为指导App运营者对其收集使用个人信息的情况进行自查自纠,2019年3月App专项治理工作组发布了《App违法违规收集使用个人信息自评估指南》。随着App违法违规收集使用个人信息评估工作的开展和深入,以及《App违法违规收集使用个人信息行为认定方法》(以下简称“《认定方法》”)发布,国标GB/T 35273-2020《信息安全技术 个人信息安全规范》(以下简称“《规范》”)的修订,编制组结合各方经验及反馈,及时对指南进行了修订。在2020年3月对外发布《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南(征求意见稿)》公开征求意见,并于7月发布了最新版《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》(以下简称“新版《指南》”)。

围绕《App违法违规收集使用个人信息行为认定方法》(以下简称“《认定方法》”)中六类违法违规行为,新版《指南》进行逐条解读、细化。从结构而言,删减了《征求意见稿》中每个评估点的法律依据,行文更简洁实用;在内容上,更广泛的引入了相关法律法规、标准规范的要求,将六个评估点细化为71个条款,且多处以注的形式补充了App个人信息保护合规路径及其违法违规典型问题,有助于App运营者透过表象深入理解法律法规、标准规范要求,便于其在自评估时有的放矢查找问题;从细节改动来看,文字更简练准确,要求更贴近实际应用,充分体现了个人信息保护与用户良好体验相结合的编制思路。

一、以法律法规标准规范为依据,关注一致性

2019年国家多部门在开展针对违法违规收集使用个人信息的治理行动中,为规范个人信息的收集使用,发布了多份个人信息保护的技术文件。新版《指南》根据新发布和修订的法律法规及标准规范进行了内容增修。

随着数字经济的发展,儿童个人信息正遭遇多种泄露风险。欧盟《通用数据保护条例》也明确提出儿童的个人数据应该受到特殊保护。我国2019年8月发布首部未成年人数据保护专门法《儿童个人信息网络保护规定》。对应其第八条“网络运营者应当设置专门的儿童个人信息保护规则和用户协议”的规定,新版《指南》对存在涉及收集使用儿童个人信息相关业务功能的App增加1.1d)“制定针对儿童的个人信息保护规则”的要求。

针对App中嵌入的第三方应用等收集个人信息的情况,对应于《规范》9.7中增加的第三方接入管理要求,评估点五将向他人提供个人信息情形细分为App直接向第三方发送、后台向第三方发送和接入的第三方应用收集个人信息几种方式,明确App运营者需向用户明示产品或服务嵌入的第三方应用,且第三方应用收集行为需获得用户授权的要求。

对于不同文件对同一评估点存在差异的情形,新版《指南》有针对性地提出了自评估建议。如4.3c)对非正当方式强迫收集用户个人信息的场景中结合《认定》方法第四类行为第五款中“定向推送信息”和《规范》5.3f)中“增强安全性”的要求,建议此二场景下均不强制要求用户同意收集个人信息;再如对于上述两个文件对响应用户查询、更正、删除个人信息和受理用户个人信息安全投诉、举报时限不一致,6.2b)、6.3b)采用了《认定方法》的要求,即响应和处理的时限不得超过15个工作日。可见在《规范》提出的个人信息保护基线要求之上,App作为更加注重与用户交互的服务方式,适合进一步选择更加有利于用户体验的响应机制。

此外,新版《指南》直接引用《规范》中相关要求作为参考,既避免重复又将二者紧密的结合起来。6.1c)中删除“提供额外的个人敏感信息用于身份验证注销过程”为不合理注销账号条件的描述,既是对《规范》的8.5 c)、e)关于注销身份核验时收集个人信息条件的呼应,也体现了对于注销账户这类对用户权益影响较大的操作,在要求企业满足用户行使个人信息权利的同时考虑到企业为保障用户权益、避免纠纷等合理诉求的编制思路。

二、引入标注举例,加深运营者对本质要求的理解

《指南》的可以看做是细化和解读法律法规和标准规范的要求,以供App运营者自评估参考使用。此版本重点对之前版本添加了扩展说明,同时以“注”的方式引入运营者在个人信息保护上的最佳实践及App典型违规应用场景描述,增加了《指南》的实用性。

对需在“常规交互界面”展示隐私政策链接的要求,存在范围不明容易引起歧义的问题,新版《指南》1.3b)将“常规交互界面”改为“固定路径”,并注明固定路径即是指“我--设置--关于”或者“我的--设置--隐私”等用户熟悉的页面跳转路径,精确表达了隐私政策易于查找的含义。

2019年专项治理工作中发现多款App有“频繁征求用户同意、干扰用户正常使用”的违规行为,运营者常常困惑于如何理解此要求的具体频次和应用场景,新版《指南》3.3 a)、b)描述了App频繁征求用户意见的具体表现,同时通过标注举例说明“为支持App正常运行”等情形下,用户主动选择使用的某一具体功能触发征得同意的动作,不属于频繁干扰行为。

为进一步明确收集个人信息前告知同意的合规要求,在3.1b)注中增加“用户作出同意前”这一场景描述,更准确地阐释了《认定方法》第三类行为第一款的含义,即App收集个人信息的前提不仅需要履行目的告知的义务,还要征得用户授权同意。此外鉴于App频繁更新的现状,新版《指南》通过3.5 b)注的补充说明,App更新时在何种情况下无需再次征求用户同意,揭示了个人信息保护的实质应真正从用户角度出发,做到应披露尽披露,该简单就简单,不搞形式主义,不做无用功。

三、调整评估点,突出个人信息保护和良好用户体验相结合

除新增评估点和引用实例外,新版《指南》还对部分评估点的要求和实例进行调整,一方面回应了用户诉求,兼顾使用的便利性,另一方面关注产业发展,增强了企业实践的可操作性。

《网络安全法》第四十一条确定了网络运营者有“公开收集、使用规则”的义务,但未对具体的形式和要求作出规定,因此独立的隐私政策是否为合规化的必然要求,一直为业界争论的焦点,也受到运营者广泛的关注。1.3c)将原来“隐私政策以单独成文的形式发布”的要求,调整为“如果因展示条件等特殊原因使用用户协议、用户须知等文件描述个人信息收集使用规则,则尽可能显著标识并以连续篇幅呈现”,即隐私政策是否单独制定发布可由运营者根据实际情况来决定。这一要求的弱化,增强了用户个性化展示隐私政策的自由度,回应了用户因文本协议过多带来的不良用户体验的诉求。

为确保运营者实践的可操作性和指南的普适性,6.2d)不再强调“同步”响应用户更正删除个人信息,而用后台“及时”执行操作即可。这种细节的修订既结合产业现状,降低了技术难度,又从实践角度提出了保障用户权益可行要求;同时3.1a)要求在收集个人信息前提供同意不同意选项时,以“自主作出”代替“主动选择”的用户授权行为描述,使得App在具体设置相应功能时有更多的灵活度和创新空间,提升了用户的使用体验。

四、回应媒体热议,以问题为导向,向运营者提出建议

个人信息安全相关事件频发,受到媒体和公众强烈关注,监管部门高度重视。App专项治理工作着重要解决广大网民反应强烈的违法违规使用个人信息的问题,新版《指南》在分析媒体热议问题违规行为本质基础上,对应《认定方法》六类行为提出评估点,为运营者收集使用个人信息合规化提出更全面的建议。针对近期媒体热议,用户关注的App自启动和高频次访问用户通讯录、相册等问题,4.4b)中明确在用户主动关闭App后,未经用户同意不采用自启动、关联启动方式收集个人信息。这一补充,相较之前App专项治理工作组通报的“收集用户个人信息的频度超出业务功能实际需要”问题上更进一步明确了超出合理频率收集个人信息的典型场景;同时,2019年3·15晚会上曝光的某款App私自截留用户个人信息的典型违规行为吸纳到4.4c)中。

新版《指南》体现了法律法规、标准规范对收集使用个人信息的新要求,与《认定方法》文件进行了严格对照统一,将为推动App违法违规使用个人信息行为的相关认定标准渐趋一致提供参考。同时,引入典型案例,深入浅出说明个人信息保护的关键点,对出现的新问题及时地作出回应,结合产业实践和用户诉求提出了建议。总的来看,作为《认定方法》的细化解读,新版《指南》紧密围绕当下App个人信息保护领域各方最迫切的需求,将为App运营者落实《网络安全法》等法律法规中关于个人信息保护的要求提供进一步的思路和参考。

(作者:中国网络安全审查技术与认证中心 樊华)

声明:本文来自App个人信息举报,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。