×

打开微信,扫一扫二维码
订阅我们的微信公众号

×

扫码分享

EN
首页>汉盛研究>汉盛法评>个人信息保护法实施一周年 | 汉盛个人数据保护的法律与合规百问百答(二)

个人信息保护法实施一周年 | 汉盛个人数据保护的法律与合规百问百答(二)

2022-11-02   李旻、卓伟伟、刘曦

第二部分 APP中的数据合规

 李  旻   卓伟伟   刘  曦 

一、监管情况

1. 目前APP违法违规通报中的常见问题有哪些?

律师解答:

(1)侵犯公民个人信息的行为:

a. 未公开收集使用规则:例如App中没有隐私政策,或者隐私政策中没有明确处理个人信息规则,App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则等。

b. 未明示收集使用个人信息的目的、方式和范围,或以上信息发生变化时未以适当方式通知用户:申请打开可收集个人信息的权限或个人敏感信息时,未同步告知用户其目的,或者目的不明确;有关收集使用规则的内容晦涩难懂、冗长繁琐,不利于用户真正理解个人信息处理规则。

c. 未经用户同意收集使用个人信息,或未经用户同意更改其设置的可收集个人信息权限状态:以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,欺骗误导用户提供身份证号码以及个人生物特征信息的行为;未向用户提供撤回同意收集个人信息的途径、方式,违反其所声明的收集使用规则,收集使用个人信息;在静默状态下自行收集用户个人信息等。

d. 违反必要原则,收集与其提供的服务无关的个人信息,过度收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关。

(2)侵犯手机用户正常使用行为

a. 违规调用手机权限,或过度索取权限,例如未告知用户就设定有权调用相册、录音或摄像头;

b. 自启动或关联启动,例如未向用户明示未经用户同意,且无合理的使用场景即自启动或关联启动其它 APP,或SDK 非服务所必需或无合理应用场景即启动或关联启动APP。

c. 强制或诱骗用户点击下载APP。

d. 弹窗或开屏广告强制开启,或不能有效关闭广告。

e. 滥发广告,访问页面中高强度出现广告,或必须经过一定时间才能关闭广告等。

f. 骚扰电话问题,即滥用经用户同意后收集的用户电话,反复向用户拨出营销电话、回访电话等。

(3)违规使用用户个人信息类型

违规使用个人信息,私自共享给第三方”。即APP未经用户同意与其他应用共享、使用用户个人信息,如设备识别信息、商品浏览记录、搜索使用习惯、常用软件应用列表等。

(4)为用户用户行使个人权益设置障碍

a. APP未向用户提供账号注销服务,或为注销服务设置不合理的障碍。

b. APP未向用户提供反馈渠道。

2. 应用商店也会对隐私合规进行审核么?

律师解答:会。《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》中特别对应用分发平台责任落实不到位方面予以整治,包括应用分发平台管理责任落实不到位,即APP上架审核不严格、违法违规软件处理不及时和APP提供者、运营者、开发者身份信息不真实、联系方式虚假失效等问题。

《移动互联网应用程序信息服务管理规定》第二十条第二款规定:应用程序分发平台应当对申请上架和更新的应用程序进行审核,发现应用程序名称、图标、简介存在违法和不良信息,与注册主体真实身份信息不相符,业务类型存在违法违规等情况的,不得为其提供服务。第四款规定:应用程序分发平台应当加强对在架应用程序的日常管理,对含有违法和不良信息,下载量、评价指标等数据造假,存在数据安全风险隐患,违法违规收集使用个人信息,损害他人合法权益等的,不得为其提供服务。

因此应用商店有义务对上架软件的隐私合规政策予以审查。

3. 应该去哪些网站获取监管动态呢?

律师解答:一般可以在以下两个网站中获得互联网应用的最新监管信息,除此以外金融监管部门网站、市场监督管理部门、相关行业协会网站等也可以查阅相关行业监管信息。

(1) 中华人民共和国工业和信息化部官网:https://www.miit.gov.cn/

(2) 中华人民共和国国家互联网信息办公室:http://www.cac.gov.cn/zfdc/A0921index_1.htm

4. 目前监管的重点是那几个方面?

律师解答:主要还是围绕侵害用户权益方面:例如内嵌第三方软件开发工具包(SDK)存在违规收集用户设备信息(如设备安装列表、设备IMEI、IMSI、Android ID、设备MAC地址等);APP强制、频繁、过度索取权限,违规使用个人信息;强制用户使用定向推送功能、欺骗误导强迫用户、应用分发平台上的APP信息明示不到位、超范围收集个人信息等。

二、隐私政策

5. APP制作隐私政策的法律依据?

律师解答:APP制作隐私政策的法律及其他规范性文件依据包括但不限于:《民法典》《网络安全法》《数据安全法》《个人信息保护法》《未成年人保护法》《消费者权益保护法》《电子商务法》《全国人大常委会关于加强网络信息保护的决定》《电信条例》《规范互联网信息服务市场秩序若干规定》《电信和互联网用户个人信息保护规定》《移动智能终端应用软件预置和分发管理暂行规定》《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》《电信和互联网用户个人信息保护规定》《规范互联网信息服务市场秩序若干规定》《App违法违规收集使用个人信息行为认定方法》等。

6. 隐私政策的性质是什么?

律师解答:通常认为,隐私政策是指网络服务提供者就其如何处理个人信息所作出的书面声明、陈述、允诺或者保证,是根据《个人信息保护法》第十七条规定所制定的个人信息处理规则。以上条款规定,“个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(一)个人信息处理者的名称或者姓名和联系方式;(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(三)个人行使本法规定权利的方式和程序;(四)法律、行政法规规定应当告知的其他事项。前款规定事项发生变更的,应当将变更部分告知个人。个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。”因此,在个人信息保护法框架下,隐私政策的法律效果由法律直接规定,个人信息处理者不能表达其效果意思,因此发布隐私政策,履行告知义务的行为不具有合同等法律行为属性,而应属于准法律行为中的意思通知。

7. 告知义务的豁免应当如何理解?

律师解答:根据《个人信息保护法》第十七条规定,个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(一)个人信息处理者的名称或者姓名和联系方式;(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(三)个人行使本法规定权利的方式和程序;(四)法律、行政法规规定应当告知的其他事项。前款规定事项发生变更的,应当将变更部分告知个人。个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。

除此以外,第二十二条、二十三条还规定了个人信息处理者因合并、分立、解散、被宣告破产等原因需要提供个人信息、向其他个人信息处理者提供其处理的个人信息、向境外提供个人信息的、处理敏感个人信息、国家机关为履行法定职责处理个人信息等情形下的告知义务。因此个人信息处理以告知为原则。

但第十八条规定,个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条(即第十七条)第一款规定的事项。 紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知。

综上,仅在符合第十八条第一款规定的情形下实质上可以不告知,其他情形下都应当即时告知,或者在紧急情况消除后予以告知。

8. 目前法律对隐私政策有哪些强制性要求?

律师解答:

(1) 隐私政策应当明确收集、使用个人信息应该遵循合法、正当、必要的原则;

(2) 隐私政策中需要明确收集、使用信息的目的、方式和范围,明示个人信息处理者的名称或者姓名、联系方式、处理个人信息的方式、种类、期限、个人享有的权利和救济方式;

(3) 若涉及第三方委托处理个人信息的,隐私政策中应当说明第三方如何处理个人信息、处理的目的、方式和范围等;

(4) 隐私政策需要公示,用户首次使用app或网络平台前网络服务提供者应当告知用户隐私政策内容;

(5) 若隐私政策发生修改,也应当在修改生效前予以公示,并且告知用户不同意该修改内容的救济途径,如在修改生效前提出异议,或退出使用APP等。

9. 一份完整的隐私政策应当包含哪些内容?

律师解答:参考《个人信息保护法》第十七条、第二十二条、第二十三条、第三十条、第三十九条规定,完整的隐私政策应当以显著方式、清晰易懂的语言真实、准确、完整地向个人用户告知下列事项:

(一)个人信息处理者的名称或者姓名和联系方式,个人信息处理者因合并、分立、解散、被宣告破产等原因需要个人信息的,或者个人信息处理者向其他个人信息处理者及境外提供其处理的个人信息的,个人信息也应当向个人信息主体告知接收方的名称或者姓名和联系方式。

(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限。处理个人信息时应当具有明确、合理的目的,并应当限于实现处理目的所必要的最小范围,采取对个人权益影响最小的方式,不得进行与处理目的无关的个人信息处理。个人信息的处理方式,主要是指处理者对个人信息采取何种处理方法,具体包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

(三)个人行使《个人信息保护法》规定权利的方式和程序,即《个人信息保护法》第4章所规定的个人在个人信息处理活动中的权利,包括知情决定权、查阅复制权、数据携带权、更正补充权、删除权、解释说明权等。

(四)法律、行政法规规定应当告知的其他事项。

前款规定事项发生变更的,隐私政策或服务协议应当将变更部分告知个人。

10. 隐私政策中涉及敏感个人信息的收集和使用,存在哪些特殊要求?

律师解答:

(1) 应当事前进行个人信息保护影响评估,并对处理情况进行记录。

(2) 具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。

(3) 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。

(4) 个人信息处理者处理敏感个人信息的,除《个人信息保护法》第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照《个人信息保护法》规定可以不向个人告知的除外。

(5) 个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意,并应当制定专门的个人信息处理规则。

(6) 法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的,从其规定。

11. 隐私政策中涉及对外共享、转让、公开披露个人信息,应披露哪些内容?

律师解答:《个人信息保护法》并未单独规定对外共享、转让、公开披露个人信息应当向用户披露的内容,因此可以参照向他人提供个人信息的要求,并结合《信息安全技术 个人信息安全规范》中对外共享、转让、公开披露个人信息的要求予以判断。即应当披露:对外共享、转让、公开披露个人信息的目的、涉及的个人信息类型特别时敏感个人信息类型、接收个人信息的第三方类型、可能产生的后果,以及各自的安全和法律责任。

12. 隐私政策的简版和摘要的区别是什么?

律师解答:通常没有区别,两者的目的都是以简洁的方式告知用户有关隐私政策的最核心内容,满足隐私政策的告知,以免用户因为全面版本隐私政策的表述复杂、冗长而放弃对隐私政策的阅读,导致隐私政策内容未能真正告知用户,侵害用户的知情权、也不利于企业的自我保护。

13. 儿童专门的个人信息保护规则应以何种形式呈现?

律师解答:儿童在互联网当中具有较弱的自我保护意识和能力,且一旦儿童个人信息泄露,对儿童及其家庭的影响将是长远的。为此国家互联网信息办公室专门公布了《儿童个人信息网络保护规定》,对其进行了专门规定。除了与个人信息保护规则中一致的内容以外,其中第八条要求网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护,相当于以另设规则的方式为儿童设立了专门的个人信息保护规则。

14. 如果隐私政策更新,是否必须在弹窗里告知变更的全部内容?是否需要记录历史版本?

律师解答:可以仅告知变更的关键内容,但向用户提供完整版本的链接通道。

记录历史要求不是必须要求,但部分网络服务提供者自觉做到了这一点。根据《电子商务法》第三十四条,电子商务平台经营者修改平台服务协议和交易规则后,如果平台内经营者不接受修改内容,要求退出平台的,电子商务平台经营者不得阻止,并按照修改前的服务协议和交易规则承担相关责任。因此保留历史版本能够帮助电子商务适用正确的交易规则解决纠纷,隐私政策也是一样。

2022年5月26日,全国信息安全标准化技术委员会秘书处发布推荐性国家标准《信息安全技术 互联网平台及产品服务隐私协议要求(征求意见稿)》中也建议互联网平台及产品服务隐私协议保留历史版本,但该标准仍在征求意见中,且仅为推荐性意见,因此保留隐私政策历史版本未来可能也并不会成为强制性规定。

15. 第三方SDK应如何披露,App平台仅在其隐私政策中附SDK隐私政策的链接能否达到合规要求?

律师解答:不能达到合规要求,根据《App违法违规收集使用个人信息行为认定方法》相关规定,APP应当逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等,否则会被认定为“未明示收集使用个人信息的目的、方式和范围”,因而侵犯公民个人信息权益。

16. 用户撤回个人信息授权,App平台强制退出的做法是否合规?

律师解答:根据《个人信息保护法》第十五条第二款规定,个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。第十六条规定,个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。

因此应当根据《常见类型移动互联网应用程序必要个人信息范围规定》中对必要个人信息的规定,判断撤回个人信息授权的范围是否属于保障App基本功能服务正常运行所必需的个人信息。如果撤回内容不属于必要个人信息,则不应当强制退出。即便属于必要个人信息,APP也应当向用户明确撤回的后果是什么,例如是否会删除用户此前在APP中提供的信息,还是仅不再提供新的信息,以便用户提供选择。

三、注册、登录与注销

17. 收集手机号是强制性要求么?

律师解答:要区别于APP类型。《关于印发<常见类型移动互联网应用程序必要个人信息范围规定>的通知》对各类app必须收集的个人信息进行了规定,其中女性健康类、网络直播类、在线影音类、短视频类、新闻资讯类、运动健身类、浏览器类、输入法类、安全管理类、电子图书类、拍摄美化类、应用商店类、实用工具类等无需任何个人信息即可使用基本功能服务,地图导航类则未规定注册用户移动电话号码为必要个人信息,因此手机号不是用户使用网络服务提供的个人信息。

18. 用户拒绝隐私政策后,用户不能使用APP的做法是否符合合规要求?

律师解答:隐私政策是指网络服务提供者就其如何处理个人信息所作出的书面声明、陈述、允诺或者保证,是根据《个人信息保护法》第十七条规定所制定的个人信息处理规则。如果用户拒绝隐私政策,则意味着概括拒绝APP对其个人信息相关的处理规则,包括拒绝提供必要个人信息和非必要个人信息。根据《关于印发<常见类型移动互联网应用程序必要个人信息范围规定>的通知》第三条规定,必要个人信息是指保障App基本功能服务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务,第四条则规定App不得因为用户不同意提供非必要个人信息,而拒绝用户使用其基本功能服务。换言之,如果用户不需要提供必要个人信息就能够使用该APP,则APP不能因为用户拒绝隐私政策而能拒绝用户使用;如果用户必须提供必要个人信息APP才能够满足提供服务和监管要求,则APP可以因为用户拒绝隐私政策而拒绝提供服务。

四、权限获取

19. APP可以随时申请权限吗?

师解答:《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》中认为:APP安装、运行和使用相关功能时,非服务所必需或无合理应用场景下,用户拒绝相关授权申请后,应用自动退出或关闭的行为属于强制索取权限;短时长、高频次,在用户明确拒绝权限申请后,频繁弹窗、反复申请与当前服务场景无关权限的行为属于频繁索取权限;未及时明确告知用户索取权限的目的和用途,提前申请超出其业务功能等权限的行为属于过度索取权限;前述行为都属于设置障碍、频繁骚扰用户。

因此APP可以根据业务开展情况、适度合理向用户申请权限,但是该权限应当是保证APP功能运行的必要权限,不应超出APP功能范围、符合应用场景,并且在用户拒绝后不应再次反复申请。

20. 针对APP热更新(如修复一些bug)是否属于侵害个人权益的行为?

律师解答:APP热更新并非侵害个人权益的行为。热更新即app的即时更新,已经下载app的个人用户可以直接通过app完成下载更新,不需要重新从应用平台下载。并无法律法规要求更新必须经过应用商店审核,热更新如果没有违反隐私政策约定的个人信息处理规则,也没有违反个人信息保护的相关法律法规规定,则不属于侵害个人权益的行为。

五、个人权利响应

21. 用户投诉的渠道都有哪些呢,都有什么要求?

律师解答:在APP内部,用户可以通过平台内部设立的投诉通道反映需求并要求平台予以反馈。

在APP外部,消费者可向公安部门、工业和信息化部门、互联网信息办公室、市场监督管理部门、消费者协会、行业管理部门和相关机构进行投诉举报。

除此以外,消费者还可依据《民法典》、《个人信息保护法》、《消费者权益保护法》等,通过法律手段进一步维护自己的合法权益。

22. 个人信息保护法中个人权利有哪些?

律师解答:根据《个人信息保护法》第四章个人在个人信息处理活动中的权利的规定,个人权利包括:第四十四条的知情决定权、第四十五条查阅复制权和数据携带权、第四十六条更正补充权、第四十七条删除权、第四十八条解释说明权等,另外根据第四十九条对去世近亲属享有个人信息查阅、复制、更正、删除等权利。

六、实名认证与生物识别

23. 身份证号属于敏感个人信息,是一定不能收集么?

律师解答:不是。根据《个人信息保护法》,敏感个人信息可以被收集、处理,但应当满足以下条件:

(1) 根据《个人信息保护法》第二十八条,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可收集敏感个人信息。

(2) 根据第二十九条,处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。

(3) 个人信息处理者处理敏感个人信息的,应当向个人信息主体告知《个人信息保护法》第十七条第一款规定的事项,以及处理敏感个人信息的必要性以及对个人权益的影响;依照《个人信息保护法》规定可以不向个人告知的除外。

另外,如果法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的,从其规定。

24. 平台用户使用手机号注册账号的行为是否属于完成了实名制?

律师解答:要区分不同类型平台的类型,一般以注册手机号码作为必要个人信息平台类型,只要有手机号+验证码就可以完成实名认证;可以以第三方应用接口如使用华为、微信、支付宝等第三方账号登录完成验证;有些平台以姓名和身份证号码二要素完成实名认证,有些则为姓名、身份证号码、银行卡三要素认证,还有些为姓名、身份证号码、银行卡、手机号码四要素认证:最为严格的活体检测、人脸识别等方式,多用于金融平台(如支付宝)、政府事务平台(如交管12123)、网络游戏未成年人防沉迷系统、公共秩序管理等。

25. 实名认证现有哪些法律依据,需要符合何种合规要求?

律师解答:实名认证的法律规范难以一一列出,但基本分为信息网络、金融账户两大类型,其中金融账户类通常会采用最为严格的实名认证和身份验证方法,例如五要素认证,其他领域则通常仅需要注册手机号+验证码或者姓名+身份证即可。例如《反洗钱法》规定,金融机构应当按照规定建立客户身份识别制度,金融机构在与客户建立业务关系或者为客户提供规定金额以上的现金汇款、现钞兑换、票据兑付等一次性金融服务时,应当要求客户出示真实有效的身份证件或者其他身份证明文件,进行核对并登记。《证券法》和《期货和衍生品法》也都要求账户实名制,只能使用自己实名开立的账户进行交易。此类实名认证一般还有可能伴随人脸识别、声纹识别、指纹识别等生物识别认证方式。

除此以外,《网络安全法》规定网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。《食品安全法》第六十二条规定,网络食品交易第三方平台提供者应当对入网食品经营者进行实名登记,明确其食品安全管理责任;依法应当取得许可证的,还应当审查其许可证。

26. 指纹、人脸识别等认证技术的应用应有注意哪些事项?

律师解答:指纹、人脸识别等个人生物识别信息具有变更成本高、完全唯一的特征,也属于敏感个人信息,对于此类信息可参考《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》及相关法律法规、技术标准予以判断。

除了应当满足敏感个人信息通常要求,如基本的告知-同意并获得单独同意外,还应当满足以下要求:

(1) 收集、使用此类生物识别信息应当具有充分的必要性,例如系应用于金融系统的平台身份验证,或者应用于严格保密机关的身份核验等;

(2) 收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意;

(3) 信息处理者应仅收集和使用摘要信息,避免收集其原始信息;

(4) 不能以与其他授权捆绑等方式要求自然人同意处理其人脸信息的;

(5) 个人生物识别信息应与个人身份信息分开存储,并且严格加密;

(6) 信息处理者不能采用格式条款形式与自然人订立合同,要求自然人授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利;

(7) 个人生物识别信息原则上不应共享、转让。因业务需要,确需共享、转让的,应单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等,并征得个人信息主体的明示同意。 

七、个性化推送

27. 用户可以选择拒绝个性化推送么?

律师解答:可以。根据《个保法》第二十四条第二款:“通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。”《互联网信息服务算法推荐管理规定》第十七条:“算法推荐服务提供者应当向用户提供不针对其个人特征的选项,或者向用户提供便捷的关闭算法推荐服务的选项。用户选择关闭算法推荐服务的,算法推荐服务提供者应当立即停止提供相关服务。算法推荐服务提供者应当向用户提供选择或者删除用于算法推荐服务的针对其个人特征的用户标签的功能。”

28. APP使用大数据和推荐算法要注意哪些问题?

律师解答:

(1) 根据《互联网信息服务算法推荐管理规定》第六条,大数据及推荐算法内容要安全、合法,不得传播违法或不良信息。 

(2) 根据《互联网信息服务算法推荐管理规定》第七条,落实算法安全主体责任,建立健全算法机制。

(3) 根据《互联网信息服务算法推荐管理规定》第十八条、第十九条,算法推荐应当对特殊人群设立特别保护。设定未成年模式,同时保护老年人合法权益及提供智能化适老服务老人。

(4) 根据《个人信息保护法》第二十四条、《互联网信息服务算法推荐管理规定》第十八条、第十九条规定,算法禁止大数据杀熟,算法应当保护消费者公平交易的权利,不得根据消费者的偏好、交易习惯等特征,利用算法在交易价格等交易条件上实施不合理的差别待遇等违法行为。

29. 仅根据单一的设备ID进行内容推荐的行为是否属于个性化推荐?

律师解答:按照个性化推进的定义来看,通过单一设备ID进行内容推荐的行为是符合该定义的。

30. 基于特定标签信息在特定场景向特定人群发送问卷的行为属于算法推荐?

律师解答:我们认为属于。特定标签信息系基于对用户信息的收集、处理、加工后的用户描述,如果个人信息处理者只是设定函数,明确在何种特定场景向何类具有特定标签信息的特定人群发送问卷,算法自行在用户库中选择具有此类特征的特定用户发送问卷,并向个人信息处理者反馈结果,则应当认为属于算法推荐。

31. 企业在向用户发送营销信息前,是否要获得用户的单独同意?

律师解答:需要。根据《个保法》的规定,基于个人同意处理个人信息的,应当由个人在充分知情的情况下自愿明确作出该同意。但是在实践中,平台多数通过隐私协议或服务规则,采取一揽子式的非单独同意的授权方式,在用户注册或者开通会员时,其平台协议已含有相关内容,这导致用户不得不勾选同意以获取正常服务。在这种情况下,一旦用户开通服务,就会被认为是允许或者默认接收营销短信息。

八、第三方接入

32. SDK和App之间的关系是什么?

律师解答:根据《网络安全标准实践指南—移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》》规定, SDK是APP内嵌的第三方开发组件,从App个人信息安全的角度来看,原则上App提供者是App个人信息控制者及保护用户个人信息安全的首要责任人,SDK提供者按照App使用SDK的不同方式承担相应的个人信息安全责任。具体而言:

a)当App使用的是嵌入SDK,或App提供方与SDK提供方是同一方时,由App提供方承担保护个人信息安全责任;

b)当App提供者委托SDK提供者处理个人信息,或SDK提供者按照App提供者的指导或要求,代表App提供者处理个人信息的,App提供者承担个人信息安全责任、SDK提供者需配合App提供者履行相关责任;

c)如果App提供者和SDK提供者均是以单独身份向App用户提供服务,且均自行决定处理数据的目的与方式时;App提供者和SDK提供者是个人信息共同控制者,需通过合同等形式约定各自承担的责任。如存在侵害个人信息权益,应承担连带责任。

33. SDK和API的关系是什么?

律师解答:有观点认为,SDK包含API。API是 “应用程序编程接口”,方便API的使用者随时调用数据,而SDK作为软件工具包,包含各类功能,通常亦包含此类功能。

34. 在接入SDK服务时有什么注意事项?

律师解答:作为网络运营者,在接入SDK服务时应当根据《APP违法违规收集使用个人信息行为认定方法》相关规定,APP应当逐一列出APP(包括委托的第三方或嵌入的第三方代码、插件,收集使用个人信息的目的、方式、范围等,否则会被认定为“未明示收集使用个人信息的目的、方式和范围”,因而侵犯公民个人信息权益。

另外建议APP与SDK之间明确责任划分,如果可以尽量以协议模式明确责任承担。

除此以外,建议网络运营者向个人信息主体明确SDK的身份。根据推荐性标准《信息安全技术 个人信息安全规范》个人信息控制者应当向个人信息主体明确告知第三方身份,如果未向个人信息主体明确告知第三方身份,以及在个人信息安全方面自身和第三方应分别承担的责任和义务,个人信息控制者应承担因第三方引起的个人信息安全责任。

九、特别主体的合规要求

35. APP适老化及无障碍改造有哪些改造要点?

律师解答:根据国务院办公厅印发的《关于切实解决老年人运用智能技术困难的实施方案》、《工业和信息化部关于印发<互联网应用适老化及无障碍改造专项行动方案>的通知》、《移动互联网应用(APP)适老化通用设计规范》和国家标准GB/T 37668-2019《信息技术 互联网内容无障碍可访问性技术要求与测试方法》,APP适老化及无障碍改造的要点主要是:

(1) 界面操作易感知,例如字号大小、行间距、对比度、颜色等选择适合老人使用习惯的界面,另外结合声音、文字等综合手段为老人打造操作方便的界面模式;

(2) 可操作性改造,增大老年用户屏幕的组件焦点、简化手势操作难度、为其预留更加充足的操作时间;

(3) 安全性角度,禁止适老版界面、单独的适老版APP中出现广告内容及插件,也不能随机出现广告或临时性的广告弹窗;禁止诱导类按键,移动应用程序中无诱导下载、诱导付款等诱导式按键,并保障老年用户个人信息安全;

(4) 其他还包括:提供一键操作、文本输入提示等多种无障碍功能;提升方言识别能力,方便不会普通话的老人使用智能设备。

36. APP针对儿童个人信息保护需要注意哪些合规要点?

律师解答:根据国家互联网信息办公室发布《儿童个人信息网络保护规定》,网络运营者网络运营者收集、存储、使用、转移、披露儿童个人信息的,应当遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则,除此以外需要注意以下合规要点:

(1) 设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护。

(2) 应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意。

a) 网络运营者征得同意时,应当同时提供拒绝选项,并明确告知:

b) 收集、存储、使用、转移、披露儿童个人信息的目的、方式和范围;

c) 儿童个人信息存储的地点、期限和到期后的处理方式;

d) 儿童个人信息的安全保障措施;

e) 拒绝的后果;

f) 投诉、举报的渠道和方式;

g) 更正、删除儿童个人信息的途径和方法;

h) 其他应当告知的事项。

(3) 前款规定的告知事项发生实质性变化的,应当再次征得儿童监护人的同意。

(4) 不得收集与其提供的服务无关的儿童个人信息,不得违反法律、行政法规的规定和双方的约定收集儿童个人信息,存储儿童个人信息不得超过实现其收集、使用目的所必需的期限。

(5) 应当采取加密等措施存储儿童个人信息,确保信息安全。

(6) 对其工作人员应当以最小授权为原则,严格设定信息访问权限,控制儿童个人信息知悉范围。工作人员访问儿童个人信息的,应当经过儿童个人信息保护负责人或者其授权的管理人员审批,记录访问情况,并采取技术措施,避免违法复制、下载儿童个人信息。

(7) 委托第三方处理儿童个人信息的,应当加强对第三方的管理、评估,并与其签订委托协议。

(8) 网络运营者不得披露儿童个人信息,但法律、行政法规规定应当披露或者根据与儿童监护人的约定可以披露的除外。

(9) 对儿童或者其监护人要求网络运营者予以更正、删除的请求及时采取措施。

(10) 网络运营者发现儿童个人信息发生或者可能发生泄露、毁损、丢失的,应当立即启动应急预案,采取补救措施;造成或者可能造成严重后果的,应当立即向有关主管部门报告,并将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的儿童及其监护人,难以逐一告知的,应当采取合理、有效的方式发布相关警示信息。

(11) 网络运营者停止运营产品或者服务的,应当立即停止收集儿童个人信息的活动,删除其持有的儿童个人信息,并将停止运营的通知及时告知儿童监护人。

十、个人信息的范围

37. APP运营企业目前需要特别注意哪些规则与标准?

律师解答:包括但不限于:

(1) 《网络安全审查办法》

(2) 《电信和互联网行业数据安全标准体系建设指南》

(3) 《车联网网络安全和数据安全标准体系建设指南》

(4) 《基础电信企业重要数据识别指南》2019-0217T-YDCCSA

(5) 《信息安全技术个人信息安全规范》(GB/T35273–2020)

(6) 《数据出境安全评估办法》

(7) 《金融数据安全数据安全分级指南》(JR/T0197–2020)

(8) 《金融数据安全数据生命周期安全规范》(JR/T0223–2021)

(9) 《证券期货业数据分类分级指引》(JR/T0158-2018)

(10) 《汽车数据安全管理若干规定(试行)》

(11) 《工业和信息化部关于加强车联网网络安全和数据安全工作的通知(工信部网安〔2021〕134号)》

(12) 《国家健康医疗大数据标准、安全和服务管理办法(试行)》

(13) 《信息安全技术健康医疗数据安全指南》

(14) 《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》

(15) 《网络安全标准实践指南—移动互联网应用程序(App)系统权限申请使用指南》

(16) 《网络安全标准实践指南——移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》

(17) 《基础电信企业数据分类分级方法》

(18) 《基础电信企业重要数据识别指南》

(19) 《电信网和互联网数据安全评估规范》

(20) 《电信网和互联网数据安全通用要求》

38. 个人信息和敏感个人信息的定义和范围是哪些?

律师解答:根据《个人信息保护法》规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。

敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。

39. 必要个人信息如何理解?

律师解答:根据《关于印发<常见类型移动互联网应用程序必要个人信息范围规定>的通知》第三条规定,必要个人信息是指保障App基本功能服务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务。

40. 系统权限的申请和使用要求

律师解答:参考《网络安全标准实践指南—移动互联网应用程序(App)系统权限申请使用指南》来看,系统权限的申请和使用分别应当遵循以下原则与要求:

(1) 权限申请应当遵循最小必要原则、用户可知原则、不强制不捆绑原则、动态申请原则,具体要求为:

a) 权限申请应满足“最小必要”原则,与业务功能无关的系统权限不向操作系统声明;

b)申请权限时应同步告知权限申请目的,目的应明确且易于理解,不包含广告及任何欺诈、诱骗、误导用户授权的描述。

c) App(包括嵌入的SDK)申请所需权限,应在声明文件中严格按照格式规范逐个声明。

d)如仅需使用权限组中部分权限,不应在权限声明文件中声明同一权限组其他权限。

e) 如用户拒绝或撤回授予某服务类型非必要系统权限,App不应强制退出或关闭,且不影响与此权限无关的业务功能使用。

f) 如用户明确拒绝App业务功能所需权限,App不应频繁申请系统权限干扰用户正常使用,除非由用户主动触发功能,且没有该权限参与此业务功能无法实现。“频繁”的形式包括但不限于:

i. 单个场景在用户拒绝权限后,48小时内弹窗提示用户打开系统权限的次数超过1次;

ii. 每次重新打开App或使用某一业务功能时,都会向用户索要或提示用户缺少相关系统权限。

g)除仅用于安全风控场景外,App不应收集不可变更的唯一设备识别码(如IMEI、MAC地址)。

h)定向推送和用户画像场景下标识用户时,应使用可重置的标识符,且标识符不与可识别用户身份信息或不可变更的唯一设备识别码关联。

i) 如App业务功能所需的权限被用户拒绝且选择禁止后不再提示,当用户再次使用此功能时,宜以不干扰用户的方式(如文字提示)引导用户到系统设置中去开启所需权限。

j) App应尊重用户的权限设置,不应欺骗或强迫用户同意不必要的数据访问,若有可能宜为拒绝授权的用户提供替代解决方案。

k)内嵌第三方SDK的App,宜要求SDK向App明示申请的系统权限及申请目的。

l) App宜对内嵌第三方SDK申请使用权限进行审核,确保其申请的权限有业务功能场景对应,且不超过约定的范围。

(2) 权限使用应当遵循一致性原则、不扩散原则、访问显性化原则,具体使用要求包括:

a) 权限申请获得授权后,App应仅访问满足业务功能需要的最少个人信息,不应读取其他日期的日程。

b)权限申请后自动采集个人信息的频率应在实现App业务功能所必需的最低合理频率范围内。

c) App不应未经用户同意更改其设置的系统权限授权状态,如App更新时自动将用户设置的权限恢复到默认状态。

d)若系统权限申请目的、使用场景发生变化,应重新告知用户。

e) 当App对外提供的接口涉及个人信息,且操作系统定义的权限无法达到目的时,App应通过自定义权限对访问个人信息的对外交互组件设置合理的访问权限。

f) App自定义权限应严格按照操作系统权限要求定义和命名,确保完整、清晰、准确,并为权限配置合理的保护级别。

g)以下操作应由用户主动触发,并在用户知情情况下执行:

i. 执行拨打电话、发送短信等操作;

ii. 打开或关闭Wi-Fi、蓝牙、GPS等;

iii. 拍摄、录音、截屏、录屏等;

iv. 读写用户短信、联系人等个人信息。

v. 不应隐蔽收集个人信息,当录音、拍摄、录屏、定位等敏感功

vi. 能在后台执行时,应采用显著方式(如图标闪烁、状态栏提示、自定

vii. 义提示条等)提示用户。

i)不应在用户不知情或未授权的情况下,通过隐蔽方式读取并上传剪切板中包含的个人信息和公共存储区中的个人信息。

j) 如操作系统支持,App申请相机、位置、麦克风等可收集个人敏感信息的权限宜提供用户选择临时单次授权。

k)提供小程序接入平台的App,宜要求小程序向接入平台说明申请的系统权限及申请目的。

l) 提供小程序接入平台的App应为小程序提供权限管理的功能,小程序应允许用户关闭或撤回对小程序可收集个人信息权限的授权。

41. 设备信息主要关注哪些,收集应注意什么?

师解答:《信息安全技术 个人信息安全规范》中附录A列举的设备信息,包括指包括硬件序列号、设备 MAC 地址、软件列表、唯一设备识别码(如IMEI/Android ID/IDFA/OpenUDID/GUID/SIM 卡 IMSI 信息等)等在内的描述个人常用设备基本情况的信息,对于不可变更的唯一设备识别码,APP不应收集。定向推送信息和用户画像场景采用唯一设备识别码标识用户时,应使用可变更的唯一设备识别码,且不应将其与用户身份信息或不可变更的唯一设备识别码关联,并且应控制收集频率。

42. 剪切板、传感器怎样合规使用?

律师解答:剪切板和传感器的用户感知可能不明显,较容易被忽略,如果确实需要收集处理的,应注意在合理场景满足最小必要原则(包括控制收集频率、范围、精度等),同时需要在隐私政策中进行声明。

十一、自启与关联启动

43. 用户使用本地应用微信登陆某App平台,拉起了本地应用微信。此时,向微信共享用户信息的主体是用户个人还是App平台?

律师解答:个人认为应当是微信基于用户授权向APP共享数据,即用户在使用某APP平台时,用户选择使用微信登陆,因此拉起本地应用微信,微信基于用户许可向APP提供用户的头像、微信昵称、注册手机号码以及好友列表等信息。

相关研究