《App违法违规收集使用个人信息自评估指南》逐条分析与提示(一)

背 景

移动互联网应用程序(App)得到广泛应用,在促进经济社会发展、服务民生等方面发挥了不可替代的作用。同时,App强制授权、过度索权、超范围收集个人信息的现象大量存在,违法违规使用个人信息的问题十分突出,网民反应强烈。

2019年1月25日,中央网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》(以下简称《公告》),并于2019年1月至12月期间依据《公告》在全国范围内开展专项治理。

为落实《公告》内容,受四部门委托,全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立App违法违规收集使用个人信息专项治理工作组(以下简称“App专项治理工作组”),具体推动App违法违规收集使用个人信息评估工作。3月1日,App专项治理工作组编制并发布了《App违法违规收集使用个人信息自评估指南》(以下简称《自评估指南》)。

《自评估指南》主要聚焦于现实中比较突出的问题,针对性非常强,各项具体要求主要来源于《网络安全法》、《消费者权益保护法》、《信息安全技术个人信息安全规范》(以下简称《个人信息安全规范》),以及于今年1月30日发布征求意见的《信息安全技术个人信息安全规范(草案)》(以下简称《个人信息安全规范(草案)》),并在此基础上提出了进一步的细化要求,对于这些首次出现的细化要求,企业在自查自纠时应当特别关注。根据对监管思路的理解,企业先通过自评估并进行相应整改,可以减少监管机构采取严厉手段的压力,某种程度上给企业提供了政策的缓冲期。

《自评估指南》篇幅较短,但包含信息量很大,值得企业特别关注。现就《自评估指南》逐条进行分析,尽可能还原相关监管机构在个人信息方面的治理思路,并着重给出拙见。

一、隐私政策文本

评估项1:隐私政策的独立性、易度性

评估点

评估标准

1、是否有隐私政策

在App界面中能够找到隐私政策,包括通过弹窗、文本链接、常见问题(FAQs)等形式。

分析:

隐私政策,是企业与用户之间关于如何处理和保护用户个人信息的基本的权利义务的文件,用以告知用户个人信息如何被搜集、使用、与第三方共享的情况。它不是仅对企业的束缚,也是企业提示用户自主、自愿、合理提供和处分个人信息,并区分与用户责任的依据,也有的企业改成为“隐私保护指南”或“个人信息保护指南”。

隐私政策必须经过被收集者(App用户)的同意,发布隐私政策是保证个人信息主体知情权的重要手段。清晰的隐私政策,才能实现《网络安全法》第四十一条要求的“公开收集、使用规则,明示收集、使用信息的目的、方式和范围”。

另外,《个人信息安全规范(草案)》规定:“隐私政策应公开发布且易于访问,例如,在网站主页、移动应用程序安装页、社交媒体首页、或本标准5.4或5.5规定的交互界面或设计等显著位置设置链接。”

一些企业拥有多款App,如果没有制定单独的隐私政策,但有企业内统一适用的隐私政策也是可以被认可的,但是要注意该企业统一适用的隐私政策应当在各个App中都能够被查找到。

评估点

评估标准

2、隐私政策是否单独成文

隐私政策以单独成文的形式发布,而不是作为用户协议、用户说明等文件中的一部分存在。

分析:

实践中,部分App运营者并未制定单独成文的隐私政策,其个人信息收集、使用等相关的规则散见于用户协议、用户说明等其他文件中,对普通用户来说查找困难,理解亦难。本条标准要求隐私政策单独成文,是对隐私政策重要性的再次重申,App运营者应当明确区分隐私政策与用户协议、用户说明等文件,采用“隐私政策”或类似名称,并将与个人信息保护相关的内容全部单独列于独立的隐私政策当中。

评估点

评估标准

3、隐私政策是否易于访问

进入App主功能界面后,通过4次以内的点击,能够访问到隐私政策,且隐私政策链接位置突出、无遮挡。

分析:

《个人信息安全规范》要求“隐私政策应公开发布且易于访问”,本条评估标准在此基础上首次明确提出了“4次以内”的点击次数标准,将“易于访问”的标准具体化。根据本条标准,用户在点击进入App主功能界面后,应当能够通过4次内的点击看到隐私政策文本。点击次数的计数从进入主功能界面开始,4次以内的点击应当理解为包含4次。

此外,本条还提出隐私政策链接应当位置突出、无遮挡,对此,建议App运营者对隐私政策链接采用不同颜色、不同字体的标注方式。看似只是很小的变化,但从以往的司法实践中也能起到一定的抗辩效果。

评估点

评估标准

4、隐私政策是否易于阅读

隐私政策文本文字显示方式(字号、颜色、行间距等)不回造成阅读困难。

分析:

本条从隐私政策文本排版方面评估隐私政策是否易于阅读,要求App运营者不得通过缩小字号、选择辨识度较低的颜色或者减少行间距等方式给用户阅读增加障碍。易于阅读,也是知情同意原则的延伸。

此外《个人信息安全规范》第5.6节第c)项中规定“隐私政策的内容应当清晰易懂。符合通用的语言习惯,使用标准化的数字、图示等,避免使用有歧义的语言,并在起始部分提供摘要,简述告知内容的重点”。

建议企业采用具有区分度的文本文字显示方式提醒用户注意,如对隐私政策文本区分字体、字号、颜色,通过加粗、下划线、增加行间距、段落间距等方式标注重点。

评估项2:清晰说明各项业务功能及所收集个人信息类型

评估点

评估标准

5、是否明示收集个人信息的业务能力

隐私政策中应当将收集个人信息的业务功能逐项列举,不应使用“等、例如”字样。

注:业务功能是指App面向个人用户所提供的一类完整服务,如地图导航、网络约车、即时通讯、社区社交、网络支付、新闻资讯、网上购物、段视频、快递配送、餐饮外卖、交通票务等。

分析:

基于此项评估标准,要求App运营者在隐私政策中以穷尽列举的方式,将需要收集个人信息的业务功能一一列明。运营者应当重新梳理其App内提供的所有业务功能,一一核对各项业务功能是否存在收集个人信息的情况,并将其中收集个人信息的业务功能在隐私政策中逐一列明,不能遗漏。

评估点

评估标准

6、业务功能与所收集个人信息类型是否一一对应

隐私政策中对每个业务功能都应说明其所收集的个人信息类型,不应出现多个业务功能对应一类个人信息的情况。

分析:

本项评估标准是第一次出现,在第5点评估标准的基础上进一步要求隐私政策中对各个业务功能收集的个人信息的类型进行分别说明,且特别强调“不应出现多个业务功能对应一类个人信息的情况”,即有多少项业务功能,就对应做多少次收集个人信息类型的说明。评估点5与评估点6进行如此细致的拆分,足以看出此次评估对隐私政策制定中“清晰说明”方面的严格要求,应引起App运营者的重视。这条要求起草隐私政策必须和业务“严丝合缝”,也要求企业在App进行调整或升级时,相应调整隐私政策。

评估点

评估标准

7、是否明示各项业务功能所收集的个人信息类型

每个业务功能都在说明其所收集的个人信息类型时,应在隐私政策中逐项列举,不应使用“等、例如”等方式概括说明。

分析:

本条评估标准主要针对各业务功能收集的个人信息类型,在穷举所有业务功能的前提下,要求对各项业务功能所收集的个人信息类型也进行分别的穷举列明。

因此,App运营者不得再使用概括性语言模糊综述所收集个人信息,如“我们收集您的身份等相关信息”此类描述,而应明确写明“我们收集您的姓名、电话号码、地址信息”。App运营者应当在梳理其业务功能的过程中,对各项业务功能收集的个人信息进行细致检查、记录,确保能够将其准确地、一一对应地列明在隐私政策当中。对于遏制过度收集个人信息,这条会起到比较重要的作用,但也确实会和很多企业的业务流程发生碰撞,对个人信息保护的相关负责人提出了很高的要求。

评估点

评估标准

8、是否显著标识个人敏感信息类型

隐私政策应对个人敏感信息类型进行显著标识(如字体加粗、标星号、下划线、斜体、颜色等)。

注:个人敏感信息包括身份证号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)未成年人的个人信息等。(该定义见GB/T 35273《个人信息安全规范》3.2节)

分析:

以往对敏感信息的判定还是存在一定的争议,根据《个人信息安全规范(草案)》附录B,对个人敏感信息的判定可以从泄露、非法提供以及滥用三个角度进行,也即在发生某类个人信息的泄露、非法提供以及滥用的情况下,若会对个人信息主体权益带来重大风险,则该类信息属于个人敏感信息。同时该规范附录B对个人敏感信息进行了一一举例。

未完待续。。。。。。

2019-03-16 00:01