法盛-金融投资法律服务

监管风暴来袭,APP如何应对?

2019-12-24 法盛-金融投资法律服务

法盛金融投资

       一个致力于分享金融投资、私募基金、不良资产、股权激励、税务筹划及公司纠纷、疑难案例干货的专业公众号,巨量干货及案例供检索。


2019年12月,公安部、工业和信息化部通信管理局(“工信部”)和App专项治理工作组相继通报了一批存在个人信息违规问题的App,其中,App专项治理工作组对57款App进行通报整改,工信部对41款App通报并限期整改,公安部下架整改100款App。三方监管机构集中通报整改为App运营者敲响了警钟,须对个人信息保护引起重视,并关注监管趋势和动态。

App隐私治理的历史沿革


2017年8月21日至24日,全国信息安全标准化技术委员会(以下简称“信安标委”)在中央网信办、工信部、公安部、国家标准委四部门指导下,组织召开了隐私条款专项工作专家评审会。专家工作组对首批10款网络产品和服务的隐私条款进行了评审,规范其收集、保存、使用、转让用户个人信息的行为。专家对网络产品和服务的隐私条款内容、展示方式和征得用户同意方式等进行综合评判1
2018年1月,工信部信息通信管理局约谈三家互联网巨头。要求各互联网企业严格遵守相关法律法规,遵循合法、正当、必要的原则收集使用个人信息,不得收集服务所必需以外的用户个人信息,不得将信息用于提供服务之外的目的,不得非法向他人出售或提供个人信息,同时进一步优化服务协议、用户隐私政策和手机权限调用说明,切实保障用户知情权和选择权,维护用户合法权益。同时,组织技术部门对相关手机应用软件是否存在侵犯用户个人隐私行为进行持续监测,并将加强对互联网服务信息收集使用规则告知、账号注销等环节的监督检查。一经发现违法违规行为,将严肃查处并向社会曝光2
2018年5月,公安部网络安全保卫局提出加强公民个人信息保护5项要求,部署各地公安机关对境内WiFi分享类网络应用服务企业开展排查,组织相关企业对涉及公民个人信息保护方面存在的安全问题进行深入研究。向境内提供服务的119家企业提出5项指导性措施要求:一、未经本人或单位授权或同意的个人用户WiFi网络和国家机关、企事业单位内部非公开WiFi网络,停止分享服务并清除相关信息。二、居民小区和国家机关、企事业单位周边,无法确认属于公共服务WiFi网络的,暂停分享服务。三、要通过官方网站、APP客户端公开分享服务、隐私保护和数据安全条款,接受社会和用户监督。四、要通过官方网站、APP客户端提供WiFi网络分享信息的查询和投诉渠道。对WiFi网络所有者要求停止分享的,经核实后应当停止分享。五、要建立健全用户信息保护和鉴别、防范假冒WiFi网络的安全管理措施,发现违法犯罪活动及时向公安机关报告3
2018年6月14日,中消协启动App信息收集与隐私政策测评活动。中消协此次App信息收集与隐私政策测评活动是继2017年四部委隐私条款评审工作后的又一重要测评活动。此类测评活动的常规化能够有效发挥社会监督的力量,促使企业主动规范个人信息处理活动4
2018年11月6日,工业和信息化部官网发布了今年第三季度电信服务质量通告。第三季度,工业和信息化部组织对62家互联网企业65项互联网服务进行抽查,发现12家互联网企业存在未公示用户个人信息收集使用规则、未告知查询更正信息的渠道、未提供账号注销服务的问题,已督促整改。工业和信息化部组织对48家手机应用商店的应用软件进行技术检测,发现违规软件53款,涉及违规收集使用用户个人信息、恶意“吸费”、强行捆绑推广其他应用软件等问题并已责令下架5
2018年12月5至6日,信安标委秘书处组织召开了2018年隐私条款专项工作的专家集中评审会,会上专家依托隐私条款专项评审工具对40款网络产品和服务的隐私条款进行了评审,其中涉及“2017年隐私条款专项工作”中的10款产品,以及“2018年隐私条款专项工作”中出行旅游、生活服务、影视娱乐、工具资讯和网络支付5大类30款产品6
2019年1月25日,中央网信办、工业和信息化部、公安部、市场监管总局(下称“四部委”)发布《关于开展App违法违规收集使用个人信息专项治理的公告》,四部委决定,自2019年1月至12月,在全国范围组织开展App违法违规收集使用个人信息专项治理7
公安部组织开展“净网2019”专项行动,至2019年12月已依法查处违法违规采集个人信息的APP共683款8

2019年3月16日,工业和信息化部要求严厉查处“3·15”晚会曝光的信息通信领域违规行为,要求腾讯、百度、华为、小米、OPPO、Vivo、360等国内主要应用商店全面下架 某APP,并对该APP的责任主体进行查处,还要组织对同类APP进行排查检测,对类似问题一并要求整改9

2019年4月上旬,工作组针对30款用户量大、问题严重的App向其运营者发送了整改通知,要求App运营者认真整改、举一反三,及时纠正个人信息收集使用方面存在的问题,并在1个月内将整改情况反馈工作组。逾期不改的,工作组将建议相关部门公开曝光,情节严重的予以下架、停止服务等10。经工作组认真核验,3款App未按期完成整改,相关部门对其进行了约谈并督促改进,目前已整改完毕11
2019年5月25日,为让公众直观了解常用App申请收集使用个人信息权限情况,App专项治理工作组对下载量大的100款App申请权限以及强制开启的权限进行了分析统计并予以公布12
2019年7月11日,App治理专项工作组发布《关于10款App存在无隐私政策等问题的通报》,通报了10款无隐私政策的App和20款一次性要求开启多个授权、拒绝授权无法安装使用的App,并要求该等App在通报发出之日起30日内完成整改,逾期未完成整改的,工作组将建议相关部门依法予以处置。

2019年7月16日,App治理专项工作组发布《关于督促40款存在收集使用个人信息问题的App运营者尽快整改的通知》13,该40款App在个人信息收集使用方面存在问题,且未公开有效的联系方式。该等App运营者应当自发布通知之日起10日内联系工作组,领取整改通知,于通知发布之日起30日内完成整改并向工作组提交整改报告,逾期未领取整改通知或未完成整改的,工作组将建议相关部门予以处置。

2019年11月6日,工业和信息化部发布《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》14,依据《网络安全法》、《电信条例》、《规范互联网信息服务市场秩序若干规定》(工业和信息化部令第20号)、《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号)和《移动智能终端应用软件预置和分发管理暂行规定》(工信部信管〔2016〕407号)等法律法规和规范性文件要求,对以下四个方面8类问题开展规范整治工作。



2019年12月4日,国家网络安全通报中心发布了公安部11月以来组织开展APP违法违规采集个人信息集中发现、集中侦办、集中查处整改的100款违法违规APP及其运营的互联网企业15。此次集中整治,重点针对无隐私协议、收集使用个人信息范围描述不清、超范围采集个人信息和非必要采集个人信息等情形,责令限期整改27款,处以警告处罚63款,处以罚款处罚10款,另有2款被立为刑事案件开展侦查,相关案件正在侦查中。
2019年12月19日,工业和信息化部信息通信管理局发布了在APP侵害用户权益专项整治行动中发现的存在问题且未完成整改的41款APP16,并指明上述APP应在12月31日前完成整改落实工作,逾期不整改的,工信部将依法依规组织开展相关处置工作。
2019年12月20日,App专项治理工作组发布了工作组近期评估中发现的存在收集使用个人信息问题(名单及问题)的57款App17,建议相关App运营者对存在的问题进行整改,并自即日起30日内向工作组反馈整改情况。30日后工作组将对整改情况予以核验,并将核验结果提交相关部门,建议依法予以处置。同时,对于App专项治理工作组发送整改通知并建议1个月内整改但目前未完成整改的4款App,工作组已将核验结果提交相关部门,建议依法予以处置。

2019年12月被通报整改App违规情况

我们根据监管部门发布的信息将App违规情况进行了汇总和分类,整理如下:

1. App专项治理工作组 


序号
违规情况
违规App数量
1          
未经同意、未经匿名化处理使用SDK向第三方提供个人信息
46
2          
申请权限时未告知目的
46
         
未逐一列出SDK收集使用个人信息的目的、类型
34
4     
未提供注销功能
19
5       
非明示征求同意隐私政策(默认勾选)
17
6    
收集个人敏感信息未告知目的、方式、范围
17
         
征得用户同意前/未经同意就开始收集个人信息
15
8       
收集个人信息时未(明示)告知目的、方式、范围
14
         
隐私政策难以访问
14
10     
无(有效的)投诉举报渠道
13
11    
收集个人信息频度超出实际需要
12
12     
没有隐私政策
12
13     
不同意授权时,频繁征求同意
11
14     
注销条件不合理
10
15       
首次未弹窗提示隐私政策
9
16       
将target SDK version值设置小于23,要求用户一次性同意开启多个可收集个人信息的权限,用户不同意则无法使用;
8
17     
不同意授权非必要权限,拒绝提供所有/某个功能
7
18       
隐私政策难以阅读/理解
7
19       
申请权限与业务无关
7
20    
未提供有效的注销账号功能
7
21       
收集个人信息与业务无关
7
22       
撤销某一权限/明确不同意时,仍通过其他途径收集
6
23       
既未经用户同意,也未做匿名化处理,客户端向第三方传输个人信息;
2
24     
违规跨境传输(通过SDK)
1
25     
登录界面未提供简体中文版隐私政策
1
26       
隐私政策更新未通知
1
27       
更新隐私政策新增功能未告知
1
28       
首次打开App时,强制要求非必要个人信息
1
29       
未通过明显方式提示用户阅读隐私政策;
1
30       
未经用户同意,App客户端向第三方客服平台“环信”提供用户手机号并传输用户与在线客服的聊天记录;
1

2.  工信部


序号

违规情况

违规App数量

1        

私自收集个人信息

21

2      

过度索取权限

19

3

账号注销难

15

4        

不给权限不让用

11

5        

私自共享给第三方

11

6        

强制用户使用定向推送功能

7

7        

超范围收集个人信息

3

8        

频繁申请权限

1


App个人信息问题处罚情况


根据《公告》中的安排,全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会负责编制App规范和评估要点,并组织相关专业机构对App隐私政策和个人信息收集使用情况进行评估,并受四部门委托成立App违法违规收集使用个人信息专项治理工作组(“App专项治理工作组”);有关主管部门加强对违法违规收集使用个人信息行为的监管和处罚,对强制、过度收集个人信息,未经消费者同意、违反法律法规规定和双方约定收集、使用个人信息,发生或可能发生信息泄露、丢失而未采取补救措施,非法出售、非法向他人提供个人信息等行为,按照《中华人民共和国网络安全法》(“《网络安全法》”)《中华人民共和国消费者权益保护法》(“《消费者权益保护法》”)等依法予以处罚,包括责令App运营者限期整改;逾期不改的,公开曝光;情节严重的,依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;公安机关开展打击整治网络侵犯公民个人信息违法犯罪专项工作,依法严厉打击针对和利用个人信息的违法犯罪行为。
结合《公告》的安排、各监管机构的性质以及现有的处罚案例,目前我们看到App专项治理工作组的处罚手段主要集中在通报和限期整改,工信部、通信管理局、公安机关则会根据违规情况对App及运营者进行整改、警告、罚款甚至下架的处罚。除此之外,负有保护个人信息职权和责任的其他相关机构也可能采取相应的处罚或维权措施,如消费者协会可能提出公益诉讼。具体案例如下:

1.  通信管理局

2019年4月,广东省通信管理局抽查了辖区内各大应用商店,重点排查收集用户信息的违规行为,发现违规App20个。广东通信管理管局约谈涉事应用商店所属企业,责令其下架违规App。截至目前,违规App已全部下架。同时,广东通信管理管局对相关App运营企业给予了警告的行政处罚18
2019年12月,北京市通信管理局严格落实工业和信息化部相关工作要求,就APP数据安全问题集中约谈了17家App企业,对企业违规收集使用用户信息、强制授权等问题提出书面整改要求,要求限期整改19
2018年1月,某App年度账单默认勾选“同意”引起争议。为此,通信管理局对其进行约谈。最终,其运营单位出面道歉并对账单进行修改,取消默认同意。

2. 公安部门

2019年5月,某APP在获取读取手机状态和身份、发现已知帐户、拦截外拨电话、开机时自动启动四项权限中存在超范围采集用户个人信息的情况。北京市朝阳警方依据《网络安全法》第四十一条、第六十四条,对该公司给予行政警告处罚。此案例为北京市公安局网安部门首次适用《网络安全法》对涉嫌超范围采集用户个人信息的公司开展行政执法。
公安部12月查处的100款违法违规采集个人信息的APP中,责令限期整改27款,处以警告处罚63款,处以罚款处罚10款,另有2款被立为刑事案件开展侦查,相关案件正在侦查中。典型案例如下:
1)  某健康类APP涉嫌无隐私协议收集用户位置信息等违法违规行为,经天津市公安局武清分局网安支队受案调查,依据《网络安全法》第四十一条、第六十四条规定,对该APP运营单位处以行政警告并责令限期整改。
2) 某炒股操盘APP未经用户同意收集使用精准定位等个人信息,涉嫌超范围收集用户信息等违法违规行为,经上海市公安局徐汇分局网安支队受案调查,依据《网络安全法》第六十四条第一款,对该APP运营单位处以行政警告。
3) 某海淘APP未明示数据项采集用途,涉嫌违规收集用户信息,经杭州市公安局西湖分局受案调查,依据《网络安全法》第六十四条第一款,对该APP运营单位处以行政警告并责令限期整改。
4) 某咨询类APP涉嫌无隐私协议收集用户位置信息等违法违规行为,经成都市公安局网安支队受案调查,依据《网络安全法》第六十条第一款规定,对该APP运营单位处以行政警告并处罚款贰仟元。

3. 网信办

2018年10月16日,上海市网信办对本地最常用的 23 个APP获取用户个人信息等相关权限申请情况开展抽查,发现其中约30%与所提供的服务没有对应关系,属于不合理范围。上海市网信办分别约谈了这23个企业,并在约谈时强调,各运营企业要依据《网络安全法》《移动互联网应用程序信息服务管理规定》等法律法规,落实主体责任,按照合法、正当、必要的原则收集、使用个人信息。23 家运营企业要认真对照抽查结果,全面梳理APP的各项权限,撤销不合理权限,对于合理权限所获取的用户个人信息要加强网络安全管理,强化网络安全防范措施,切实提升网络安全防护能力,避免出现侵犯用户个人信息的事件发生。20

4. 消费者权益保护委员会

2018年1月7日,某互联网平台因侵害个人信息安全被江苏消保委提起公益诉讼,这也是我国首例个人信息安全公益诉讼。江苏省消保委向南京市中级人民法院提起诉讼,指控该互联网平台侵犯个人信息隐私。此前江苏消保委经过调研发现其旗下APP存在“未经用户允许、未明确告知用户就强行获得用户手机的读取通话、短信、存储信息内容,并将这些信息上传至服务器”的现象,要求整改。其在收到调查函后态度消极且未整改,消保委在此情况下提起了公益民事诉讼。3月15日,在该互联网平台整改合格后,江苏消保委撤回起诉。21

5. 中国人民银行

2018年3月22日,某App因在个人信息保护等方面的违规行为,被中国人民银行杭州支行给予警告并处罚款18万元。处罚信息显示,其在个人信息保护方面的违法行为包括:(1)个人金融信息收集不符合最少、必需原则;(2)个人金融信息使用不当。22

 App隐私治理监管趋势

通过以上整理我们发现,从2017年到2019年,App隐私治理手段从一开始的通过对隐私政策的测评、评审、指导来引导企业合规,到对整个App进行抽查、排查、技术检测、整改、下架甚至提起公益诉讼;监管要求从一开始只从整体上关注隐私政策,到逐步关注专项问题,包括规范App强制或捆绑索要权限、App注销等功能是否完善,通过SDK收集设备信息等问题。尽管四部委开展的第一轮为期一整年的App违法违规收集使用个人信息专项治理即将步入尾声,但可以预测,未来监管部门对App的隐私治理必将越来越严格、细致和深入,处罚力度也会越来越大。App运营者应当高度重视和关注App个人信息安全和隐私保护,我们也会持续关注和解读监管新动态,为App个人信息和隐私保护合规提供及时和准确的建议。


1. http://pip.tc260.org.cn/jbxt/privacy/detail/20190227163833131119

2. http://www.sohu.com/a/216295185_354877

3. http://www.xinhuanet.com/2018-05/21/c_1122863472.htm

4. http://finance.china.com.cn/consume/20180614/4668356.shtml

5. http://dy.163.com/v2/article/detail/DVVHAQGL0514R9KM.html

6. http://pip.tc260.org.cn/jbxt/privacy/detail/20190227164924723859

7. http://www.cac.gov.cn/2019-01/25/c_1124042599.htm

8. https://mp.weixin.qq.com/s/smT4RbHsA_x0vIZjEKV_yg

9. http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057709/n3057719/c6680836/content.html

10. http://pip.tc260.org.cn/jbxt/privacy/detail/20190508102532746650

11. http://pip.tc260.org.cn/jbxt/privacy/detail/20190702135807260132

12. http://pip.tc260.org.cn/jbxt/privacy/detail/20190524213533231198

13. http://www.cac.gov.cn/2019-07/19/c_1124770732.htm

14. http://www.miit.gov.cn/n1146295/n1652858/n1652930/n3757020/c7506353/content.html

15. 国家网络安全通报中心:公安机关开展APP违法采集个人信息集中整治https://mp.weixin.qq.com/s/smT4RbHsA_x0vIZjEKV_yg

16. 工业和信息化部信息通信管理局:关于侵害用户权益行为的APP(第一批)通报:http://www.miit.gov.cn/newweb/n1146285/n1146352/n3054355/n3057709/n3057714/c7574782/content.html

17. App个人信息举报:关于61款App存在收集使用个人信息问题的通告https://mp.weixin.qq.com/s/lwPtpaYfwB5dlEc7YffQnQ

18. http://www.miit.gov.cn/n1146290/n1146402/n1146450/c6803428/content.html

19. http://www.miit.gov.cn/n1146290/n1146402/n1146450/c7571427/content.html

20. https://tech.qq.com/a/20181016/010923.htm

21. https://baijiahao.baidu.com/s?id=1588806021190398927&wfr=spider&for=pc

22. http://baijiahao.baidu.com/s?id=1597176762193743452&wfr=spider&for=pc

免责声明:本公众号发布的信息,除署名外,均来源于互联网等公开渠道,版权归原著作权人或机构所有。我们尊重版权保护,如有问题请联系我们,谢谢!

举报