限”“違規使用個人信息”“欺騙誤導強迫用戶”“欺騙誤導用戶下載App”“強製用戶使用定向推送功能”“App頻繁自啟動和關聯啟動”“應用分發平台上的App信息明示不到位”“應用分發平台管理責任落實不到位”等。
2. 在被通報的問題中����,個人信息保護相關問題占據極大比例�,其中涉及違規或超範圍收集個人信息的占通報問題總數的50%����;違規使用個人信息占20%�����;強製�����、頻繁�����、過度索取權限占9%�����;其他各種問題合計占21%。
四�����、App個人信息保護合規重點問題探討
從2021年工信部App專項整治行動數據不難看出�����,個人信息保護問題已經成為App侵害用戶權益的重災區。隨著近年個人信息保護立法的逐步完善�,App服務提供者在觀念上已逐漸實現了從“忽視個人信息保護”到“強調個人信息保護”的重要轉變�����,特別是在2021年11月1日《個保法》正式生效後����,個人信息保護已經成為所有App服務提供者不得不重點關注的核心議題。但從上述的專項治理活動數據可以看出�,縱然App服fu務wu提ti供gong者zhe對dui於yu個ge人ren信xin息xi保bao護hu的de意yi識shi在zai逐zhu步bu提ti升sheng�����,但dan侵qin害hai用yong戶hu個ge人ren信xin息xi權quan益yi的de現xian象xiang仍reng屢lv見jian不bu鮮xian。本ben文wen盡jin量liang通tong過guo將jiang法fa律lv法fa規gui與yu實shi務wu經jing驗yan相xiang結jie合he的de方fang式shi�����,對duiApp個人信息保護中的重點問題進行探討����,希望可以為企業提供關於App個人信息保護合規更加具象的參考。
1. 告知義務的履行
《個保法》第十七條 規定���,個人信息處理者在處理個人信息前��,應當以顯著方式�、清晰易懂的語言真實�����、準確�、完整地向個人告知處理目的�����、處理方式����,處理的個人信息種類��、保存期限等必要事項��,事項發生變更的�����,也應當將變更部分告知個人。
而對於App服務提供者以何種形式履行上述告知義務����,《信息安全技術 個人信息安全規範》(GB/T 35273-2020)(下稱“《個人信息安全規範》”)第5.4條注1明確提出�����,如產品或服務僅提供一項收集�����、使用個人信息的業務功能時�����,個人信息控製者可通過個人信息保護政策的形式�,實現向個人信息主體的告知����;產品或服務提供多項收集��、使shi用yong個ge人ren信xin息xi的de業ye務wu功gong能neng的de���,除chu個ge人ren信xin息xi保bao護hu政zheng策ce外wai��,個ge人ren信xin息xi控kong製zhi者zhe宜yi在zai實shi際ji開kai始shi收shou集ji特te定ding個ge人ren信xin息xi時shi進jin行xing告gao知zhi��,以yi便bian個ge人ren信xin息xi主zhu體ti在zai做zuo出chu具ju體ti的de授shou權quan同tong意yi前qian����,能neng充chong分fen考kao慮lv對dui其qi的de具ju體ti影ying響xiang。
而關於App服務提供者履行告知義務的時點���、方式以及具體內容��,《個人信息安全規範》第5.5條注3 中進行了簡要解釋��,《暫行規定(征求意見稿)》第六條在此基礎上進一步明確�����,從事App個人信息處理活動的�,“應當在App登錄注冊頁麵及App首次運行時����,通過彈窗����、文本鏈接及附件等簡潔明顯且易於訪問的方式�,向用戶告知涵蓋個人信息處理主體����、處理目的�����、處理方式���、處理類型��、保存期限等內容的個人信息處理規則”。
在實際操作過程中���,對於 《個人信息安全規範》第5.4條注1中的“僅提供一項收集�、使用個人信息的業務功能”的內容存在理解上的差異��,為數不少的App服務提供者擔憂如果將業務功能拆分過細��,則對於功能較為多元複雜的App而言���,逐次告知的彈窗將極大影響客戶的使用體驗感����,降低產品的市場競爭力。我們認為��,對於“僅提供一項收集�、使用個人信息的業務功能”的理解應當從業務功能的高度關聯性出發���,秉持著“基本功能集群化�����、擴展功能獨立化”的原則�,對於需要收集����、使用個人信息的多項無法分割的具有高度關聯性的業務功能���,可以一並通過個人信息保護政策完成告知義務(需要單獨告知的除外)�����,對(dui)於(yu)其(qi)他(ta)具(ju)有(you)著(zhe)明(ming)顯(xian)差(cha)異(yi)性(xing)的(de)業(ye)務(wu)功(gong)能(neng)����,則(ze)建(jian)議(yi)在(zai)通(tong)過(guo)個(ge)人(ren)信(xin)息(xi)政(zheng)策(ce)進(jin)行(xing)一(yi)般(ban)性(xing)告(gao)知(zhi)的(de)同(tong)時(shi)����,在(zai)實(shi)際(ji)開(kai)始(shi)收(shou)集(ji)特(te)定(ding)個(ge)人(ren)信(xin)息(xi)之(zhi)前(qian)再(zai)另(ling)行(xing)進(jin)行(xing)告(gao)知(zhi)。從(cong)兼(jian)顧(gu)App的(de)服(fu)務(wu)體(ti)驗(yan)而(er)言(yan)�����,與(yu)主(zhu)要(yao)功(gong)能(neng)不(bu)存(cun)在(zai)高(gao)度(du)關(guan)聯(lian)性(xing)的(de)擴(kuo)展(zhan)功(gong)能(neng)本(ben)身(shen)已(yi)偏(pian)離(li)基(ji)本(ben)功(gong)能(neng)的(de)服(fu)務(wu)目(mu)的(de)�����,對(dui)於(yu)用(yong)戶(hu)而(er)言(yan)����,即(ji)時(shi)告(gao)知(zhi)既(ji)能(neng)提(ti)醒(xing)其(qi)關(guan)注(zhu)個(ge)人(ren)信(xin)息(xi)收(shou)集(ji)處(chu)理(li)行(xing)為(wei)對(dui)其(qi)的(de)影(ying)響(xiang)��,也(ye)能(neng)提(ti)高(gao)其(qi)對(dui)擴(kuo)展(zhan)服(fu)務(wu)的(de)關(guan)注(zhu)度(du)�����,同(tong)時(shi)降(jiang)低(di)“一攬子同意”導致的合規風險。
但值得注意的是�,《認定方法》第二條關於“未明示收集使用個人信息的目的����、方式和範圍”的認定中�,包括了“在申請打開可收集個人信息的權限���,或申請收集用戶身份證號����、銀行賬號��、行蹤軌跡等個人敏感信息時����,未同步告知用戶其目的���,或者目的不明確����、難以理解”的行為。《暫行規定(征求意見稿)》第六條第(六)項規定���,“處理種族�����、民族���、宗教信仰�����、個人生物特征��、醫療健康�����、金融賬戶�、個人行蹤等敏感個人信息的�����,應當對用戶進行單獨告知���,取得用戶同意後�����,方可處理敏感個人信息”。因此�,在申請打開可收集個人信息的權限�����,或申請收集用戶身份證號�、銀行賬號�、行蹤軌跡等敏感個人信息時���,需要采取單獨告知的形式並征得用戶的同意。
此外�����,根據《個保法》《認定方法》《暫行規定(征求意見稿)》的規定���,個人信息保護政策從形式上應當易於閱讀�����,避免出現文字過小過密��、顏色過淡����、模糊不清���、未提供簡體中文版����、內容晦澀難懂�、冗長繁瑣���、用戶難以理解�����、使用大量專業術語等情形。而就告知內容而言��,除了《個保法》第十七條規定的內容��,《個保法》第二十三條 關於向第三方提供個人信息����、第三十條 關於處理敏感個人信息�����、第三十九條 個人信息跨境提供等規定的特別告知內容應當在個人信息保護政策中進行體現。
2. 用戶同意的取得
關於同意取得的形式�,根據《個保法》第十三條 �、第十四條 ���,個人信息主體的同意作為個人信息處理合法性基礎之一���,應當由個人在充分知情的前提下自願�����、明確作出。《認定方法》第三條第4項以及《暫行規定(征求意見稿)》第六條第(二)項均強調了同意的取得應當采取非默認勾選的方式��,所謂“默認勾選”指zhi在zai用yong戶hu勾gou選xuan前qian即ji已yi在zai勾gou選xuan框kuang提ti前qian設she置zhi了le同tong意yi勾gou選xuan的de情qing況kuang��,明ming示shi同tong意yi應ying當dang要yao求qiu用yong戶hu主zhu動dong進jin行xing勾gou選xuan。此ci外wai�����,我wo們men還hai建jian議yi應ying當dang在zai告gao知zhi彈dan窗chuang或huo勾gou選xuan項xiang中zhong清qing晰xi地di體ti現xian出chu“要求用戶仔細閱讀個人信息保護政策並同意App服務提供者按照個人信息保護政策的內容處理其個人信息”的意思表示。
但需要注意的是��,根據《個保法》第二十三條向第三人提供個人信息���、第二十五條 個人信息的公開����、第二十九條 敏感個人信息的處理��、第三十九條 個(ge)人(ren)信(xin)息(xi)跨(kua)境(jing)提(ti)供(gong)的(de)處(chu)理(li)情(qing)形(xing)��,需(xu)要(yao)取(qu)得(de)個(ge)人(ren)信(xin)息(xi)主(zhu)體(ti)的(de)單(dan)獨(du)同(tong)意(yi)。目(mu)前(qian)雖(sui)然(ran)對(dui)於(yu)單(dan)獨(du)同(tong)意(yi)的(de)認(ren)識(shi)以(yi)及(ji)實(shi)踐(jian)操(cao)作(zuo)仍(reng)存(cun)在(zai)著(zhe)較(jiao)大(da)分(fen)歧(qi)���,很(hen)多(duo)App服(fu)務(wu)提(ti)供(gong)者(zhe)依(yi)舊(jiu)在(zai)平(ping)衡(heng)個(ge)人(ren)信(xin)息(xi)保(bao)護(hu)與(yu)用(yong)戶(hu)體(ti)驗(yan)感(gan)的(de)問(wen)題(ti)上(shang)無(wu)法(fa)進(jin)行(xing)取(qu)舍(she)��,但(dan)我(wo)們(men)仍(reng)建(jian)議(yi)在(zai)技(ji)術(shu)及(ji)用(yong)戶(hu)體(ti)驗(yan)允(yun)許(xu)的(de)範(fan)圍(wei)內(nei)�,盡(jin)量(liang)采(cai)用(yong)彈(dan)窗(chuang)��、首次注冊登陸時的勾選項或電子授權同意書等形式��,通過逐項確認的方式實現單獨同意。
3. 最小必要原則與目的限定原則的具體適用
《個保法》第五條 ��、第六條 確(que)立(li)了(le)個(ge)人(ren)信(xin)息(xi)處(chu)理(li)的(de)最(zui)小(xiao)必(bi)要(yao)原(yuan)則(ze)與(yu)目(mu)的(de)限(xian)定(ding)原(yuan)則(ze)�����,這(zhe)兩(liang)個(ge)原(yuan)則(ze)貫(guan)穿(chuan)了(le)個(ge)人(ren)信(xin)息(xi)的(de)全(quan)生(sheng)命(ming)周(zhou)期(qi)。而(er)對(dui)於(yu)如(ru)何(he)把(ba)握(wo)其(qi)在(zai)實(shi)務(wu)操(cao)作(zuo)中(zhong)的(de)適(shi)用(yong)存(cun)在(zai)一(yi)定(ding)難(nan)度(du)。我(wo)們(men)僅(jin)就(jiu)App“超範圍收集個人信息”問題從兩個維度依次遞進地闡述最小必要原則與目的限定原則的實際適用。
首先���,對於如何判斷App服務內容對應的所需處理的個人信息的必要範圍�,可以參考《常見App必要個人信息規定》����,其中明確了必要個人信息是指保障App基本功能服務正常運行所必需的個人信息�����,缺少該信息App即無法實現基本功能服務。《常見App必要個人信息規定》列舉了39類常見類型App的必要個人信息範圍���,對於App服務提供者來說具有重要參考價值。
其次�,《個人信息安全規範》第5.3條 指(zhi)出(chu)應(ying)當(dang)尊(zun)重(zhong)用(yong)戶(hu)對(dui)於(yu)多(duo)項(xiang)業(ye)務(wu)功(gong)能(neng)的(de)自(zi)主(zhu)選(xuan)擇(ze)權(quan)�����,不(bu)應(ying)通(tong)過(guo)捆(kun)綁(bang)產(chan)品(pin)或(huo)服(fu)務(wu)各(ge)項(xiang)業(ye)務(wu)功(gong)能(neng)的(de)方(fang)式(shi)��,要(yao)求(qiu)個(ge)人(ren)信(xin)息(xi)主(zhu)體(ti)一(yi)次(ci)性(xing)接(jie)受(shou)並(bing)授(shou)權(quan)同(tong)意(yi)其(qi)未(wei)申(shen)請(qing)或(huo)使(shi)用(yong)的(de)業(ye)務(wu)功(gong)能(neng)收(shou)集(ji)個(ge)人(ren)信(xin)息(xi)的(de)請(qing)求(qiu)。
雖然絕大多數App通常會集成多種服務功能以實現為用戶提供全方位體驗的商業目的���,但無論是在告知環節還是在取得同意階段�,我們仍建議App服fu務wu提ti供gong者zhe將jiang基ji礎chu服fu務wu與yu擴kuo展zhan服fu務wu進jin行xing區qu分fen��,分fen別bie明ming確que各ge服fu務wu功gong能neng所suo必bi需xu收shou集ji的de個ge人ren信xin息xi範fan圍wei。當dang用yong戶hu無wu需xu使shi用yong擴kuo展zhan服fu務wu時shi�����,應ying當dang保bao障zhang其qi拒ju絕jue提ti供gong相xiang應ying個ge人ren信xin息xi授shou權quan的de權quan利li。
需要重點提示的問題是�����,很多App通常僅以改善服務質量�、提升用戶體驗�、定向推送信息�、研發新產品等為由�,強製要求用戶同意收集其個人信息。《個人信息安全規範》第5.3條第f)項���、《認定方法》第四條第5項���、《暫行規定(征求意見稿)》第七條第(六)項中均認為該行為違反了最小必要原則�,侵害了用戶的個人信息權益�,但該行為在App中普遍存在�����,需要App服務提供者特別注意。
4. 其他問題
除了上述提及的問題外�,關於App個人信息保護還存在著諸多問題��,由於篇幅有限無法在此一一展開討論。但需要提醒的是��,《認定方法》中指出的包括“違反所聲明的收集使用規則����,收集使用個人信息”“實際收集的個人信息或打開的可收集個人信息權限超出用戶授權範圍”“既未經用戶同意�����,也未做匿名化處理�,數據傳輸至App後台服務器後�����,向第三方提供其收集的個人信息”等問題����,究其主要原因����,絕大多數是由於App服務提供者的個人信息保護意識薄弱�����、內部合規管理體製存在漏洞造成的���,這樣的問題有可能涉及技術�����、產品��、合規等多個部門�,存在類似問題的App服務提供者��,應當盡早進行個人信息保護合規差距分析與整改工作。
五����、2022年App個人信息保護合規監管展望
2022年對App個(ge)人(ren)信(xin)息(xi)保(bao)護(hu)的(de)監(jian)管(guan)仍(reng)將(jiang)作(zuo)為(wei)主(zhu)管(guan)部(bu)門(men)執(zhi)法(fa)活(huo)動(dong)的(de)重(zhong)點(dian)內(nei)容(rong)���,且(qie)執(zhi)法(fa)監(jian)管(guan)將(jiang)更(geng)為(wei)細(xi)致(zhi)和(he)深(shen)入(ru)。結(jie)合(he)主(zhu)管(guan)部(bu)門(men)近(jin)期(qi)的(de)執(zhi)法(fa)活(huo)動(dong)來(lai)看(kan)�,特(te)別(bie)是(shi)2021年11月工信部開展的信息通信服務感知提升行動(即通常所說的“524”行動)�,以及我們在本篇開頭部分提及的工信部2022年第1批關於侵害用戶權益行為的App通報清單��,除監管部門往年所關注的問題外���,App內嵌的SDK等第三方接入產品對個人信息的收集情況���,以及App已收集個人信息的使用情況(特別是對外共享)將成為2022年的監管重點。
另一方麵���,隨著App用戶數量的逐步穩定��,眾多成熟的App運營商都麵臨著增量市場轉為存量市場的現實困境。App服務提供者在提升技術能力�����、chuangxinfuwuleixingdetongshi���,gengxuyaoguanzhuduiyonghugerenxinxidebaohu。zaishujuzuoweizhongyaoshengchanyaosudeshidai�,gerenxinxibaohunengliyuheguishuipingyeshiyizhonghexinjingzhengli。App個人信息保護合規問題對於企業防範風險和增強產品服務競爭力兩個方麵均有實際的重要意義。著眼今年的App監管重點問題���,App服務提供者有必要對自身App使用SDK和共享個人信息的情況進行自查����,盡早識別風險並有針對性地采取合規措施�,從而降低違規風險���,提升App產品的安全性和可靠性。
