【专栏】工信部最新通报,App隐私政策又要迎整改?
肖飒 · 零壹财经 2022-08-30 15:57:22 阅读:8543
作者:肖飒法律团队 来源:零壹作者专栏
8月26日,工信部通报了2022年第5批(总第25批)侵害用户权益行为的App,尚有47款App(SDK)未按要求完成整改,要求上述App及SDK应在9月5日前完成整改落实工作。根据中国信息通信研究院统计,截至2021年12月10日,工信部组织检测共 244万款App,累计对 5406款 APP发出整改通知,公开通报 2049款 整改不到位的App,下架 646款 仍存在问题的 App。不过,App非法获取、超范围收集个人信息、过度索权等现象仍普遍存在,个人信息被泄露滥用、用户隐私被侵害等问题严重,App等应用如何在数据隐私合规方面做好合规,避免自己的名字也出现在工信部的“耻辱榜单”之中,是公司企业不得不考虑的问题。
从本次工信部通报的2022年第5批侵害用户权益行为的App的原因出发,结合此前App被通报的理由可以发现,APP可能因为十余种违规情形而被通报,包括但不限于违规调用通讯录、位置信息以及开弹窗骚扰客户等。根据工信部的2021年数据显示,App被通报的各种违规情形中,违规收集个人信息、App强制频繁过度索取权限、超范围收集个人信息占比、违规使用个人信息四种情形居于前列,其中违规收集个人信息占比47.68%;App强制、频繁、过度索取权限占比16.39%;超范围收集个人信息占比9.46%;违规使用个人信息占比8.68%。从中可见,监管部门对于App数据隐私合规监管越来越细化,且呈现出动态调整的样态,准确区分有违规收集个人信息、违规使用个人信息、超范围收集个人信息等不同的情形。
具体来说,从与超范围收集个人信息相区分的角度来看,根据《个人信息保护法》以及《App违法违规收集使用个人信息行为认定方法》等相关规定,违规收集个人信息特别需要注意的内容包括以下情形:
(一)未公开收集规则,未明示收集个人信息的目的、方式和范围
1、在App中没有隐私政策,或者隐私政策中没有收集个人信息规则;
2、在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集规则;
3、隐私政策等收集规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到;
4、隐私政策等收集规则难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等。
5、未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集个人信息的目的、方式、范围等;
6、收集个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新隐私政策等收集规则并提醒用户阅读等;
7、在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解;
8、有关收集规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等。
(二)未经用户同意收集个人信息
1、征得用户同意前就开始收集个人信息或打开可收集个人信息的权限;
2、用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干.扰用户正常使用;
3、实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围;
4、以默认选择同意隐私政策等非明示方式征求用户同意;
5、未经用户同意更改其设置的可收集个人信息权限状态,如App更新时自动将用户设置的权限恢复到默认状态;
6、利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项;
7、以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的;
8、未向用户提供撤回同意收集个人信息的途径、方式;
9、违反其所声明的收集规则,收集个人信息。
上述两个问题可谓是老生常谈的问题,诸读者也都耳熟能详,不过在真正的履行层面仍可能大打折扣。《App 违法违规收集使用个人信息自评估指南》在开始便提出隐私政策须具有独立性,在App界面上通过任意的4次点击就能找到隐私政策,也就是要求隐私政策须独立成文,没有隐私政策仅有隐私保密声明或者隐私政策存在于用户协议中,都是不合规的表现。
《个人信息保护法》规定,除有法律、行政法规规定应到保密或则不需要告知的情形、紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的情形外,有告知获得个人的同意后才能收集用户的个人信息。充分知情、同意、明确同意的一般要求,特殊情况下还需要取得个人的单独同意或书面同意。App运营者“一篮子”地将相关条款全部放入隐私政策中获得用户授权的行为,是被《个人信息保护法》明文禁止的。明示同意需要由用户主动作出肯定性动作,包括主动作出电子或纸质形式的声明、主动勾选、主动点击【同意】【注册】【发送】【拨打】。
二、APP强制、频繁、过度索取权限
App强制、频繁、过度索取权限,又叫“App技术霸凌”,具体表现在,App安装和运行时,向用户索取与当前服务场景无关的权限;在用户明确拒绝权限申请后,频繁弹窗、反复申请与当前服务场景无关权限的行为;未及时明确告知用户索取权限的目的和用途,提前申请超出其业务功能等权限的行为。
1、强制索取权限
App首次启动时,向用户索取相机权限,用户选择拒绝授权,应不影响用户进入App并使用App,但实际表现却为App直接退出或者无法进入。
2、频繁索取权限
用户明确拒绝了麦克风权限申请,之后在App运行期间,即使用户并未使用到必须使用麦克风权限的业务场景,但App仍频繁弹出弹窗向用户索取麦克风权限。
3、过度索取权限
App未提供与提醒事项权限相关的业务或服务,例如签到、打卡等,但仍向用户申请了提醒事项的权限。
所以为了防止出现这样的问题,公司企业应当在《隐私政策》中向用户明确App需要调取的权限及目的,并保证权限调取均与服务功能相关,用户拒绝不相关功能时,也可以继续正常使用其他功能。在用户拒绝授权后,避免频繁反复申请权限,对于短信、麦克风、摄像头等高敏感权限,应当谨慎索取。
三、超范围收集个人信息
超范围收集个人信息是指App实际收集的个人信息类型与现有业务功能无关,并非实现现有业务所必需。2021年5月1日起施行的《常见类型移动互联网应用程序必要个人信息范围规定》规定明确了39种常见类型App的必要个人信息范围,根据《网络安全法》规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
所以,结合《App违法违规收集使用个人信息行为认定方法》可知,以下行为可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”:
1、收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;
2、因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;
3、App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;
4、收集个人信息的频度等超出业务功能实际需要;
5、仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;
6、要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。
是故,为了避免出现“超范围收集个人信息”的问题,公司企业应当确保所采集的用户信息与App的服务功能相关,所涉个人信息字段均已在《隐私政策》中公示得到用户授权。
四、其他
(一)强制用户使用定向推送功能:具体表现为:未提供关闭定向推送选项或者虽然提供了关闭选项,但存在有效期,到期后自动回复定向推送,或者关闭选项极其隐蔽,用户难以发现,或者关闭定向推送后并不生效等问题。
(二)欺骗误导用户下载App:调用与所提供服务无关的终端功能、违法发送商业性电子信息;未经明示且经用户同意,捆绑推广其他应用软件等。
(三)欺骗误导用户提供个人信息:以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,故意欺瞒、掩饰收集使用个人信息的真实目的,例如以签到、福利等为理由诱导用户提供姓名、手机号、住址等。
(四)App频繁自启动和关联启动:App未向用户告知且未经用户同意,或无合理的使用场景,频繁自启动或关联启动第三方App等。
写在最后
选择信任一项产品或者是服务,取决于我们是否可以相信技术,还是在于我们信任开发此类技术的公司和监管机构?随着自我保护意识的觉醒,公众对于个人信息的保护越来越重视,监管相应的也更加规范与严格,这对公司企业的合规提出了更高的要求,稍有不慎不仅会导致用户的流失,也可能引发相应的民事、刑事风险。飒姐团队基于专业的法律知识与长期的办案经验已形成标准版《平台用户协议》、《平台隐私政策》,有需要的读者欢迎与飒姐团队联系。
相关文章
用户评论
所有评论
他的文章 ( 866 )
资讯排行
- 48h
- 7天
专题推荐
more
第四届中国零售金融发展峰会(共15篇)
《陆家嘴》交流会第6期(共14篇)
2022第一届中国数字科技投融资峰会(共43篇)
2019年数字信用与风控年会(共15篇)
-
首页
-
评论
-
回顶部
游客
自律公约