近年来,App强制授权、过度索权、超范围收集个人信息的现象大量存在,违法违规使用个人信息的问题十分突出,广大网民对此反映强烈。落实《网络安全法》《消费者权益保护法》的要求,为保障个人信息安全,维护广大网民合法权益,中央网信办、工业和信息化部、公安部、市场监管总局决定,自2019年1月至12月,在全国范围组织开展App违法违规收集使用个人信息专项治理。根据《关于开展App违法违规收集使用个人信息专项治理的公告》,在近一年专项治理工作基础上,四部门制定发布了《App违法违规收集使用个人信息行为认定方法》(以下简称“《认定方法》”),为App评估和处置提供参考,为App运营者自查自纠提供指引。
《认定方法》结合App功能特性,针对移动互联网行业现存的个人信息收集使用方面存在的突出问题,对《网络安全法》关于个人信息保护的原则性要求进行了细化说明:一是明确违法违规行为的具体表现形式,如“未经用户同意收集使用个人信息”不仅包括根本没有征求用户同意的情况,还有收集信息后再征求用户同意、实际收集的信息超出用户授权范围、App更新时自动更改用户设置的权限状态等。二是细化解释法律规定的原则性要求,如明确了《网络安全法》规定的“必要”、“明示”等的具体含义和要求,“必要”是指实现业务功能所必需,如改善服务质量、提升用户体验等不属于必要范围,“明示”要求逐项列举、目的明确、易于理解,收集使用规则更新时提示用户等。三是指明以不正当方式逃避监管,实际上并未履行法律责任的情况,如《网络安全法》要求网络运营者公开收集使用规则,而有些App虽然有隐私政策,但是并未充分履行告知义务:隐私政策中几乎不涉及收集使用规则,或隐私政策在App中十分隐蔽、难以找到,或隐私政策不是在App中公布,而是在官网等用户无法直接查看的地方公布,或没有提供简体中文版本,用户难以阅读。《认定方法》明确要求收集使用规则必须在App中以用户便于访问和阅读的形式展现,并且根据行业和监管实际,规定进行主界面后,通过少于4次点击等操作即可访问到。
值得说明的是,《认定方法》主要针对App收集使用个人信息的行为,至于个人信息安全保护措施、非法买卖等犯罪行为不是其重点规范对象。目前,个人信息收集使用方面的法律规定较为原则,执法监管经验不足,服务模式、业务功能复杂多样,很多收集使用个人信息的做法处于灰色地带,监管难度较大,尤其过度收集行为更是个人信息安全的根源性问题。《认定方法》在App违法违规收集使用个人信息评估工作的基础上,通过深入行业进行调研,根据法律法规划定出违法违规行为界限,尤其着力探索破解强制收集、超范围收集、隐蔽收集个人信息等现存突出问题和治理难题,从源头根治个人信息安全问题,啃个人信息保护的“硬骨头”,标志着个人信息保护工作进入更为深入阶段。
《认定方法》主要针对以下行为进行了界定:
强制收集使用个人信息。有些App要求用户一次性同意其收集所有业务功能所需的个人信息,或要求用户授权其运营的其他产品及第三方插件收集用户个人信息,或要求用户授权与所谓的“关联企业”共享个人信息,不同意则不提供服务。较为典型的是将targetSdkVersion值设置小于23,要求用户一次性同意开启多个可收集个人信息的权限,用户不同意则无法安装使用;有些App在用户明确表示不同意后,仍频繁征求用户同意、干扰用户正常使用,强迫用户提供个人信息。
对此,《认定方法》要求App运营者不得通过一揽子征求同意的方式、不同意则拒绝提供无关业务功能、频繁征求同意等强制性方式获得用户授权。
超范围收集使用个人信息。有些App收集与所提供服务无关的个人信息。很多App为了增加产品功能丰富性,通常将多种业务功能集中开发在一款产品中,要求用户同意所有业务功能所需个人信息,不提供任一个人信息,则拒绝提供所有服务;有些App在不使用相关功能时,仍频繁收集仅为此项功能所需的个人信息,或者以超出业务功能所需频率收集个人信息。
目前,利用个人信息和算法进行定向推送已成为一些互联网行业的一大营利模式,有些企业为实现精准推送,往往以改善程序功能、提高用户体验、定向推送等目的强迫用户提供并非实现业务功能所必需的个人信息。有些企业为了宣传产品,未经用户同意将所收集的用户个人信息提供给广告营销商,进行广告推送。
对此,《认定方法》要求不得收集无关的个人信息,不得强制收集非必要的个人信息。非必要信息包括“不是业务功能所必需”、“仅为改善服务质量、提升用户体验、定向推送信息、研发新产品所需要”、“新增业务功能所需个人信息”等。
隐瞒用户收集使用个人信息。有些App在用户注册界面默认勾选同意隐私政策,非常容易导致用户在毫不知情的情况下进行授权;有些App在隐私政策中使用“包括但不限于”、“可能用于”等开放式表述,未完整列出具体的个人信息类型,通过要求用户同意隐私政策而获得收集无限制多类个人信息的授权;有些App在安装后,未征得用户同意,就开始使用Cookie等同类技术收集用户设备IMEI号、MAC地址等个人信息;有些App为降低成本、提升效率,通过嵌入各类第三方插件(如SDK)实现产品功能的多样化,而这些第三方插件成为“隐形扒手”,在用户不知情的情况下收集个人信息,甚至将个人信息传至境外服务器;有些App故意隐瞒、掩饰收集使用个人信息的真实目的,或者使用模糊性语言使得收集个人信息目的不明确、难以理解,误导用户同意收集个人信息;有些App通过其他产品账号登录,未经用户同意,访问用户其他产品中的个人信息;有些App在其界面显示其他产品链接,一旦用户点击即默认注册,未经用户同意将个人信息提供给第三方。
对此,《认定方法》要求App运营者通过逐项列举的方式明确App及委托第三方、嵌入第三方代码和插件收集个人信息类型,在收集个人敏感信息或获取权限时同步告知用户目的,确保用户知悉收集个人信息的真实明确目的,收集使用行为要经过用户明确授权等。
未设置有效的更正、删除个人信息及注销用户账号的功能。有些App虽设置相关功能和渠道,但无法及时响应;有些App仍把注销过的账号信息保留于服务器,注销账号机制无效;有些App在用户注销时,要求满足提供超出用户注册时所需信息等不合理条件,否则不予注销。
对此,《认定方法》要求App运营者不仅要设置更正、删除个人信息及注销用户账号的功能,还要求能够及时响应,并不得设置不合理的前提条件。