法盛金融投资
一个致力于分享金融投资、私募基金、不良资产、股权激励、税务筹划及公司纠纷、疑难案例干货的专业公众号,巨量干货及案例供检索。
2019年以来,国家工信部、网信办、公安部和国家市场监管总局等四部门联合开展为期一年的App隐私违规专项整治活动,这一年中多次通报不合规App并要求整改,部分违规平台甚至遭下架。与此同时,各地网信部门、公安部门也在进行各类专项检查整治工作。伴随着强监管的势态,有关网络个人信息保护的法规政策等如井喷式呈现,在2019年底的立法浪潮中(法律人头秃系列),四部门制定并发布了《App违法违规收集使用个人信息行为认定方法》(以下也称“该认定方法”)。该认定方法是四部门根据一年来的整治情况总结输出的规范性文件,是对网安法、电信和互联网用户个人信息保护规定、GB/T35273-2017个人信息安全规范中有关个人信息收集使用规定的落地,为App运营者提供了官方全面的privacy compliance checklist。
在面对多部门强力监管及政策喷涌的势态下,App平台运营者应当逐渐重视数据保护与隐私合规工作。作为一名互联网企业隐私合规法务,梳理并结合网安法、GB/T35273-2017、儿童个人信息保护规定、《App违法违规收集使用个人信息行为认定方法》等个人信息保护法律体系及监管部门实操监管口径,阐述App数据保护与隐私合规的几项要点。
一
法律体系与监管机构
目前我国尚无专门的个人信息保护法。2019年12月,全国人大常委会法工委发言人岳仲明曾表示,明年将制定个人信息保护法、数据安全法等,这无疑是个悲喜交加的消息,我们拭目以待(搓手手期待中)。目前,企业与监管部门主要参考“一法一决定”、规范性文件及相关行业标准。虽前述法律文件的效力级别不高,但确是监管部门监督执法的重要依据,企业可以参照进行合规。具体涉及数据保护与隐私合规方面的法律文件梳理如下:
名称
发布主体
效力级别
生效/实施时间
备注
《关于加强网络信息保护的决定》
全国人大常委会
有关法律问题的决定
2012.12.28
最早涉及网络个人信息保护的规定
《网络安全法》
全国人大常委会
法律
2017.6.1
核心法律
《消费者权益保护法》
全国人大常委会
法律
2014.10.25
第14、29条
《电子商务法》
全国人大常委会
法律
2019.1.1
第5、23、30、31、32、79条
《个人信息安全规范》
全国信安标委
国家标准
2018.5.1
2017版为现行有效版,2019征求意见稿版可参考查阅
《儿童个人信息网络保护规定》
国家网信办
部门规章
2019.10.1
首部儿童网络个人信息保护规定
《电信和互联网用户个人信息保护规定》
工信部
部门规章
2013.9.1
明确用户注销权及投诉反馈权
《互联网个人信息安全保护指南》
公安部&北京市网络行业协会
部门规范性文件
2019.4.10
第6部分“业务流程”中就个人信息处理全周期进行规定
《App违法违规收集使用个人信息行为认定方法》
国家工信部、网信办、公安部和国家市场监管总局
规范性文件
2019.11.28
描述App 6大类隐私违规行为,31项认定方法
《App违法违规收集使用个人信息自评估指南》
App治理小组(由全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会组成)
其他文件
2019.3.3
企业可参照进行自查自纠
《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》
全国信安标委
国家标准
2019.6
列出App基本业务功能及对应必要信息
《民法总则》
全国人大
法律
2017.10.1
第111条
《民法典人格权编(草案)》
全国人大常委会
法律
/
第六章隐私权与个人信息保护
《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》
最高法
司法解释
2014.10.10
第12条
《刑法》
全国人大
法律
2017.11.04
第253、286条
《最高人民法院最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》
最高法、最高检
法律&司法解释
2019.11.1
细化“非法利用信息网络、帮助信息网络犯罪活动”的认定标准
《银行业金融机构数据治理指引》
银保监会
部门规范性文件
2018.5.21
银行业数据合规指引
《网络预约出租汽车经营服务管理暂行办法》
交通运输部、工信部、公安部、商务部、市监总局、质检总局、国家网信办
部门规章
2016.11.1
第26、27条
《数据安全管理办法(征求意见稿)》
国家网信办
部门规章
/
/
《个人信息出境安全评估办法(征求意见稿)》
国家网信办
部门规章
/
/
《移动互联网应用(APP)收集个人信息基本规范》(草案)
全国信安标委
国家标准
/
/
more…
上表尚未穷尽数据保护与隐私合规的相关法律规定或标准,仅列举重点法律规定,这些规定确立了我国网络个人信息保护的基本模式——“告知同意”模式,即网络服务提供者应当告知用户其收集、使用用户个人信息的方式、目的和范围,并取得用户同意/授权后再行收集,同时在其网站/平台中公示其个人信息收集使用相关规则。但大多法律法规规定都较为宏观,而日常企业在合规过程中也是摸着石头过河(大多企业甚至在危险的边缘疯狂试探),监管部门的监管尺度成了我们日常合规最主要的参考。面对多个监管部门接二连三的专项整治行动,笔者整理了几个我国网络个人信息保护方面的监管机构及相应职责,具体可参考下表:
监管部门/组织
主要职责
网址
国家网信办
负责统筹协调网络安全工作及相关网络内容监管执法的部门
http://www.cac.gov.cn/
市监总局
负责与消费者个人信息保护相关的事宜
http://www.samr.gov.cn/
工信部
负责电信和互联网行业通信网络安全及相关信息安全管理事宜
http://www.miit.gov.cn/
公安部
负责打击、查处侵犯公民个人信息的犯罪行为等相关事宜
http://www.gov.cn/fuwu/bm/gab/index.htm
全国信息安全标准化技术委员会(TC260)
负责制定及归口信息安全领域的全国标准化文件
https://www.tc260.org.cn/
App治理小组
负责对App违法违规收集用户信息行为进行专项整治的小组
http://pip.tc260.org.cn/jbxt/privacy/index
more…
通过上述两个表格的梳理,我们发现企业在数据合规领域面临着多重的法律风险,既需要符合各监管部门的要求,又可能承担民事责任、行政责任或刑事责任,轻则“停止行为”、“通报警告”、“限期整改”,重则“产品下架”,更有甚者则需承担刑事责任,除此之外还存在影响企业上市等风险(某天气类App在IPO过程中因数据合规受阻)。因此企业需逐渐重视数据保护与隐私合规工作。建议企业DPO梳理数据合规法规政策及所属行业特殊规定,时常浏览上述监管部门的网站及相关公众号,掌握最新政策动向及监管动态,以便于及时指导自身企业隐私合规。
二
隐私合规要点
(一)隐私政策(privacy policy,pp)
隐私政策对于大多数用户而言并不陌生,但大多用户并不会主动查看隐私政策,更不会仔细研读,原因可能有多种:信息时代的快速性、隐私政策篇幅较长且冗杂难懂、即使查看亦无法调整其中条款等。随着19年某换脸App爆火以及各类用户信息泄露事件的爆出,用户逐渐开始关注App的隐私政策。根据我国法律规定,网络平台应当告知用户且公开公示其收集、使用用户个人信息的方式、目的和范围等规则,这为隐私政策提供了法律基础。就隐私政策的法律性质,本文不做过多讨论,暂且将其认定为“平台与用户之间就用户个人信息的全周期处理事宜达成的约定”,隐私政策的内容及如何合规地融入产品设计中,是下文的重点。
1 隐私政策内容
一款App应当设置独立成文的隐私政策,而不能作为用户协议中的一部分存在,但目前就每个App是否应设置专属隐私政策仍存争议,我们可以看到一些集团企业的多个产品适用的均为同一份通用隐私政策,当然目前也有一些头部平台针对每个App单独制定了专门的隐私政策,例如腾讯。形式暂且不论,就内容而言,App的隐私政策应当包括以下几个方面:
App运营者的基本情况;(公司名称、注册地址、常用办公地址、DPO联系方式)
App收集使用用户个人信息的规则(逐一列出App收集信息的业务场景及对应的用户个人信息类型、收集使用目的;App嵌入的第三方SDK及相关插件所收集的用户个人信息类型、收集使用目的;收集的技术手段cookie、beacon等);
App共享、转让、公开披露用户个人信息的规则;(对外共享/转让/公开披露的目的、涉及个人信息类型、接收方类型与身份)
用户个人信息的存储地点(国内、国外)、期限以及超期处理方式;(存储期限:法律规定最短期限或企业明确的期限,如《电子商务法》3年,《网络安全法》6个月、《网络预约出租汽车经营服务管理暂行办法》2年)
App运营主体的信息安全保护能力与措施;
用户的相关个人信息权利;(包括访问权、更正权、删除权、撤回同意权、注销权、帮助反馈权等)
未成年人保护;(如果涉及收集儿童个人信息,还应单独制定《儿童个人信息保护规则》)
隐私政策发布日期、生效日期及更新机制;
用户投诉反馈渠道;(至少提供1种,邮件/电话/传真/在线客服等)
专业词汇解释。(确保用户对专业术语的理解)
除上述罗列的基本要点之外,隐私政策的内容还应当保证合理性和易读性,避免设置不公平不合理的免责条款等或使用大量晦涩难懂的技术词汇堆砌,尽量使用敬称的方式利用通俗易懂的语言来表述,同时对专业词汇进行解释。
总的来说,一款产品具体的隐私政策需要法务、产品与技术多部门沟通撰写,具体可参考GB/T35273-2017个人信息安全规范中有关隐私政策的模板。隐私政策既是体现App运营主体收集信息的公开透明化,又是App运营主体面对监管最重要的自我保护工具,因此应当作为App隐私合规的top1来予以重视。
2
产品设计
隐私政策的独立性
(1)App展示有独立于用户协议之外的成文隐私政策(一般用H5页面,方便政策后期更新开发);
(2)隐私政策链接(包括展示在应用商店中的隐私政策链接)有效可点击。
隐私政策的公示性
(1)App首次启动、注册、登录时通过模态弹窗、网站公告、常驻提醒等方式提示用户阅读并获得同意,即两步并一步,notification and seek user consent;
对于“用户同意”,法规的表述都是“同意”二字,同意包括明示同意(用户以其积极、肯定的意思表示认可互联网企业处理其个人信息,例如主动勾选、主动注册、主动点击“同意”按钮等)和默示同意(用户以其自愿使用服务的行为认可互联网企业处理其个人信息)。依据该认定办法,平台不能以默认同意隐私政策的方式获得用户同意,确立了“明示同意”规则。因此App在弹窗获取用户同意时不能默认勾选,应当为用户提供主动选择“同意”、“不同意”选项或主动勾选功能,并告知用户不同意的后果(可用toast弹窗说明后果)。
另外,我们注意到“儿童个人信息需要获取监护人的同意”,此“同意”从《儿童个人信息网络保护规定》征求意见稿的“明示同意”调整为正式实施稿中的“同意”,与网安法保持了一致,降低了网络运营者的操作难度和合规成本,但对于儿童个人信息,建议App运营者仍旧重点关注。
因此总结而言,建议企业就以下两项内容获取用户明示同意:隐私政策、个人敏感信息(定义参见GB/T35273-2017)。
(2)App内应通过文本连接、弹窗、FAQs等形式公示其隐私政策内容。
隐私政策的易读性
(1)产品内展示隐私政策的路径要易于用户查看(即用户不超过4次点击即可查看),一般放在App一级页面下;
(2)隐私政策页面字体行距等页面布局设计合理,提供简体中文版,便于用户阅读;
(3)隐私政策页面中“个人敏感信息”或“出境个人信息”(如有)通过加粗、斜体、下划线等方式进行显著标识。
隐私政策的时效性
隐私政策中如涉及“收集使用个人信息的目的、方式、范围”变动/更新的,平台应当通过弹窗、消息推送、红点提示、邮件等方式告知用户提醒用户阅读,至于是否需要再次获得用户授权同意,目前尚无统一定论,目前有些产品通过弹窗方式再次获得用户授权同意,有些则通过通知的方式进行告知。
(二)信息收集/权限获取
一款App会涉及收集用户IMEI短信电话存储空间、相机相册麦克风、日历位置通讯录通话记录等等各类信息/权限(有种春运高铁上瓜子饮料矿泉水的感觉,走错片场走错片场,打扰了)。根据必要性原则,对于App运营者来说,不能任意获取用户权限,《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》及《移动互联网应用(APP)收集个人信息基本规范》(草案)均梳理出几类基本业务功能正常运行最小必要的个人信息,运营者可参考进行合规。以下几点为笔者梳理出的几项要点,可做参考:
梳理产品业务功能所必需的信息/权限,在隐私政策中明确写出信息/权限获取的目的、适用功能场景,告知用户并获得用户同意,且App在实际运行过程中收集信息范围不超过隐私政策描述的范围,收集用户个人敏感信息时,应通过弹窗、文字备注等明显方式告知用户明确且易理解的目的、使用规则以及保护措施;
App申请获取用户权限时,应当通过系统弹窗或者App自有弹窗说明获取信息/权限的具体明确的目的,并获得用户同意,同时提供用户拒绝选项;不能未获得用户同意或用户拒绝后仍收集用户信息/权限,或收集超出用户授权范围的信息/权限;
App安装时不能默认打开所有权限,或者用户无法感知或无法动态取消权限授权,如Android版App中分为normal permission&dangerous permission,不同类型的权限获取对于用户感知度和可动态撤销性不同,建议与技术同学梳理产品实际权限获取情况,秉承必要性原则,依据法律法规及监管部门要求梳理出不合规的权限,并进行后台代码调整或产品页面增加弹窗,另建议Android版App设置targetSDKversion值不小于23。
App安装和运行时,不向用户收集与当前服务场景无关的信息/权限,应在具体业务场景触发/使用前获取用户权限,如某App提供视频信息发布服务,在用户点击使用拍摄或上传功能时再行申请获取用户的“相机/相册”权限,而非App首次启动时即申请获取;如确因业务功能不得不收集的,充分说明其必要性并取得用户同意;
App不能向用户申请与App业务功能无关的信息/权限,即使用户可以拒绝亦不可收集;
App不能一揽子获取用户权限,应当区分App基本功能和附加功能,对于仅为实现附加功能、个性化服务、提升服务体验,同时又非App主要功能所必需的信息,可单独征得用户同意,并保障用户拒绝的权利,用户拒绝此类信息后不影响正常使用App;
App应在平台内为用户提供自主设置权限管理的按钮和说明,建议将权限管理汇总至一个目录内,提供push开关及权限获取说明,保证用户对个人信息的自主控制权和撤回同意权;
App在用户明确拒绝权限申请后,不能频繁申请(48小时内再次)开启通讯录、定位、短信、录音、相机等与当前服务场景无关的权限,骚扰用户,建议用户拒绝后通过toast提示告知用户权限的设置路径,便于用户有需要时自行主动开启权限;
App获取用户信息的频率不能超过业务功能实际所需要,如:之前被通报的某金融借贷类App每分钟获取用户地理位置信息上千次;
App更新升级后,不能将用户的权限设置恢复为默认状态;
App新增业务功能申请收集的个人信息超出用户原有同意范围,用户可拒绝提供新业务功能所需信息/权限,App仍应保证用户可正常使用原有业务功能;(新业务功能取代原有业务功能除外)
App向第三方提供用户信息的,应取得用户同意或做匿名化处理。如App通过第三方代码、插件或接入第三方应用的方式向第三方提供个人信息的,应通过弹窗提示等方式明确告知用户并获得用户同意。
(三)用户权利实现
用户访问权
用户有权查看在App内的个人信息,App应当提供用户访问个人信息的便捷在线功能或途径,如设置“个人中心”、“我的”页面提供用户在线查看个人信息。除此之外,部分App提供了获取“个人信息副本”的功能,目前国内对“个人信息副本”获取尚无明确规定,企业实际操作过程中也存在一定的困难。如企业涉及海外业务且适用GDPR、CCPA等海外数据保护法案的,可按照需要提供相应功能。
更正/删除权
《网络安全法》中明确了用户个人信息删除权与更正权,App平台应当提供更正、删除用户信息的有效途径/在线功能,不应设置不合理或不必要的条件,且平台应当及时响应用户的更正/删除请求;根据《App违法违规收集使用个人信息认定方法》,平台应当在承诺期限内(不得超过15个工作日)或15个工作日内完成核查和处理,且用户行使更正/删除权后,App后台应相应完成该类操作,但笔者认为法律另有规定的除外,如网络日志的保存。
撤回同意权
GB/T35273-2017最先明确了个人信息主体的撤回同意权,要求平台向个人信息主体提供方法撤回收集、使用其个人信息的同意授权。对于App平台而言,可在产品中向用户提供“权限设置”等按钮(上一部分有讲到)、个性化服务关闭及账号冻结/注销等功能撤回之前的同意。撤回同意不影响撤回前基于同意的个人信息处理。
注销权
《电信和互联网用户个人信息保护规定》明确了用户的注销权,App应当为用户提供便捷的在线注销功能,不设置不合理的障碍或条件,且对于用户的此类权利实现要及时处理,根据认定方法,平台处理时限为承诺时限(不超过15个工作日)或15个工作日。用户行使注销权时,如需核验身份,平台不得要求用户提供多于注册、使用等服务环节收集的信息,不应仅提示存在积分、优惠券、参与活动、授权登陆解绑等拒绝用户行使注销权,也不能存在平台反馈用户账号已注销时,但实际App后台未完成注销的情况。注销完成后应对用户的个人信息进行删除或匿名化处理。
帮助反馈权
App平台应当向用户提供投诉、意见反馈的渠道,包括在线客服、客服电话、反馈邮箱、问题反馈等形式,并在承诺时限内处理完毕。对于企业处理反馈的期限,《电信和互联网用户个人信息保护规定》、《App违法违规收集使用个人信息自评估指南》规定要求平台在15日内答复,GB/T35273-2017要求30日内处理,该认定办法则要求在承诺期限(不超过15个工作日)或15个工作日内答复,结合目前监管尺度,建议企业将反馈处理期限承诺在15日内较为稳妥。
(四)定推/个性化服务
网络时代,手机比爱人更懂你。最早某宝上线的“猜你喜欢”功能深得大家认可,很多用户抱着:我就愿意让你猜猜我到底喜欢什么的心态使用这个功能,大多数消费者还是乐于其中的。类似定推/个性化功能在短视频类网站、新闻视频类网站得到了充分应用。此类技术是通过对用户行为数据、设备信息、偏好设置等进行综合分析,并通过算法建模、自动化决策机制进行内容的推荐。长期以往,当智能过于懂你时,你反而会感到恐慌。
我们都知道,技术本身是中立的,但企业如何使用该类技术则是需要归束的,监管部门的尺度是”技术可以使用但需向用户提供拒绝接受该类服务的功能”,使用个性化展示新闻、信息类服务的,应为用户提供简单直观的退出或关闭个性化展示模式的选项或者不基于用户个人信息的新闻推荐选项。同时,企业在其隐私政策中应说明将个人信息用于用户画像/个性化展示的应用场景及可能对用户产生的影响。目前小红书、B站等多个App现均提供了用户自主设置“个性化服务”的开关按钮,提供个性化服务的App平台可参照进行产品设计。
(五)未成年人信息保护
大多数App在【未成年人信息保护】隐私合规领域,都遵循“获得监护人同意”的原则,不论是隐私政策中的表述,还是产品自身设计中。2019年10月《儿童个人信息网络保护规定》正式实施,将儿童个人信息保护拽回大众视野,其中规定要求设置儿童个人信息保护负责人、制定专门的儿童个人信息保护规则等。我们可以看到部分综合类App通过制定专门的儿童信息保护规则进行合规,部分儿童App也更新隐私政策,将原来的概括化主体详细定义为“监护人及/或儿童”。实事求是而言,对于企业而言,区分、处理、储存儿童用户、其他未成年用户及成年用户信息的技术要求和成本巨大,相应儿童隐私合规也是企业的难点,建议企业遵循告知并获得监护人同意的模式,在儿童信息收集、使用、共享、转让等全流程处理中遵循《儿童个人信息网络保护规定》,从隐私政策、家长验证等产品设计上实现企业隐私合规,保护儿童个人信息。
以上为笔者总结的App数据保护与隐私合规要点,由于篇幅问题,其他合规细节不做过多描述,App数据合规法务可根据行业内特殊法律法规,时刻关注监管态势和新规颁布,并在把握“告知同意”模式下,遵循合法、正当、必要的原则,注重用户权利保障与实现,汇总输出自身产品privacy compliance checklist,在产品开发前期介入合规工作,并在App运营过程中注意及时按照法规动向调整产品。本文仅供参考,除了App形式,其他在线形式、小程序等产品也可参照本文进行合规工作。本文在编写过程略有仓促,如有错误,欢迎指正。
Data is new oil。数据是未来企业挖掘商业价值的新领地。作为企业数据合规法务,笔者认为,数据保护不仅是合规要求,更是企业的社会责任,只有保护用户隐私才能为用户带来更好的产品体验,进而维护或增强用户粘性。
2019年以来,国家工信部、网信办、公安部和国家市场监管总局等四部门联合开展为期一年的App隐私违规专项整治活动,这一年中多次通报不合规App并要求整改,部分违规平台甚至遭下架。与此同时,各地网信部门、公安部门也在进行各类专项检查整治工作。伴随着强监管的势态,有关网络个人信息保护的法规政策等如井喷式呈现,在2019年底的立法浪潮中(法律人头秃系列),四部门制定并发布了《App违法违规收集使用个人信息行为认定方法》(以下也称“该认定方法”)。该认定方法是四部门根据一年来的整治情况总结输出的规范性文件,是对网安法、电信和互联网用户个人信息保护规定、GB/T35273-2017个人信息安全规范中有关个人信息收集使用规定的落地,为App运营者提供了官方全面的privacy compliance checklist。
在面对多部门强力监管及政策喷涌的势态下,App平台运营者应当逐渐重视数据保护与隐私合规工作。作为一名互联网企业隐私合规法务,梳理并结合网安法、GB/T35273-2017、儿童个人信息保护规定、《App违法违规收集使用个人信息行为认定方法》等个人信息保护法律体系及监管部门实操监管口径,阐述App数据保护与隐私合规的几项要点。
一
法律体系与监管机构
目前我国尚无专门的个人信息保护法。2019年12月,全国人大常委会法工委发言人岳仲明曾表示,明年将制定个人信息保护法、数据安全法等,这无疑是个悲喜交加的消息,我们拭目以待(搓手手期待中)。目前,企业与监管部门主要参考“一法一决定”、规范性文件及相关行业标准。虽前述法律文件的效力级别不高,但确是监管部门监督执法的重要依据,企业可以参照进行合规。具体涉及数据保护与隐私合规方面的法律文件梳理如下:
名称 |
发布主体 |
效力级别 |
生效/实施时间 |
备注 |
《关于加强网络信息保护的决定》 |
全国人大常委会 |
有关法律问题的决定 |
2012.12.28 |
最早涉及网络个人信息保护的规定 |
《网络安全法》 |
全国人大常委会 |
法律 |
2017.6.1 |
核心法律 |
《消费者权益保护法》 |
全国人大常委会 |
法律 |
2014.10.25 |
第14、29条 |
《电子商务法》 |
全国人大常委会 |
法律 |
2019.1.1 |
第5、23、30、31、32、79条 |
《个人信息安全规范》 |
全国信安标委 |
国家标准 |
2018.5.1 |
2017版为现行有效版,2019征求意见稿版可参考查阅 |
《儿童个人信息网络保护规定》 |
国家网信办 |
部门规章 |
2019.10.1 |
首部儿童网络个人信息保护规定 |
《电信和互联网用户个人信息保护规定》 |
工信部 |
部门规章 |
2013.9.1 |
明确用户注销权及投诉反馈权 |
《互联网个人信息安全保护指南》 |
公安部&北京市网络行业协会 |
部门规范性文件 |
2019.4.10 |
第6部分“业务流程”中就个人信息处理全周期进行规定 |
《App违法违规收集使用个人信息行为认定方法》 |
国家工信部、网信办、公安部和国家市场监管总局 |
规范性文件 |
2019.11.28 |
描述App 6大类隐私违规行为,31项认定方法 |
《App违法违规收集使用个人信息自评估指南》 |
App治理小组(由全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会组成) |
其他文件 |
2019.3.3 |
企业可参照进行自查自纠 |
《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》 |
全国信安标委 |
国家标准 |
2019.6 |
列出App基本业务功能及对应必要信息 |
《民法总则》 |
全国人大 |
法律 |
2017.10.1 |
第111条 |
《民法典人格权编(草案)》 |
全国人大常委会 |
法律 |
/ |
第六章隐私权与个人信息保护 |
《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》 |
最高法 |
司法解释 |
2014.10.10 |
第12条 |
《刑法》 |
全国人大 |
法律 |
2017.11.04 |
第253、286条 |
《最高人民法院最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》 |
最高法、最高检 |
法律&司法解释 |
2019.11.1 |
细化“非法利用信息网络、帮助信息网络犯罪活动”的认定标准 |
《银行业金融机构数据治理指引》 |
银保监会 |
部门规范性文件 |
2018.5.21 |
银行业数据合规指引 |
《网络预约出租汽车经营服务管理暂行办法》 |
交通运输部、工信部、公安部、商务部、市监总局、质检总局、国家网信办 |
部门规章 |
2016.11.1 |
第26、27条 |
《数据安全管理办法(征求意见稿)》 |
国家网信办 |
部门规章 |
/ |
/ |
《个人信息出境安全评估办法(征求意见稿)》 |
国家网信办 |
部门规章 |
/ |
/ |
《移动互联网应用(APP)收集个人信息基本规范》(草案) |
全国信安标委 |
国家标准 |
/ |
/ |
more… |
||||
上表尚未穷尽数据保护与隐私合规的相关法律规定或标准,仅列举重点法律规定,这些规定确立了我国网络个人信息保护的基本模式——“告知同意”模式,即网络服务提供者应当告知用户其收集、使用用户个人信息的方式、目的和范围,并取得用户同意/授权后再行收集,同时在其网站/平台中公示其个人信息收集使用相关规则。但大多法律法规规定都较为宏观,而日常企业在合规过程中也是摸着石头过河(大多企业甚至在危险的边缘疯狂试探),监管部门的监管尺度成了我们日常合规最主要的参考。面对多个监管部门接二连三的专项整治行动,笔者整理了几个我国网络个人信息保护方面的监管机构及相应职责,具体可参考下表:
监管部门/组织 |
主要职责 |
网址 |
国家网信办 |
负责统筹协调网络安全工作及相关网络内容监管执法的部门 |
http://www.cac.gov.cn/ |
市监总局 |
负责与消费者个人信息保护相关的事宜 |
http://www.samr.gov.cn/ |
工信部 |
负责电信和互联网行业通信网络安全及相关信息安全管理事宜 |
http://www.miit.gov.cn/ |
公安部 |
负责打击、查处侵犯公民个人信息的犯罪行为等相关事宜 |
http://www.gov.cn/fuwu/bm/gab/index.htm |
全国信息安全标准化技术委员会(TC260) |
负责制定及归口信息安全领域的全国标准化文件 |
https://www.tc260.org.cn/ |
App治理小组 |
负责对App违法违规收集用户信息行为进行专项整治的小组 |
http://pip.tc260.org.cn/jbxt/privacy/index |
more… |
||
通过上述两个表格的梳理,我们发现企业在数据合规领域面临着多重的法律风险,既需要符合各监管部门的要求,又可能承担民事责任、行政责任或刑事责任,轻则“停止行为”、“通报警告”、“限期整改”,重则“产品下架”,更有甚者则需承担刑事责任,除此之外还存在影响企业上市等风险(某天气类App在IPO过程中因数据合规受阻)。因此企业需逐渐重视数据保护与隐私合规工作。建议企业DPO梳理数据合规法规政策及所属行业特殊规定,时常浏览上述监管部门的网站及相关公众号,掌握最新政策动向及监管动态,以便于及时指导自身企业隐私合规。
二
隐私合规要点
(一)隐私政策(privacy policy,pp)
隐私政策对于大多数用户而言并不陌生,但大多用户并不会主动查看隐私政策,更不会仔细研读,原因可能有多种:信息时代的快速性、隐私政策篇幅较长且冗杂难懂、即使查看亦无法调整其中条款等。随着19年某换脸App爆火以及各类用户信息泄露事件的爆出,用户逐渐开始关注App的隐私政策。根据我国法律规定,网络平台应当告知用户且公开公示其收集、使用用户个人信息的方式、目的和范围等规则,这为隐私政策提供了法律基础。就隐私政策的法律性质,本文不做过多讨论,暂且将其认定为“平台与用户之间就用户个人信息的全周期处理事宜达成的约定”,隐私政策的内容及如何合规地融入产品设计中,是下文的重点。
隐私政策内容
一款App应当设置独立成文的隐私政策,而不能作为用户协议中的一部分存在,但目前就每个App是否应设置专属隐私政策仍存争议,我们可以看到一些集团企业的多个产品适用的均为同一份通用隐私政策,当然目前也有一些头部平台针对每个App单独制定了专门的隐私政策,例如腾讯。形式暂且不论,就内容而言,App的隐私政策应当包括以下几个方面:
App运营者的基本情况;(公司名称、注册地址、常用办公地址、DPO联系方式)
App收集使用用户个人信息的规则(逐一列出App收集信息的业务场景及对应的用户个人信息类型、收集使用目的;App嵌入的第三方SDK及相关插件所收集的用户个人信息类型、收集使用目的;收集的技术手段cookie、beacon等);
App共享、转让、公开披露用户个人信息的规则;(对外共享/转让/公开披露的目的、涉及个人信息类型、接收方类型与身份)
用户个人信息的存储地点(国内、国外)、期限以及超期处理方式;(存储期限:法律规定最短期限或企业明确的期限,如《电子商务法》3年,《网络安全法》6个月、《网络预约出租汽车经营服务管理暂行办法》2年)
App运营主体的信息安全保护能力与措施;
用户的相关个人信息权利;(包括访问权、更正权、删除权、撤回同意权、注销权、帮助反馈权等)
未成年人保护;(如果涉及收集儿童个人信息,还应单独制定《儿童个人信息保护规则》)
隐私政策发布日期、生效日期及更新机制;
用户投诉反馈渠道;(至少提供1种,邮件/电话/传真/在线客服等)
专业词汇解释。(确保用户对专业术语的理解)
除上述罗列的基本要点之外,隐私政策的内容还应当保证合理性和易读性,避免设置不公平不合理的免责条款等或使用大量晦涩难懂的技术词汇堆砌,尽量使用敬称的方式利用通俗易懂的语言来表述,同时对专业词汇进行解释。
总的来说,一款产品具体的隐私政策需要法务、产品与技术多部门沟通撰写,具体可参考GB/T35273-2017个人信息安全规范中有关隐私政策的模板。隐私政策既是体现App运营主体收集信息的公开透明化,又是App运营主体面对监管最重要的自我保护工具,因此应当作为App隐私合规的top1来予以重视。
2
产品设计
隐私政策的独立性
(1)App展示有独立于用户协议之外的成文隐私政策(一般用H5页面,方便政策后期更新开发);
(2)隐私政策链接(包括展示在应用商店中的隐私政策链接)有效可点击。
隐私政策的公示性
(1)App首次启动、注册、登录时通过模态弹窗、网站公告、常驻提醒等方式提示用户阅读并获得同意,即两步并一步,notification and seek user consent;
对于“用户同意”,法规的表述都是“同意”二字,同意包括明示同意(用户以其积极、肯定的意思表示认可互联网企业处理其个人信息,例如主动勾选、主动注册、主动点击“同意”按钮等)和默示同意(用户以其自愿使用服务的行为认可互联网企业处理其个人信息)。依据该认定办法,平台不能以默认同意隐私政策的方式获得用户同意,确立了“明示同意”规则。因此App在弹窗获取用户同意时不能默认勾选,应当为用户提供主动选择“同意”、“不同意”选项或主动勾选功能,并告知用户不同意的后果(可用toast弹窗说明后果)。
另外,我们注意到“儿童个人信息需要获取监护人的同意”,此“同意”从《儿童个人信息网络保护规定》征求意见稿的“明示同意”调整为正式实施稿中的“同意”,与网安法保持了一致,降低了网络运营者的操作难度和合规成本,但对于儿童个人信息,建议App运营者仍旧重点关注。
因此总结而言,建议企业就以下两项内容获取用户明示同意:隐私政策、个人敏感信息(定义参见GB/T35273-2017)。
(2)App内应通过文本连接、弹窗、FAQs等形式公示其隐私政策内容。
隐私政策的易读性
(1)产品内展示隐私政策的路径要易于用户查看(即用户不超过4次点击即可查看),一般放在App一级页面下;
(2)隐私政策页面字体行距等页面布局设计合理,提供简体中文版,便于用户阅读;
(3)隐私政策页面中“个人敏感信息”或“出境个人信息”(如有)通过加粗、斜体、下划线等方式进行显著标识。
隐私政策的时效性
隐私政策中如涉及“收集使用个人信息的目的、方式、范围”变动/更新的,平台应当通过弹窗、消息推送、红点提示、邮件等方式告知用户提醒用户阅读,至于是否需要再次获得用户授权同意,目前尚无统一定论,目前有些产品通过弹窗方式再次获得用户授权同意,有些则通过通知的方式进行告知。
(二)信息收集/权限获取
一款App会涉及收集用户IMEI短信电话存储空间、相机相册麦克风、日历位置通讯录通话记录等等各类信息/权限(有种春运高铁上瓜子饮料矿泉水的感觉,走错片场走错片场,打扰了)。根据必要性原则,对于App运营者来说,不能任意获取用户权限,《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》及《移动互联网应用(APP)收集个人信息基本规范》(草案)均梳理出几类基本业务功能正常运行最小必要的个人信息,运营者可参考进行合规。以下几点为笔者梳理出的几项要点,可做参考:
梳理产品业务功能所必需的信息/权限,在隐私政策中明确写出信息/权限获取的目的、适用功能场景,告知用户并获得用户同意,且App在实际运行过程中收集信息范围不超过隐私政策描述的范围,收集用户个人敏感信息时,应通过弹窗、文字备注等明显方式告知用户明确且易理解的目的、使用规则以及保护措施;
App申请获取用户权限时,应当通过系统弹窗或者App自有弹窗说明获取信息/权限的具体明确的目的,并获得用户同意,同时提供用户拒绝选项;不能未获得用户同意或用户拒绝后仍收集用户信息/权限,或收集超出用户授权范围的信息/权限;
App安装时不能默认打开所有权限,或者用户无法感知或无法动态取消权限授权,如Android版App中分为normal permission&dangerous permission,不同类型的权限获取对于用户感知度和可动态撤销性不同,建议与技术同学梳理产品实际权限获取情况,秉承必要性原则,依据法律法规及监管部门要求梳理出不合规的权限,并进行后台代码调整或产品页面增加弹窗,另建议Android版App设置targetSDKversion值不小于23。
App安装和运行时,不向用户收集与当前服务场景无关的信息/权限,应在具体业务场景触发/使用前获取用户权限,如某App提供视频信息发布服务,在用户点击使用拍摄或上传功能时再行申请获取用户的“相机/相册”权限,而非App首次启动时即申请获取;如确因业务功能不得不收集的,充分说明其必要性并取得用户同意;
App不能向用户申请与App业务功能无关的信息/权限,即使用户可以拒绝亦不可收集;
App不能一揽子获取用户权限,应当区分App基本功能和附加功能,对于仅为实现附加功能、个性化服务、提升服务体验,同时又非App主要功能所必需的信息,可单独征得用户同意,并保障用户拒绝的权利,用户拒绝此类信息后不影响正常使用App;
App应在平台内为用户提供自主设置权限管理的按钮和说明,建议将权限管理汇总至一个目录内,提供push开关及权限获取说明,保证用户对个人信息的自主控制权和撤回同意权;
App在用户明确拒绝权限申请后,不能频繁申请(48小时内再次)开启通讯录、定位、短信、录音、相机等与当前服务场景无关的权限,骚扰用户,建议用户拒绝后通过toast提示告知用户权限的设置路径,便于用户有需要时自行主动开启权限;
App获取用户信息的频率不能超过业务功能实际所需要,如:之前被通报的某金融借贷类App每分钟获取用户地理位置信息上千次;
App更新升级后,不能将用户的权限设置恢复为默认状态;
App新增业务功能申请收集的个人信息超出用户原有同意范围,用户可拒绝提供新业务功能所需信息/权限,App仍应保证用户可正常使用原有业务功能;(新业务功能取代原有业务功能除外)
App向第三方提供用户信息的,应取得用户同意或做匿名化处理。如App通过第三方代码、插件或接入第三方应用的方式向第三方提供个人信息的,应通过弹窗提示等方式明确告知用户并获得用户同意。
(三)用户权利实现
用户访问权
用户有权查看在App内的个人信息,App应当提供用户访问个人信息的便捷在线功能或途径,如设置“个人中心”、“我的”页面提供用户在线查看个人信息。除此之外,部分App提供了获取“个人信息副本”的功能,目前国内对“个人信息副本”获取尚无明确规定,企业实际操作过程中也存在一定的困难。如企业涉及海外业务且适用GDPR、CCPA等海外数据保护法案的,可按照需要提供相应功能。
更正/删除权
《网络安全法》中明确了用户个人信息删除权与更正权,App平台应当提供更正、删除用户信息的有效途径/在线功能,不应设置不合理或不必要的条件,且平台应当及时响应用户的更正/删除请求;根据《App违法违规收集使用个人信息认定方法》,平台应当在承诺期限内(不得超过15个工作日)或15个工作日内完成核查和处理,且用户行使更正/删除权后,App后台应相应完成该类操作,但笔者认为法律另有规定的除外,如网络日志的保存。
撤回同意权
GB/T35273-2017最先明确了个人信息主体的撤回同意权,要求平台向个人信息主体提供方法撤回收集、使用其个人信息的同意授权。对于App平台而言,可在产品中向用户提供“权限设置”等按钮(上一部分有讲到)、个性化服务关闭及账号冻结/注销等功能撤回之前的同意。撤回同意不影响撤回前基于同意的个人信息处理。
注销权
《电信和互联网用户个人信息保护规定》明确了用户的注销权,App应当为用户提供便捷的在线注销功能,不设置不合理的障碍或条件,且对于用户的此类权利实现要及时处理,根据认定方法,平台处理时限为承诺时限(不超过15个工作日)或15个工作日。用户行使注销权时,如需核验身份,平台不得要求用户提供多于注册、使用等服务环节收集的信息,不应仅提示存在积分、优惠券、参与活动、授权登陆解绑等拒绝用户行使注销权,也不能存在平台反馈用户账号已注销时,但实际App后台未完成注销的情况。注销完成后应对用户的个人信息进行删除或匿名化处理。
帮助反馈权
App平台应当向用户提供投诉、意见反馈的渠道,包括在线客服、客服电话、反馈邮箱、问题反馈等形式,并在承诺时限内处理完毕。对于企业处理反馈的期限,《电信和互联网用户个人信息保护规定》、《App违法违规收集使用个人信息自评估指南》规定要求平台在15日内答复,GB/T35273-2017要求30日内处理,该认定办法则要求在承诺期限(不超过15个工作日)或15个工作日内答复,结合目前监管尺度,建议企业将反馈处理期限承诺在15日内较为稳妥。
(四)定推/个性化服务
网络时代,手机比爱人更懂你。最早某宝上线的“猜你喜欢”功能深得大家认可,很多用户抱着:我就愿意让你猜猜我到底喜欢什么的心态使用这个功能,大多数消费者还是乐于其中的。类似定推/个性化功能在短视频类网站、新闻视频类网站得到了充分应用。此类技术是通过对用户行为数据、设备信息、偏好设置等进行综合分析,并通过算法建模、自动化决策机制进行内容的推荐。长期以往,当智能过于懂你时,你反而会感到恐慌。
我们都知道,技术本身是中立的,但企业如何使用该类技术则是需要归束的,监管部门的尺度是”技术可以使用但需向用户提供拒绝接受该类服务的功能”,使用个性化展示新闻、信息类服务的,应为用户提供简单直观的退出或关闭个性化展示模式的选项或者不基于用户个人信息的新闻推荐选项。同时,企业在其隐私政策中应说明将个人信息用于用户画像/个性化展示的应用场景及可能对用户产生的影响。目前小红书、B站等多个App现均提供了用户自主设置“个性化服务”的开关按钮,提供个性化服务的App平台可参照进行产品设计。
(五)未成年人信息保护
大多数App在【未成年人信息保护】隐私合规领域,都遵循“获得监护人同意”的原则,不论是隐私政策中的表述,还是产品自身设计中。2019年10月《儿童个人信息网络保护规定》正式实施,将儿童个人信息保护拽回大众视野,其中规定要求设置儿童个人信息保护负责人、制定专门的儿童个人信息保护规则等。我们可以看到部分综合类App通过制定专门的儿童信息保护规则进行合规,部分儿童App也更新隐私政策,将原来的概括化主体详细定义为“监护人及/或儿童”。实事求是而言,对于企业而言,区分、处理、储存儿童用户、其他未成年用户及成年用户信息的技术要求和成本巨大,相应儿童隐私合规也是企业的难点,建议企业遵循告知并获得监护人同意的模式,在儿童信息收集、使用、共享、转让等全流程处理中遵循《儿童个人信息网络保护规定》,从隐私政策、家长验证等产品设计上实现企业隐私合规,保护儿童个人信息。
以上为笔者总结的App数据保护与隐私合规要点,由于篇幅问题,其他合规细节不做过多描述,App数据合规法务可根据行业内特殊法律法规,时刻关注监管态势和新规颁布,并在把握“告知同意”模式下,遵循合法、正当、必要的原则,注重用户权利保障与实现,汇总输出自身产品privacy compliance checklist,在产品开发前期介入合规工作,并在App运营过程中注意及时按照法规动向调整产品。本文仅供参考,除了App形式,其他在线形式、小程序等产品也可参照本文进行合规工作。本文在编写过程略有仓促,如有错误,欢迎指正。
Data is new oil。数据是未来企业挖掘商业价值的新领地。作为企业数据合规法务,笔者认为,数据保护不仅是合规要求,更是企业的社会责任,只有保护用户隐私才能为用户带来更好的产品体验,进而维护或增强用户粘性。
免责声明:本公众号发布的信息,除署名外,均来源于互联网等公开渠道,版权归原著作权人或机构所有。我们尊重版权保护,如有问题请联系我们,谢谢!
