作者:刘新宇 卢佳宏

根据国家计算机网络应急技术处理协调中心与中国网络空间安全协会于2021年12月发布的《App违法违规收集使用个人信息监测分析报告》(以下简称“《报告》”),目前我国主流安卓应用商店在架App去重后总数为112万款。应用安装商城的信息展示界面显示多款头部App安装次数超过100亿次,可见,移动应用App已经成为人们日常生活中获取移动互联网服务的重要载体之一。

随着App的发展,各类App收集的个人信息规模逐渐增大,相应的个人信息安全隐患也逐渐显现。网信办、工信部等各类监管机构关于违法违规收集个人信息App的通报接踵而至,App运营者不仅面临被相关部门约谈、其所运营的App被下架等监管措施,还可能需要处理潜在负面舆情所带来的麻烦。故App运营者有必要提高对App个人信息保护问题的重视程度。结合《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)《App违法违规收集使用个人信息行为认定方法》(以下简称“《认定方法》”)等相关法律法规规定,及监管部门在开展App个人信息保护合规工作的过程中发现的主要问题,笔者建议App运营者着重关注以下合规要点,以保证App合法合规。

一、告知个人信息主体处理行为并取得同意

《个人信息保护法》第十七条规定个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人信息主体告知个人信息处理者的名称或者姓名和联系方式;个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;个人信息主体行使本法规定权利的方式和程序等内容。就App而言,告知个人信息主体的义务通常是通过个人信息保护政策落实。实践中,仍有个别企业并未制定个人信息保护政策。根据《报告》统计数据,2021年尚有6.7%的App没有隐私政策,结合我国主流安卓应用商店在架App的总量,这一数字仍相当可观,此类App运营者应当及时针对该问题进行整改。

同时,即使已经制定了个人信息保护政策,也不意味着所有问题就都迎刃而解,实践中个人信息保护政策设置不规范的问题也是监管部门关注的重点。例如,《个人信息保护法》第十七条明确“个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。”故App运营者不仅应当制定个人信息保护政策,而且还需要将其公开以便查阅,尤其不能设置查阅的障碍,否则可能违反上述规定。就“便于查阅和保存”的具体标准,App运营者可以参考《认定方法》的相关规定。根据《认定方法》,为避免个人信息保护政策难以访问或难以阅读,App运营者至少应当做到两点:第一,个人信息主体进入App主界面后,访问到个人信息保护政策的操作不能多于四次点击;第二,个人信息保护政策的文字不应当过小过密、颜色过淡、模糊不清,或存在未提供简体中文版个人信息保护政策等情况。

除前述形式上的问题外,在内容上,个人信息保护政策亦应当满足《个人信息保护法》第十七条“以显著方式、清晰易懂的语言真实、准确、完整地向个人信息主体告知”的要求。例如,实践中有不少App运营者将其收集的个人信息种类与具体的使用方式及目的分拆进行列举,并未建立起对应的关系。该方式看似同时说明了“个人信息的处理目的、处理方式,处理的个人信息种类”,但是个人信息主体通过阅读这样的个人信息保护政策,很有可能仍然无法知悉每项个人信息的具体用途。此类个人信息保护政策就存在违反前述《个人信息保护法》规定的风险。

在完成告知个人信息主体的义务后,另一项义务就是取得处理个人信息的合法性基础,《个人信息保护法》第十三条规定了包括“取得个人的同意”在内的七项处理个人信息的合法性基础。在实践中,直接获取个人信息主体的同意是各类App最常选择的合法性基础,即通过在个人信息主体首次使用App时主动弹窗提示个人信息主体阅读个人信息保护政策并要求其勾选同意。但需要注意的是,在征求个人信息主体同意时应当避免采用默认勾选同意、登录即代表同意等默示方式获取个人信息主体同意,而应当确保个人信息主体以主动的行为完成“同意”的意思表示。然而,在部分情况下,App运营者亦可能存在较难获取个人信息主体同意的情形,此时,App运营者可以考虑适用《个人信息保护法》第十三条规定的“为订立、履行个人作为一方当事人的合同所必需”等其他合法性基础作为替代。

二、基于最小必要性处理个人信息

《个人信息保护法》第六条规定“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”故App在处理个人信息时不可以超出必要范围,须注意,此处的范围不仅是收集个人信息的类型,还包括收集的频率、处理的方式。详细而言,最小必要性主要体现在两个方面:

其一是种类上的必要性,例如,天气预报软件收集用户的地理位置信息对于实现其预报天气的目的具有一定的必要性,因为只有获取该项信息才能更准确并针对性地提供当地的天气情况预测。但如果天气预报软件(只有单一的天气预报功能)收集用户的通讯录信息就明显不符合《个人信息保护法》的最小必要性原则,因为即使不收集通讯录信息也不影响App为用户提供天气信息的预报服务,App运营者无法说明收集通讯录信息对于实现这一目的有何作用。

第二是程度上的必要性,仍以前述天气预报软件为例,该软件收集位置信息固然具有合理性,但是如果不对收集频率加以控制,仍可能存在收集非必要信息的风险。例如无论用户是否使用该款App,App都在后台采集用户的地理位置信息并不断进行更新,这就明显属于违反最小必要性原则的处理行为。

三、合规处理敏感个人信息

《个人信息保护法》第二十八条规定“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”例如,个人信息主体的人脸、指纹等信息都可能被认为是《个人信息保护法》下的敏感个人信息。在处理该部分个人信息时,App运营者须保证处理行为具有“特定的目的和充分的必要性”,且应当采取较之一般个人信息更为严格的保护措施(例如进行去标识化处理、加密存储等)。

同时需要注意,依照《个人信息保护法》的规定,App运营者在处理敏感个人信息时,需要取得个人信息主体的单独同意。实践中,部分App运营者可能会要求个人信息主体通过点击弹窗或者勾选单独的敏感个人信息处理规则等方式作出单独同意。鉴于“单独同意”亦属于“同意”的一种形式,如个别场景下取得单独同意存在困难或对用户体验的影响较大,App运营者亦可以考虑以《个人信息保护法》第十三条规定的其他合法性基础替代“取得单独同意”。

四、设置便捷的受理与处理机制

《个人信息保护法》第五十条规定“个人信息处理者应当建立便捷的个人行使权利的受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。”目前大多数App已经设置了此类机制,亦会公示注销账号的途径。但是仅有纸面上的制度与流程并不能保证App运营者完全符合法律法规的要求,制度与流程本身是否“便捷”,在实践中是否得到了落实与执行亦是值得关注的合规问题。在司法实践中,部分法院亦认为,如果个人信息处理者面对个别用户的权利请求未能及时予以响应,那么即使其已经制订了相对完整的受理与处理规则,也依然无法被认定为履行了《个人信息保护法》第五十条的义务。例如,App运营者以验证个人信息主体身份真实性作为提出权利请求的前提,但是并未告知具体的验证方式或渠道;或者公示了接受请求的电子邮箱,但是未及时查看用户的请求内容等,均可能被法院或监管部门认定为未履行法定义务。

在个人信息主体享有的各项权利中,对个人信息处理行为的知情权是一项相当重要的权利,一定程度上亦是行使其他权利的基础。监管部门对此也颇为重视,2022年7月,上海市通信管理局决定,将重点检查“在国内单一应用市场内下载量/安装量达500万次以上的APP应用(含快应用和小程序等新应用形态)”,其中检查的要点之一就是App是否已经建立“双清单”。“双清单”源于2021年11月1日工信部发布的《关于开展信息通信服务感知提升行动的通知》,该通知要求相关企业建立“已收集个人信息清单”和“第三方共享个人信息清单”,简洁、清晰列出App(包括内嵌第三方软件工具开发包SDK)已经收集到/与第三方共享的用户个人信息基本情况。基于此,笔者理解,App运营者除完成《个人信息保护法》规定的告知义务外,还应当按照“双清单”的要求,向个人信息主体展示相关情况,以便个人信息主体了解App运营者对其个人信息的处理内容,及时主张权利。

五、关注SDK数据合规情况

SDK通常是指Software Development Kit,即软件开发工具包。简单来看,它是辅助开发某一类应用软件的相关文档、范例和工具的集合。对App来说,为了提高开发效率,可以将某项功能交给第三方来开发,第三方服务提供商将服务封装为工具包(即SDK)供开发者使用。《认定方法》明确“未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等”可被认定为“未明示收集使用个人信息的目的、方式和范围”,属于违规的个人信息处理行为,须承担相应的法律责任。《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》第八条明确“使用第三方服务的,应当制定管理规则,明示App第三方服务提供者的名称、功能、个人信息处理规则等内容;应与第三方服务提供者签订个人信息处理协议,明确双方相关权利义务,并对第三方服务提供者的个人信息处理活动和信息安全风险进行管理监督;App开发运营者未尽到监督义务的,应当依法与第三方服务提供者承担连带责任。”虽然该规定暂时还未正式生效,但是如果App中含有侵害个人信息主体权益的SDK,亦可能使App运营者被由此引发的负面舆情所影响,进而损害商誉。在监管实践中,工信部亦于近期对违规的SDK进行了多次通报,可见该问题亦属于监管部门的关注重点。

故SDK就像一把“双刃剑”,为了保证App运营者的自身权益,笔者建议App运营者全面梳理App已经接入的全部SDK,将接入的SDK收集使用个人信息的目的、方式、范围写入个人信息保护政策,以进行明示,并获得个人信息主体的同意,对于媒体曝光和监管通报的存在问题的SDK,如己方App接入了该等SDK,根据问题的严重程度,及时采取要求该等SDK限期整改、停止使用等措施。

六、儿童个人信息保护

App运营者对儿童个人信息的保护义务亦属重中之重。根据《儿童个人信息网络保护规定》第八条的规定“网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护。”笔者建议App运营者如处理儿童个人信息,则应当为儿童设置单独的个人信息保护规则和用户协议,同时,因《个人信息保护法》第二十八条规定不满十四周岁未成年人的个人信息属于敏感个人信息,因此个人信息处理者在处理该等个人信息前需要取得个人信息主体的监护人对此的单独同意,并且应采取更为严格的保护措施,以保护儿童的个人信息,保障儿童人身安全,保护儿童的合法权益。

在App运营过程中,App运营者,尤其是UGC(User Generated Content,用户生成内容)型App运营者通常会对用户发布的内容添加标签,以推荐给可能对某类内容感兴趣的其他用户,虽然此种情况在App运营中非常常见,但是需要注意的是,如果该内容涉及到儿童,则应当提前考虑相关风险,特别是此等方式是否会对儿童人身安全、生活安宁等造成潜在风险,甚至是导致个人信息被不法分子利用后,对儿童实施犯罪行为。

除避免App中的儿童个人信息被“外部”的不法分子获取外,App运营者“内部”的工作人员亦应当成为规范的对象。《儿童个人信息网络保护规定》第十五条规定“网络运营者对其工作人员应当以最小授权为原则,严格设定信息访问权限,控制儿童个人信息知悉范围。工作人员访问儿童个人信息的,应当经过儿童个人信息保护负责人或者其授权的管理人员审批,记录访问情况,并采取技术措施,避免违法复制、下载儿童个人信息。”故App运营者不仅需要对儿童个人信息设置访问控制制度,亦需要设置“儿童个人信息保护负责人”,对相关处理行为进行审批、记录,以避免非必要的访问,进一步降低可能对儿童造成的风险。

以上是笔者对App部分合规要点的简单梳理,随着我国个人信息保护相关法规日益完善,监管部门对App的监管亦日益加强,笔者建议App运营者时刻关注相关法律法规的发展与变化,提升App个人信息保护合规水平,在保障用户权益的前提下,让App更好地服务于用户。

作者简介

刘新宇 律师

上海办公室 合伙人

业务领域:金融产品和信托, 网络安全和数据保护, 中国内地资本市场

特色行业类别:金融行业, 通讯与技术

卢佳宏

上海办公室 私募基金与资管部

声明:本文来自中伦视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。