App合规专题月开启,从App通报情况解析App合规重点

来源:大数据法律研究

文章摘要
App合规专题月 随着互联网和移动智能终端的普及,各类移动互联网应用程序[1](以下简称“App”)已渗透到人们生活的方方面面。
App合规专题月
随着互联网和移动智能终端的普及,各类移动互联网应用程序[1](以下简称“App”)已渗透到人们生活的方方面面。但由于App个人信息处理规则的不完善,App开发运营者、分发平台、移动智能终端企业等主体为了自身商业利益违规处理个人信息、强制索权、个人信息泄露、预装软件难以删除等问题仍屡屡出现。
我国对App侵害用户合法权益现象日益重视,不仅与App治理相关的法律文件相继出台,工信部、公安部、市场监督管理总局、国家互联网信息办公室、国家计算机病毒应急处理中心、App违法违规收集使用个人信息治理工作组等亦相继开展各项整治工作,推进相应制度落地。
在此热潮之下,大数据法律服务团队推出“App合规专题月”,探讨如何在降低App合规风险的前提下,实现App运营的经济效益。
本文为此次专题的第一篇文章,从立法与执法两个角度,深入解析我国App治理重点与未来趋势。
一 、与App治理直接相关的法律文件汇总
除已产生广泛影响力的《信息安全技术个人信息安全规范》和《App违法违规收集使用个人信息行为认定方法》外,全国信息安全标准化技术委员会针对App个人信息保护、权限申请、SDK使用等相继出台网络安全实践指南,为从事App个人信息处理活动的相关主体提供了极具参考价值的操作指引。2020年9月,“App个人信息保护合规评估工具”上线,助力相关主体提高个人信息保护能力。2021年4月26日,工业和信息化部发布《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》。随后《常见类型移动互联网应用程序必要个人信息范围规定》于5月1日正式生效,为常用类型App运营者提供个人信息收集的有力指引。
下文整理了目前与App治理直接相关的主要法律文件:

文件名称

发布部门

发布时间/

生效时间

《常见类型移动互联网应用程序必要个人信息范围规定》

国家互联网信息办公室

工业和信息化部

公安部

国家市场监督管理总局

2021.03.12/

2021.05.01

《APP违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号)

2019.11.28/

2019.11.28

《关于进一步抓好互联网应用适老化及无障碍改造专项行动实施工作的通知》(工信厅信管函〔2021〕67号)

工业和信息化部

2021.04.12/

2021.04.12

《关于纵深推进APP侵害用户权益专项整治行动的通知》(工信部信管函(2020)164号)

2020.07.22/

2020.07.22

《关于开展APP侵害用户权益专项整治行动》(工信部信管函(2019)337号)

2019.10.31/

2019.10.31

《移动智能终端应用软件预置和分发管理暂行规定》(工信部信管[2016]407号)

2016.12.16/

2017.07.01

《移动互联网应用程序信息服务管理规定》

国家互联网信息办公室

2016.06.28/

2016.08.01

《信息安全技术移动互联网应用服务器安全技术要求》(GB/T 35281-2017)

国家质量监督检验检疫总局(已撤销)

国家标准化管理委员会

2017.12.29/

2018.07.01

《信息安全技术移动智能终端应用软件安全技术要求和测试评价方法》(GB/T 34975-2017)

2017.11.01/

2018.05.01

《网络安全标准实践指南—移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》

全国信息安全标准化技术委员会秘书处

2020.11/

2020.11

《网络安全标准实践指南—移动互联网应用程序(App)个人信息保护常见问题及处置指南》

2020.09/

2020.09

《网络安全标准实践指南—移动互联网应用程序(App)系统权限申请使用指南》

2020.09/

2020.09

《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》

2020.07/

2020.07

《网络安全实践指南—移动互联网应用基本业务功能必要信息规范(V1.0)》(TC260-PG-20191A)

2019.06/

2019.06

《移动互联网应用程序(App)安全认证实施规则》(CNCA-App-001)

国家认证认可监督管理委员会

2019.03.13/

2019.03.15

《App违法违规收集使用个人信息自评估指南》

App违法违规收集使用个人信息专项治理工作组

2019.03.03/

2019.03.03

征求意见稿

《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》

工业和信息化部

2021.04.26

《信息安全技术移动互联网应用程序(APP)个人信息安全测评规范》征求意见稿

全国信息安全标准化技术委员会秘书处

2021.04.19

《信息安全技术移动互联网应用程序(APP)SDK安全指南》征求意见稿

2021.04.19

《网络安全标准实践指南—移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)》

2020.03.30

《信息安全技术移动互联网应用(App)收集个人信息基本规范(征求意见稿)》

2020.01.20

《信息安全技术移动互联网应用(App)收集个人信息基本规范(草案)》最新版草案

App违法违规收集使用个人信息专项治理工作组

2019.10.25

《信息安全技术移动互联网应用(App)收集个人信息基本规范(草案)》

全国信息安全标准化技术委员会

2019.08.08


二、近期App通报情况汇总
为更好地把握App治理的合规重点,本团队整理了近两年主要监管部门的App通报情况,包括:①工业和信息化部(“工信部”)2019年12月19日至2020年6月8日发布的16次《关于侵害用户权益行为的APP通报》;②国家互联网信息办公室(“国家网信办”)2021年以来发布的4次App违法违规收集使用个人信息情况的通报;③国家计算机病毒应急处理中心("CVERC")2020年1月至2020年12月发布的8次App通报名单;以及④App违法违规收集使用个人信息治理工作组于2020年11月13日发布的《关于35款App存在个人信息收集使用问题的通告》。
(一)工信部通报情况(通报App总数量:995款)[2]

(二)国家网信办通报数据汇总(通报App总数量:351款)[3]

(三)CVERC通报数据汇总(通报App总数量:171款)[4]

(四)App违法违规收集使用个人信息治理工作组通报数据汇总(通报App总数量:35款)[5]

三、App合规重点解析
(一)App监管侧重用户个人信息保护
综合上述工信部、国家网信办、CVERC的数据,可发现目前对于App的监管侧重于用户个人信息保护。我们曾于2020年4月对CVERC2017年10月至2020年4月的App通报情况做过统计,当时的CVERC更关注App的“安全性”,其通报结果侧重App存在的恶意代码对用户财产和隐私造成的潜在风险。但从2020年初开始,CVERC的关注点也更多地转向了App对于用户个人信息的侵害情况。(拓展阅读:《APP应用软件合规要点,近期违规通报数据评析》)
国家网信办对于App监管亦逐渐发力,其在2021年5月与6月间从输入法、地图导航、即时通信、安全管理、网络借贷、短视频、浏览器、求职招聘、运动健身、网络直播、应用商店等常见类型App入手,密集发布四次App违法违规收集使用个人信息情况的通报。
(二)App处理个人信息是否获取同意仍为监管重点
用户的同意是App进行收集、使用等个人信息处理行为的重要合法性基础,也是有关部门的监管重点,这一点在我们之前的文章中也多次提及。比如在上述国家网信办的通报情况中,在351款被通报的App中,存在“未经用户同意收集使用个人信息”情况的有145款。
App运营者遵循同意原则不仅意味着要在收集、使用、向第三方提供个人信息前依法获取用户同意,还要求其能保障用户撤回同意、拒绝同意的自由选择权利。
App需提供有效的更正、删除个人信息及注销用户账号功能,不得对该功能的实现设置不合理条件,即保障用户“撤回同意”的自由,前述评估主体均对“账号注销难”“未提供更正删除功能”“未建立并公布个人信息安全投诉、举报渠道”等情况进行了通报。App运营者需保障前述功能的可操作性、及时性与有效性。首先,运营者需提供更正、删除个人信息,注销用户账号的功能,且该功能需具备可操作性,不能通过隐蔽位置、操作步骤繁琐、设置不合理条件等方式影响用户权利的实现;其次,要保证权利实现的及时性。提供在线操作方式、客服电话、电子邮件等方式进行相关操作的,运营者需确保该等方式能及时响应。而需人工处理的,则需受理后在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理;再次,要保证权利实现的有效性。不得出现在更正、删除或注销操作提示完成后,依然未能更正、删除个人信息,注销用户账号的情形。此外,还需建立并公布个人信息安全投诉、举报渠道,以全面保护用户权益。
用户还应拥有“拒绝同意”的自由,以工信部的通报为例,限制用户同意自由主要表现为“强制用户使用定向推送功能”“不给权限不让用”以及“APP频繁自启动和关联启动”。《App违法违规收集使用个人信息行为认定方法》将“利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项”认定为App违法违规收集使用个人信息行为,有定向推送业务功能的App运营者应在App中设置“终止定向推送选项”。
(三)告知原则的遵循不可忽视
告知是同意的前提,用户只有在了解个人信息处理的范围、目的及方式等情况下,方可做出是否同意的决定。App运营者需通过隐私政策等方式公开个人信息处理规则,逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围。在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,还应同步告知用户其处理目的。
App隐私政策的制定应符合方便访问、方便阅读及易于理解的要求,在App首次运行时应通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则。在收集使用个人信息的目的、方式、范围发生变化时,App运营者应以更新隐私政策等收集使用规则并提醒用户阅读等适当方式通知用户。
此外,App运营者应遵循诚信原则,真实、完整、准确地披露个人信息处理规则,不得通过误导、欺诈、胁迫等方式获取用户同意。比如在App违法违规收集使用个人信息治理工作组于2020年11月13日的通报中,出现了App实际收集使用个人信息行为与隐私政策声明不一致的情况。“七彩熊绘本”“新浪微博”“信而富”等三款App还被指以不正当方式误导用户同意收集个人信息。
(四)必要原则的重要性凸显
《网络安全法》第四十一条和《民法典》第一千零三十五条均要求个人信息处理者处理个人信息应遵循必要原则。《个人信息保护法(草案二次审议稿)》第六条规定,处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式,不得进行与处理目的无关的个人信息处理,这体现了个人信息保护领域中的必要原则。违反必要原则处理个人信息是App违规的“重灾区”,在国家网信办的通报中,“违反必要原则(和《常见类型移动互联网应用程序必要个人信息范围规定》),收集与其提供的服务无关的个人信息”甚至成为第一违规事由,在351款App中有259款存在前述问题。
2021年5月1日,国家网信办、工信部、公安部与国家市监局联合发布的《常见类型移动互联网应用程序必要个人信息范围规定》正式生效。这一文件为个人信息处理必要原则的具体落实,对地图导航类、网络约车类、房屋租售类、二手车交易类、问诊挂号类、女性健康类、用车服务类、输入法类、演出票务类等三十九类App的基本功能服务与必要个人信息进行明确。《网络安全实践指南—移动互联网应用基本业务功能必要信息规范(V1.0)》与2020年1月20日再次发布的《信息安全技术移动互联网应用程序(App)收集个人信息基本规范(征求意见稿)》分别明确16类及9类常用服务类型的最小必要信息类型。各行业的企业可参考前述文件,梳理自身基本业务功能及最小必要信息的范围。
(五)应用分发平台责任受到关注
相较我们在2020年4月份的统计,应用分发平台责任在近两年的App治理中逐渐受到关注。(拓展阅读:《APP应用软件合规要点,近期违规通报数据评析》)
在工信部的通报中,未履行应用分发平台责任而被通报的App共有44款,其中,“应用分发平台上的App信息明示不到位”占到36款。工信部于2021年4月23日发布的《关于侵害用户权益行为的APP通报(2021年第4批总第13批)》[6]通报腾讯应用宝、小米应用商店、OPPO软件商店、华为应用市场和vivo应用商店存在上架审核不严格,存量问题清理不彻底,登记核验APP开发运营者信息不准确,误导用户下载等问题。此前,工信部在2020年8月31日的《关于侵害用户权益行为的APP通报(2020年第四批)》[7]中,亦对应用宝、豌豆荚、小米应用商店等部分移动应用分发平台管理主体责任缺位,对上架App审核把关不严等问题进行通报。
针对应用分发平台责任,《移动智能终端应用软件预置和分发管理暂行规定》要求从事应用商店等移动应用分发平台服务的互联网信息服务提供者,以及在移动智能终端中预置了移动应用分发平台的生产企业应要求应用软件提供者在提交应用软件时声明其获取的用户终端权限及用途,并将上述信息向软件下载用户明示。2021年4月26日,工业和信息化部发布《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》。该征求意见稿与以往侧重规范App开发运营者的个人信息保护责任不同,将App生命周期内的主要责任主体均纳入规制范围,在第八条至第十二条中对App开发运营者、App分发平台、App第三方服务提供者、移动智能终端生产企业以及网络接入服务提供者分别施加了针对性的个人信息保护责任。该稿吸收《移动智能终端应用软件预置和分发管理暂行规定》的有关规定,并进一步对应用分发平台个人信息保护义务提出六项要求。
结 语
我国App治理依然延续“告知-同意”模式,遵循必要原则处理个人信息的重要性日益凸显。App运营者可根据《App违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》等相关规定,及时开展合规自查工作,以隐私政策等收集使用规则的合规性为出发点,对个人信息收集使用行为、向第三方提供个人信息行为、提供用户撤回同意功能以及建立投诉、举报渠道等各个行为进行审查,以降低违法违规风险。
[1]结合于2021年5月1日生效的《常见类型移动互联网应用程序必要个人信息范围规定》,可将“App”理解为移动智能终端预置、下载安装的应用软件,以及基于应用软件开放平台接口开发的、用户无需安装即可使用的小程序。此处的“小程序”不仅仅指代微信小程序,还包括所有无需下载和安装的轻应用、H5页面等收集个人信息的软件形态。
[2]工业和信息化部信息通信管理局:《关于侵害用户权益行为的APP(第一批)通报》.[2019-12-19](2021-06-28).https://www.miit.gov.cn/xwdt/gxdt/sjdt/art/2020/art_a68bc4b6aef9499f80a48417f00fc6bf.html.
工业和信息化部信息通信管理局:《关于侵害用户权益行为的APP(第二批)通报》.[2020-01-09](2021-06-28). https://www.miit.gov.cn/xwdt/gxdt/sjdt/art/2020/art_85cccf13c99c4923bce588bfa0a52b64.html.
工业和信息化部信息通信管理局:《关于侵害用户权益行为的APP通报(2020年第一批)》.[2020-05-15](2021-06-28). https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2020/art_7f43f21a7c3f455485d810e27a526c88.html.
工业和信息化部信息通信管理局:《关于侵害用户权益行为的APP通报(2020年第二批)》.[2020-07-03](2021-06-28). https://www.miit.gov.cn/jgsj/xgj/fwjd/art/2020/art_a1d677f8e8254e04b6b33212994a7964.html.
工业和信息化部信息通信管理局:《关于侵害用户权益行为的APP通报(2020年第三批)》.[2020-07-24](2021-06-28). https://www.miit.gov.cn/xwdt/gxdt/sjdt/art/2020/art_6bf87edb2019444fbd94d14a493f72b7.html.
工业和信息化部信息通信管理局:《关于侵害用户权益行为的APP通报(2020年第四批)》.[2020-08-31](2021-06-28). https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2020/art_b7070831a4fb4a4e8d0dd5cf18b66cbc.html.
工业和信息化部信息通信管理局:《关于侵害用户权益行为的APP通报(2020年第五批)》.[2020-10-27](2021-06-28). https://www.miit.gov.cn/xwdt/gxdt/sjdt/art/2020/art_166a474300d54e3d91ad3874335db561.html.
工业和信息化部信息通信管理局:《关于侵害用户权益行为的APP通报(2020年第六批)》.[2020-12-03](2021-06-28). https://www.miit.gov.cn/jgsj/xgj/fwjd/art/2020/art_ce279bf879d34cb0b12b42fac2aff17c.html.
工业和信息化部信息通信管理局:《关于侵害用户权益行为的APP通报(2020年第七批)》.[2020-12-21](2021-06-28). https://www.miit.gov.cn/xwdt/gxdt/sjdt/art/2020/art_fb7c796f64304c0d8a5c9c3e45e714f8.html.
工业和信息化部信息通信管理局:《关于侵害用户权益行为的APP通报(2021年第1批,总第10批)》.[ 2021-01-22](2021-06-28).https://www.miit.gov.cn/jgsj/xgj/fwjd/art/2021/art_3af78b9a329f432f96e7c14d689dfe32.html.
工业和信息化部信息通信管理局:《关于违规调用麦克风、通讯录、相册等权限侵害用户权益行为的APP通报(2021年第2批,总第11批)》.[2021-02-05](2021-06-28).https://www.miit.gov.cn/xwdt/gxdt/sjdt/art/2021/art_97515491d41345d999f874e316198066.html.
工业和信息化部信息通信管理局:《关于侵害用户权益行为的APP通报(2021年第3批总第12批)》.[2021-03-12](2021-06-28). https://www.miit.gov.cn/xwdt/gxdt/sjdt/art/2021/art_7e5c3fa7f29a469fa5a005b08ba8b5d2.html.
工业和信息化部信息通信管理局:《关于侵害用户权益行为的APP通报(2021年第4批,总第13批)》.[2021-04-23](2021-06-28).https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2021/art_bd52f96df47f424c9a37257d86d1d091.html.
工业和信息化部信息通信管理局:《关于侵害用户权益行为的APP通报(2021年第5批总第14批)》.[2021-06-08](2021-06-28). https://www.miit.gov.cn/xwdt/gxdt/sjdt/art/2021/art_38d4220505c443a288c708782151263d.html.
[3]国家互联网信息办公室:《关于输入法等33款App违法违规收集使用个人信息情况的通报》.[2021-05-01](2021-06-28).http://www.cac.gov.cn/2021-04/30/c_1621370239178608.htm.
国家互联网信息办公室:《关于腾讯手机管家等84款App违法违规收集使用个人信息情况的通报》.[2021-05-10](2021-06-28). http://www.cac.gov.cn/2021-05/10/c_1622225924090817.htm.
国家互联网信息办公室:《关于抖音等105款App违法违规收集使用个人信息情况的通报》.[2021-05-21](2021-06-28). http://www.cac.gov.cn/2021-05/20/c_1623091083320667.htm.
国家互联网信息办公室:《关于Keep等129款App违法违规收集使用个人信息情况的通报》.[2021-06-11](2021-06-28). https://mp.weixin.qq.com/s/hBuoskA6eqZcS4GhpK2NOQ?scene=25#wechat_redirect.
[4]新华网:《国家计算机病毒应急处理中心监测发现二十四款违法移动应用》.[2020-01-13](2021-06-28). http://www.xinhuanet.com/2020-01/13/c_1125455263.htm.
新华网:《国家计算机病毒应急处理中心监测发现20余款违规移动应用》.[2020-04-11](2021-06-28). http://www.xinhuanet.com/tech/2020-04/11/c_1125841166.htm.
新华网:《国家计算机病毒应急处理中心监测发现二十一款违法移动应用》.[2020-04-29](2021-06-28).http://m.xinhuanet.com/2020-04/29/c_1125923798.htm.
新华网:《国家计算机病毒应急处理中心监测发现十五款违法移动应用》.[2020-06-05](2021-06-28).http://www.xinhuanet.com/tech/2020-06/05/c_1126079316.htm.
新华网:《国家计算机病毒应急处理中心监测发现十四款违法移动应用》.[2020-09-11](2021-06-28).http://m.xinhuanet.com/2020-09/11/c_1126481893.htm.
新华网:《国家计算机病毒应急处理中心监测发现多款违法移动应用》.[2020-10-23](2021-06-28).http://m.xinhuanet.com/2020-10/23/c_1126649159.htm.
新华网:《国家计算机病毒应急处理中心监测发现多款违法移动应用》.[2020-12-05](2021-06-28).http://www.tj.xinhuanet.com/news/2020-12/05/c_1126824283.htm.
新华网:《国家计算机病毒应急处理中心监测发现17款违法移动应用》.[2020-12-17](2021-06-28). http://www.tj.xinhuanet.com/jz/2020-12/17/c_1126873872.htm.
[5] App违法违规收集使用个人信息治理工作组:《关于35款App存在个人信息收集使用问题的通告》.[2020-11-17](2021-06-28).http://www.cac.gov.cn/2020-11/17/c_1607178245870454.htm.
[6]工业和信息化部信息通信管理局:《关于侵害用户权益行为的APP通报(2021年第4批总第13批)》.[2021-04-23](2021-06-28).https://www.miit.gov.cn/xwdt/gxdt/sjdt/art/2021/art_c0c8251beb824b78b299fad84773bfde.html.
[7]工业和信息化部信息通信管理局:《关于侵害用户权益行为的APP通报(2020年第四批)》.[2020-08-31](2021-06-28).https://www.miit.gov.cn/jgsj/xgj/fwjd/art/2020/art_a061e2d06a724ecb9891fba85db9c14c.html.
技术驱动法律,专业成就未来