查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
给APP运营者支招:一文梳理移动互联网应用程序(App)收集使用个人信息自评估指南
【作者】 王渝伟;喻劼【合作机构】 北京市观韬中茂律师事务所
【中文关键词】 APP运营者;个人信息【主题分类】 0025
【摘要】 全国信息安全标准化技术委员会于2020年7月22日发布了《移动互联网应用程序(App)收集使用个人信息自评估指南》(下称“自评估指南”)。本文围绕着自评估指南中的要点,结合相应案例,对相关法律进行分析,以期为运营者完善个人信息保护工作、应对有关部门监管提供法律建议。
【发布时间】 2020.09.24
【全文】法宝引证码CLI.A.239422    
  

  为期一年的四部委[1]App违法违规收集使用个人信息专项治理行动(下称“专项行动”)在2020年初取得了阶段性成果[2]。此次专项行动执法范围之广、力度之强,在政府部门针对个人信息保护的行政管理历史上均属罕见。专项行动体现出国家对于个人信息保护的强烈决心,同时,广大用户的积极参与也反映出用户对于个人信息保护的迫切需求。

  参与专项治理行动的四部委各自依据网络安全法对相关违法违规App采取了系列执法行动:工信部从2019年12月19日开始到2020年8月31日已经连续多月对涉及侵害用户个人信息等权益的App进行通报整改并对其中未予整改的部分App采取了全网下架的处罚;公安部更是在2019年年底重拳出击,重点针对App无隐私协议、收集使用个人信息范围描述不清、超范围采集个人信息和非必要采集个人信息等情形,对27款App责令限期整改,对63款App的运营单位处以警告处罚,对10款App的运营单位处以罚款处罚,另有2起App违法违规案件被立为刑事案件开展侦查。同时,公安部要求100款App下架整改,其中不乏头部金融机构和互联网企业运营的App;网信部门除采取通告整改之外,还对有关App采取了频道停更等措施,从以往的执法案例来看,此类措施对App运营将造成较大影响。虽然到目前为止,行政执法部门对于违法违规的App运营者还是主要采取警告、罚款等相对较轻的行政处罚措施,但是按照网络安全法第六十四条[3]的规定,行政执法部门可以处以违法所得一倍以上十倍以下罚款,对于情节严重的,甚至可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

  在专项行动取得了阶段性成果的同时,对于个人信息使用监管常态化的呼声也水涨船高。执法力度的整体增强,势必将对App运营者们提出更高的管理要求;与此同时,运营者们也急需一份明确的合规指引,以评估自身的操作实践与合规风险。

  在这样的背景下,全国信息安全标准化技术委员会于2020年7月22日发布了《移动互联网应用程序(App)收集使用个人信息自评估指南》(下称“自评估指南”)。自评估指南在四部委2019年11月制定的《App违法违规收集使用个人信息行为认定方法》(国信办秘字【2019】191号,下称“认定方法”)基础上,进一步为企业通过App程序合理合法地使用用户个人信息提出了自查建议。综合而言,自评估指南对认定方法中的执法要点进行了进一步的细化和梳理,其反映的问题与建议极具实务性,对于执法者开展执法工作和运营者开展运营活动,均具有较高的参考意义。同时,自评估指南关注的每一项要点都能对应网络安全法的具体条文,这就意味着评估要点将成为App运营者评估自身行为是否违法以及判断是否会受到行政处罚的重要依据。如果说认定方法是一位严师,告诉运营者什么事情不能做,那么自评估指南就是一位挚友,为运营者开展管理工作出谋划策。

  因此,我们特撰写此文,围绕着自评估指南中的要点,结合相应案例,对相关法律进行分析,以期为运营者完善个人信息保护工作、应对有关部门监管提供法律建议。

  评估点一:

  是否公开收集使用个人信息的规则

  评估点一的核心是运营者应当如何合规地将隐私政策等规则呈现给用户。对此,自评估指南对收集使用规则的评估重点未放在对文本内容本身的规范,而将关注点聚焦于呈现规则的形式。自评估指南列举了五个评估要点,包括:是否公开隐私政策等收集使用规则;是否提示用户阅读隐私政策等收集使用规则;隐私政策等收集使用规则是否易于访问;隐私政策等收集使用规则是否易于阅读;以及公开的收集使用规则是否完整。在公安部通报的典型案例中,“健康天津”App的运营单位就因涉嫌无隐私协议收集用户位置信息的违法违规行为被天津市公安局武清分局网安支队处以行政警告并责令限期整改。

  对于此评估点,自评估指南中较有借鉴意义的建议有:

  1.  认定方法中对于首次运行App可以采用的隐私政策展示形式仅描述为“弹窗等”形式。自评估指南对其他形式进行了建议,对于以“文本链接”、“附件”、“常见问题(FAQs)”等方式展示隐私政策均给予了肯定;

  2.  认定方法规定,“需多于4次点击等操作”才能访问到的收集使用规则的,将被视为难以访问。自评估指南给出了一种具有可操作性的合规实施方案:例如通过“我--设置--关于”或者“我的--设置--隐私”等用户熟悉路径展示隐私政策,不频繁变更展示隐私政策的路径。

  3.  对于保证文本易读性的要求,自评估指南建议,运营者可以采用与App内其他文本相同的样式来展示隐私政策文本。不接我们电话 也不给拒接原因

  评估点二:

  是否明示收集使用个人信息的目的、方式和范围

  评估点二对应认定方法中的四项违规行为,规定了四个评估要点,包括:是否逐一列出收集使用个人信息的目的、方式、范围;收集使用个人信息的目的、方式、范围发生变化时是否通知用户;是否同步告知申请打开权限和要求提供个人敏感信息的目的;以及收集使用规则是否易于理解。在公安部通报的典型案例中,“折疯了海淘”App就因未明示数据采集用途,涉嫌违规收集用户信息被杭州市公安局西湖分局立案调查,其运营单位“杭州橙子信息科技有限公司”最终被处以行政警告并责令限期整改。

  评估点二虽然涉及到了展示的内


  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
【注释】 [1] “四部委”分别为:国家互联网信息办公室、工业和信息化部、公安部与国家市场监督管理总局。 [2] 根据App专项治理工作组的统计,在专项行动期间,工信部对236款App运营者下发整改通知书,公开通报56款App,下架3款App;公安部检测评估了3.1万余款App,累计调查核查相关违法违规线索3129条,依法整改2090款App,依法查处1121款App,集中曝光100款存在违法违规使用个人信息行为的App;市场监管总局立案查处各类侵害消费者个人信息案件1474件,查获涉案信息369万余条,罚没款1946万余元,组织执法联动4225次,开展行政约谈3526次。 [3]《中华人民共和国网络安全法》第六十四条 网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对开弓没有回头箭
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
扫码阅读
本篇【法宝引证码CLI.A.239422      关注法宝动态:  

热门视频更多