导言:国家计算机病毒应急处理中心(以下简称“应急中心”)近期通过互联网监测发现 17 款移动 APP 存在隐私不合规行为,违反网络安全法、个人信息保护法相关规定,涉嫌超范围采集个人隐私信息。事实上,继上一批应急中心通报违规 APP 名单以来时间相隔不到一个月,这也是应急中心 2022 年以来的第 12 次通报。本文结合此次通报中的违规问题进行分析和探讨,帮助大家在进行 APP 隐私治理时提供浅显指引。点击免费试用网易易盾隐私合规检测
一、通报概览
高频违规行为
Top 1:未向用户明示申请的全部隐私权限,涉嫌隐私不合规,共计 15 次;
Top 2:处理敏感个人信息未取得个人的单独同意,共计 7 次;
Top 3:向其他个人信息处理者提供其处理的个人信息的,未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,共计 6 次;
其他常见的违规行为还包括强制用户使用定向推送功能、欺骗误导强迫用户、欺骗误导用户提供个人信息,APP 强制、频繁、过度索取权限等行为。
上述被通报的 17 款移动应用分别来自 360 手机助手、TapTap、安智市场、百度手机助手、豌豆荚、应用宝等应用分发平台,监管覆盖面广。
二、合规解读
(一)未向用户明示申请的全部隐私权限
#问题描述
本项指的是用户在基于开发者提供的隐私政策、“双清单”等个人信息处理规则,授权开发者进行收集使用个人信息的处理活动时,隐私政策中未向用户明示其所申请的所有系统权限,如日历、通话记录、传感器、存储等。
针对本评估点,相关国家或行业标准中也已经有关于 Android 与 iOS 相关的敏感权限清单,理解上不存在难点,但可能会因为具体的合规整改工作中的一些沟通协作等问题,导致未能完全排查所有的系统权限。例如:读取电话状态(READ_PHONE_STATE)。
READ_PHONE_STATE 是 PHONE 权限组的一个子权限,该权限主要是申请读取 IMSI、IMEI 等设备唯一标识符,常被用作安全风控或广告追踪等功能场景。但因为该类信息的稳定性和唯一性,容易对用户造成安全风险,故 APP 想要读取 IMEI、IMSI 等信息时,相关系统厂商会通过动态权限申请的方式进行控制。
而在梳理汇总相关权限信息时,研发会重点关注最终能够获取信息字段,法务或其他搭档对隐私政策等个人信息处理规则进行最终检查时,可能会因为技术盲区,忽略结合字段再对权限进行的最终排查和补充。
#合规建议
一是,加强协作沟通,在梳理 APP 系统权限时,技术和法务应当互相赋能和检查,避免因为对技术或者合规上的盲区,导致最终结果出现遗漏。
二是,加强第三方管理,如 APP 可能会基于功能需要或业务营收需求接入新的第三方 SDK,或者第三方 SDK 本身的更新迭代。应在进行产品规划和管理时,及时关注可能因为第三方的新增权限,并在 APP 更新版本前及时进行内部反馈,并对隐私政策等个人信息处理规则进行同步更新,避免导致未向用户明示申请的全部权限而被判定违规。
#合规依据
《APP 违法违规收集使用个人信息认定方法》
第三类第 3 点指出,实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围。
《信息安全技术 个人信息安全规范》
5.4 收集个人信息,应向个人信息主体告知收集、使用个人信息的目的、方式和范围等规则,并取得个人信息主体的授权同意。
(二)处理敏感个人信息未取得个人的单独同意
#问题描述
敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
结合 APP 的业务场景,敏感个人信息多用于支付、金融等安全风控场景进行实名认证,或者在线医疗等特殊业务本身所需。根据相关法律要求,处理敏感个人信息应当取得个人的单独同意,即在通过隐私政策等个人信息处理规则进行批量化、综合性告知同意的基础之上,处理敏感个人信息之前还应通过单独弹窗、交互设计、制定单独的处理规则以征求用户的授权同意。
目前相关标准已给出部分关于敏感个人信息的一些举例,但在实际应用过程中可能并不全面。遇到这种情况时,建议结合相关定义,以该信息与个人的关联性、私密性等视角,以及一旦被公开泄露后,对于用户可能造成的危害,例如社会的负面评价、财产安全风险、种族歧视、人身安全风险等,进行综合评定是否属于敏感个人信息。
#合规建议
在相关业务场景收集敏感个人信息时,应当通过弹窗、单独页面、制定单独的敏感个人信息处理规则,向用户充分说明该处理行为的必要性,并告知处理目的、类型和方式,通过“提交”“同意”等交互式隐私设计,让用户单独同意,并留存相关日志记录。
未满十四周岁未成年人的个人信息,根据相关法律规定,未满十四周岁未成年人的个人信息均属于敏感个人信息。需要注意的是,目前大多数 APP 在个人资料页面都设置了“出生年月”“您的生日"等个人信息输入渠道,若用户输入的年龄信息为未成年人,则可能视为处理未成年人个人信息,需要通过单独制定的《未成年人个人信息处理规则》,并征得其父母或者其他监护人的单独同意。
#合规依据
《个人信息保护法》第二十九条
处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
《个人信息保护法》第三十条
个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。
(三)未向用户告知个人信息处理者的名称或者姓名和联系方式,或处理的个人信息种类、保存期限
#问题描述
在 APP 隐私合规治理中,“告知”要求是基础环节,在《个人信息保护法》等法规标准中均反复提到。在现阶段,大部分的 APP 通常通过制定个人信息处理规则(隐私政策),向用户综合告知个人信息处理活动的大致情况,并以此为标准条款征得用户对平台的个人信息处理活动的授权同意。
制定一份符合规范要求的《隐私政策》是底线要求,但很多企业在制定隐私政策的过程中往往会“丢三落四”,例如此次通报中所提到的 APP 运营者在其制定的个人信息处理规则(如隐私政策)未向用户告知个人信息处理者的主体身份、联系方式等必要内容。
对于大部分企业内部分工来说,个人信息处理规则是由法务编写或者直接由研发侧的产品,甚至研发人员直接编写,但这呈现出的问题是要么过于重视堆叠客观事实,而忽视用户权益,要么站在法律人士的思维视角,欲通过动辄几万字的长篇大论,向用户描述复杂重复的法律条款而追求免责,却缺乏对产品和技术本身的了解。
#合规建议
制定隐私政策的本质是提高信息处理行为的透明度,保障用户的知情同意权,这决定了解产品的客观情况是基础,再结合专业人员的法律素养进行逻辑整合和整体把关,或许是较优的分工选择。但是,作为标准要求,一份合规的隐私政策应当包括但不限于以下内容:
APP 运营者的基本情况
包括公司名称、联系方式,其中公司名称为公司登记注册的全称,非品牌名称。
个人信息存储
包括期限、地点,是否出境。
用户权利保障
查阅、更正、删除、注销、撤回同意等行权渠道。
投诉、举报渠道及响应期限,时间少于 15 个工作日。
政策更新
规则更新时,通知用户情况。
#合规依据
《个人信息保护法》第十七条
个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:
(一)个人信息处理者的名称、姓名和联系方式;
(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
(三)个人行使本法规定权利的方式和程序;
(四)法律、行政法规规定应当告知的其他事项。
随着 APP 专项治理行动的逐渐深入,检测技术的不断发展,以及大众对于个人信息保护意识的提升,对于 APP 隐私合规治理,肯定会从形式到个人信息处理活动等各个方面越来越具体化和场景化。
作为开发者,要及时关注学习相关标准趋势以及监管部门的治理行动,并结合相关案例进行研判,及时跟进 APP 的合规水位,以保证业务能够持续、稳定开展。