App专项治理工作组 中国信息通信研究院安全所 葛鑫
近年来,全社会高度关注个人信息安全问题,国家高度重视个人信息保护工作。根据CNNIC第43次《中国互联网络发展状况统计报告》显示,截至2018年12月,我国手机网民规模达8.17亿,网民中使用手机上网的比例高达98.6%,我国市场上监测到在架移动互联网应用程序(App)数量高达449万款,规范App个人信息收集与使用活动已经成为当前我国个人信息保护工作的重要方面。与此同时,App违法违规收集使用个人信息的问题仍十分突出,强制授权、过度索权、超范围收集个人信息的现象大量存在,广大网民对此反映强烈。
为切实治理App个人信息保护方面存在的乱象,2019年1月25日,中央网信办、工信部、公安部、市场监管总局等四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》(以下简称《公告》),决定自2019年1月至12月,从倡导App运营者严格依法履行个人信息保护义务、组织App隐私政策和个人信息收集使用情况评估、加大对违法违规行为的监管处罚力度、打击整治网络侵犯公民个人信息违法犯罪、建立实施App个人信息安全认证制度等方面开展App违法违规收集使用个人信息专项治理。
为落实《公告》相关部署,受四部门委托,全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立App违法违规收集使用个人信息专项治理工作组(以下简称“App专项治理工作组”)。App专项治理工作组成立以来,围绕着专项治理的行动要求,从推动App违法违规收集使用个人信息评估工作、引导App运营者严格依法履行个人信息保护义务两个方面展开工作。本文也将从前述两个方面对App专项治理工作组的有关工作进展情况加以介绍。
一、推动App违法违规收集使用个人信息评估工作有序开展
在2019年内完成近千款用户数量大、与民众生活密切相关的App隐私政策和个人信息收集使用情况的评估工作是此次专项行动的重要内容,App专项治理工作组自成立以来,结合评估工作的特点,从明确评估依据、确定评估对象、保证评估工作的科学性与公正性等方面考量,具体推动App违法违规收集使用个人信息评估工作。
(一)编制评估技术规范文件,明确评估依据
虽然我国《网络安全法》、《消费者权益保护法》、《电信和互联网用户个人信息保护规定》等法律法规、《信息安全技术 个人信息安全规范》等国家标准都明确提出了个人信息保护要求,但立足于App违法违规收集使用个人信息评估工作的具体需求,还需要对前述法律法规、国家标准中的要求进行针对性细化,明确评估依据和标准。因此,App专项治理工作组在多方征求意见的基础上编制了“大众化应用基本业务功能及必要信息规范”、“App违法违规收集使用个人信息评估要点和操作规程”等技术规范文件。
其中,“大众化应用基本业务功能及必要信息规范”针对用户数量大、与民众生活密切相关的App类型,分别结合各类App业务功能明确可收集使用的必要信息的范围,包括App实现业务功能相关的必要信息以及App通用功能相关的必要信息两大类必要信息。目前,该规范已经完成了十余类App的必要信息规范的编制,涵盖地图导航、网络约车、即时通讯、社区社交、网络支付等App类别,并将持续丰富扩充。“App违法违规收集使用个人信息评估要点和操作规程”在主要内容方面与已经公开发布的“App违法违规收集使用个人信息自评估指南”一致(具体内容分析见下文),但其主要是用于评估机构具体开始评估工作,便于统一评估要点和评估标准。
(二)设立举报渠道,确定待评估对象
广大网民是App违法违规收集使用个人信息行为的最直接受害者,为使评估工作能尽可能反馈广大网民呼声,App专项治理工作组设立了“App个人信息举报”微信公众号和专用举报邮箱(pip@tc260.org.cn)两种举报渠道,便利广大网民提供App违法违规收集使用个人信息行为的相关线索。
在收到广大网民相关举报信息后,App专项治理工作组将对举报线索进行梳理,通过下载、安装、试用等方式进行核实,对于问题反映集中、用户数量大、与民众生活密切相关的App,将被纳入评估对象。
(三)依托专业评估机构和行业专家,确保评估的科学性和公正性
对App隐私政策和个人信息收集使用情况进行评估属于兼具专业性和复杂性的工作,为保证评估工作的科学性和公正性,需要依托专业评估机构开展评估,并在评估工作中充分发挥专家作用。针对专业评估机构,App专项治理工作组综合考虑机构人员规模、技术实力、测评经验、管理水平等因素,向四部门提出承担评估任务的评估机构建议名单,进行统一培训后委托评估机构根据法律法规、国家标准和前述评估技术规范文件,通过文本核查、试用验证、技术测试等方式开展评估,并出具评估报告。同时,App专项治理工作组还综合考虑专业背景、业务素养、实践经验、职业道德等因素,向四部门提出专项治理专家建议名单,由专家对评估工作中出现的重点疑难问题出具专家意见。最后,为确保评估工作的中立性,App专项治理工作组对专业评估机构和专家均实行动态管理,一旦发现评估机构或专家存在违背评估工作公正性等利益冲突情形,将进行相应处理。
针对评估机构报送的评估结果,App专项治理工作组将会进行统一核查,梳理其中反映的App收集使用个人信息的违法违规情况,并酌情在“App个人信息举报”微信公众号等渠道公开相关评估结果。同时,App专项治理工作组还会将相应评估结果情况报送四部门,为四部门进一步开展执法监管行动提供线索。
二、编制、发布“App违法违规收集使用个人信息自评估指南”,为App运营者开展自查自纠提供细化指引
App运营者自律是个人信息保护的重要内容。《公告》便倡导App运营者在收集使用个人信息时,严格履行《网络安全法》规定的责任义务,对收集的个人信息安全负责,采取有效措施加强个人信息保护。对此,App专项治理工作组结合《网络安全法》等法律法规、《信息安全技术 个人信息安全规范》等国家标准、“大众化应用基本业务功能及必要信息规范”等技术规范中的有关要求,在“App违法违规收集使用个人信息自评估指南”(以下简称“App自评估指南”)中,从隐私政策文本、App收集使用个人信息行为、App运营者对用户权利的保障三个方面出发,落实为9个评估项和32个评估要点,便于App运营者参照指南对其收集使用个人信息的情况进行自查自纠,主动提升个人信息保护水平
(一)隐私政策文本的自评估要求
隐私政策(privacy policy)源于对英文的直译,虽然以隐私命名,但在实践中普遍被App运营者用于向用户说明其个人信息收集、保存、使用、共享、转让等处理行为,实际上构成个人信息保护规则。《网络安全法》第41条明确要求网络运营者公开个人信息收集、使用规则,构成对用户和监管机构的个人信息处理规则的公开承诺。针对隐私政策文本,“自评估指南”要求App运营者应确保其隐私政策具备独立性与易读性,清晰说明各项业务功能及所收集的个人信息类型、个人信息处理规则及用户权益保障内容,并且不应在隐私政策等相关文件中设置免除自身责任、加重用户责任、排除用户主要权利等不合理条款。
(二)App收集使用个人信息行为的自评估要求
与此前中央网信办、工信部、公安部、国家标准委等四部委联合开展个人信息保护提升之隐私条款专项工作不同,此次App违法违规收集使用个人信息评估工作不再局限于隐私条款的文本评审,而且还会对App实际的个人信息收集使用行为进行评估。“自评估指南”也对App在实际收集、使用个人信息等环节细化了合规要求。首先,App运营者应当在收集环节(如用户安装、注册、首次开启App时)向用户明示个人信息收集、使用的目的、方式和范围,尤其是对Cookie及同类技术的使用、第三方代码或插件的嵌入等情况。其次,App运营者在收集使用个人信息时应当经用户自主选择同意,不得通过强制捆绑等方式征求用户授权,尤其是通过捆绑多项业务功能的方式,要求用户一次性接受并授权多项业务功能收集个人信息的请求。最后,App运营者收集个人信息应当满足必要性要求:一方面,App运营者实际收集的个人信息类型不应超出隐私政策所述范围;另一方面,App运营者在超出必要信息范围之外收集与业务功能相关的个人信息时,应当向用户明示所收集的个人信息目的并经用户自主选择同意,不得收集与业务功能无关的个人信息。
(三)App运营者对用户权利保障的自评估要求
个人信息可以识别自然人身份的信息,包含着信息主体的人格尊严和自由价值、商业价值、公共管理价值,为信息主体提供全面的权利保障是App运营者个人信息保护要求的应有之义。针对App运营者对用户权利保障方面,“自评估指南”中对App运营者是否支持用户注销账号、更正或删除个人信息,是否能及时反馈用户申诉等提出要求,要求App运营者应为用户提供注销账号的途径,并在用户注销账户后及时删除其个人信息或进行匿名化处理,原则上应在15天内对用户的申诉回复处理意见或结果。
三、展望
当前我国App种类和数量迅猛增长,涵盖与民众工作生活密切相关的各个领域。App在促进经济社会发展、服务民生等方面发挥了不可替代的作用,但其违法违规使用个人信息的问题也十分突出,这使得App个人信息收集使用问题成为个人信息保护治理工作中的基础性问题。相较于以往的个人信息保护行动,此次四部门联合开展专项治理行动呈现出参评App范围更广、评估更为深入、治理体系更加体系化的特点,也是对我国个人信息保护治理方面的一次有益尝试和创新,期待此次专项行动能够进一步督促App运营者切实负起个人信息保护的责任,助力我国个人信息保护水平迈上新台阶。
(本文刊登于《中国信息安全》杂志2019年第4期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
