2021年APP数据隐私合规监管研究报告

来源:iLaw合规

文章摘要
在数字经济浪潮下,经济新业态、新模式正蓬勃兴起,各类应用程序的种类和数量呈爆发式增长,用户规模持续扩大。

在数字经济浪潮下,经济新业态、新模式正蓬勃兴起,各类应用程序的种类和数量呈爆发式增长,用户规模持续扩大。
App 的广泛应用,极大满足了人们在社交、购物、娱乐、办公等多方面的需求,在促进经济社会发展、服务民生等方面发挥着不可替代的作用,但与此同时,也滋生了各类侵害数据、信息权益的违法行为。
App 非法获取、超范围收集个人信息、过度索权等现象普遍存在,公民个人信息被泄露、滥用及用户隐私被侵害等问题十分突出,个人信息安全问题已然成为影响数据价值释放的绊脚石。
App 作为用户数据收集的主要入口之一,其用户个人信息保护问题已备受国家和社会重视。

1. 数据隐私合规立法/执法动态
a. 相关监管部门在数据隐私合规治理过程中积极推进个人信息保护
目前,我国个人信息保护还存在法律法规原则分散、政府监管能力不足、企业安全管理不规范等痛点、难点问题。
自 2016 年公安部网安办牵头开展「打击整治网络侵犯公民个人信息犯罪专项行动」以来,相关监管部门先后出台一系列强监管政策,并根据市场变化进行了相应细化和动态调整,呈现出「边治理 APP 违规情形、边完善有关立法和标准」的趋势。

b. 工信部连续两年部署开展APP侵害用户权益专项整治行动
据中国信息通信研究院统计,截至2021年12月10日,工信部持续开展 APP 侵害用户权益专项整治行动,加大执法监管力度,已组织APP专项整治行动共计 21 批,组织检测共 244万 款APP,累计对 5406款 APP发出整改通知,公开通报 2049款 整改不到位的APP,下架 646款 仍存在问题的 APP。

2. 工信部 App 专项监管结果及违规情形分析
a. 近两年工信部通报/下架的 APP 数量逐渐下降,下架占比日趋平稳
以 2021 年度工信部通报的APP数据作为样本(因不宜按照季度进行对比,暂未将 2021 年第7、8批所涉违规调用通信录、位置信息以及开屏弹窗骚扰用户的非新出现的需整改问题计入),经分析各季度数据后发现:
随着监管部门逐渐加强监管并完善标准规范,及互联网企业纷纷主动或被动式开展自查自纠活动,2021 年度被公开通报 APP 被通报和被下架的数量总体呈持续下降趋势。
其中,被下架的 APP 数量在第一季度和第四季度几近持平,在第二季度达到占比最高,为 43.5%,而等到了第四季度,下架占比才逐渐趋于平稳,接近20%。

b. App 个人信息违规处理和强制频繁过度索权成为规范整改的重点内容
结合 APP 的整改情况,2021 年度APP被通报的理由除违规调用通信录、位置信息以及开屏弹窗骚扰用户以外,主要存在11项违规情形。
其中「①违规收集个人信息」、「②APP强制、频繁、过度索取权限」、「③违规使用个人信息」、「④超范围收集个人信息」尤为高频,分别占比47.68%、16.39%、8.68%和 9.46%。
由此可见,APP各类违法违规行为最突出的问题集中在个人信息违规处理与强制频繁过度索权两大合规风险高发点,APP开发者、运营者及第三方 SDK 提供者对此应当格外重视。

c. APP 隐私合规执法趋于严格,打击力度持续加大,合规治理取得阶段性成果
随着 APP 隐私合规执法趋于严格和打击力度持续加大,2021 全年同一违规情形下 APP 被通报的次数在第三季度达到峰值,后又在第四季度明显大幅下降并跌至低谷,呈明显减少趋势。
尤其是在违规收集个人信息问题的处理上,合规治理效果明显。
工信部针对 APP 侵害用户权益的专项整治工作初见成效,App 无「欺骗误导用户提供个人信息」、「APP频繁自启动和关联启动」、「应用分发平台管理责任落实不到位」等问题持续向好。
同时,也间接反映用户个人信息处理者的认知程度与监管动态、行业发展步调基本保持一致。


1. 2021 年度:违规APP类型较普遍分布于实用工具类和游戏娱乐类
从 2021 年度违规应用的类型分布来看,实用工具类应用占比最高,达 721款,占全部违规应用的 35.2%。
新闻娱乐类、在线影音类、学习教育类和新闻资讯类数量分别达 551款、386款、382款、172款,分列违规应用类型数量的第二、三、四、五位,占全部违规应用的比重10.2%、7.1%、7.1%和 3.2%。
在下架应用中,实用工具类应用的数量占比最高,达76款,占全部下架应用的12%,游戏娱乐类应用紧随其后,数量达60款,占比10%。

据工信部数据显示,截至 2021年10月末,我国国内市场上监测到的APP数量为 272 万款,同比 2021年9月末净减少 2万款,同比 2020年12月末更是净减少 73万款,整体呈下降态势,而数量排在前四的分别为游戏娱乐类、日常工具类、电子商务类和社交通讯类 APP。
其中,游戏娱乐类 APP 稳居第一,数量达 67.9 万款,占全部 APP 比重为 25%;日常工具类、电子商务类和社交通讯类 APP 的数量依次分别达40.6 万、27.4 万和24.7 万款,共计占比 34%。
预计在 2022 年,游戏娱乐类 APP 的个人信息保护问题依旧为相关监管部门重点关注的内容,对此类 APP 违规情形的查处力度不会减弱,监测方法会更加标准化。

2. 2021 年下半年:软件和信息技术服务业的违规企业占比最高,APP 被通报问题仍聚焦于个人信息的处理和权限索取两大环节
2021 年 7-12 月期间,工信部及各省/直辖市通信管理局共计通报了 796 家企业,涵盖 826 款应用 APP。
从违规企业的一级行业类别来看,分布于①软件和信息技术服务业的违规APP企业占比最高,达 515 家,占 2021 年下半年全部企业的 64.7%。
②科学研究和技术服务业、③批发和零售业、④租赁和商务服务业的企业数量分别达254、96 和71 家,占比依次高达 31.9%、12.1% 和9%。

其中,软件和信息技术服务业企业APP被通报问题主要集中在11项违规情形,问题数量排在前3位的包括:「①违规收集个人信息」、「②APP强制、频繁、过度索取权限」、「③超范围收集个人信息」,分别占比 44.5%、12.8%和10.2%。


2021年11月1日正式实施的《个人信息保护法》明确提出「基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出」。
即在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名和联系方式、收集使用个人信息的目的、方式、范围等内容。
1. 从合规要素层面,知情同意是处理个人信息最为基本的前提条件之一。App运营者收集、使用个人信息应当遵循合法、正当、必要的原则,满足让用户知情,并获得用户同意的条件。
具体来说,App 运营者应当在《隐私政策》/《隐私保护协议》等单独成文的文件中,对用户作出隐私安全保障承诺,明确告知用户个人信息采集的种类、采集的目的、采集与利用原则、个人信息存储及保护制度、个人信息的共享、转让、对个人信息的处理制度等相关内容。
对于个人敏感信息类型更应注意进行显著标识,并通过弹窗、文本链接、设置勾选框等方式提示用户阅读,尽到显著告知义务。
而明示同意则需要由用户主动作出肯定性动作,包括主动作出电子或纸质形式的声明、主动勾选、主动点击「同意」「注册」「发送」「拨打」等。
2. 从监管要求层面,对于 APP 常见违反知情同意的违规情形的处理,APP 开发者、运营者的正确做法则是不断优化隐私政策和权限调用展示方式。
例如向用户提供 APP 产品隐私政策摘要;在「设置」的二级清单中列明《隐私政策》、《个人信息收集清单》、《第三方共享清单》等内容;在权限申请时以弹窗等适当方式明确告知用户调用其终端中相册、通讯录、位置、相机、好友关系等敏感权限的目的,以充分保障用户的知情权。
注意不得实施包括但不限于以下几种行为:
征得用户同意前收集个人信息
例如:在同意隐私政策前将用户安卓ID等信息上传至云端服务器、没有向用户提供明确的隐私政策拒绝选项。
用户拒绝后频繁征求用户同意、干扰用户正常使用
具体表现为:在用户明确拒绝授权后,仍然在使用过程中频繁索取权限,或者用户下次进入应用再次索取权限。
诱导用户同意收集个人信息
例如:以签到、福利等为理由诱导用户提供姓名、手机号、住址,以“绝不收集隐私信息”等欺骗性提示诱导用户安装使用 App 等。
个人信息进行定向推送但无法关闭
具体表现为:未提供关闭定向推送选项或者虽然提供了关闭选项,但存在有效期,到期后自动回复定向推送,或者关闭选项极其隐蔽,用户难以发现,或者关闭定向推送后并不生效等问题。
3. 从合规治理层面,APP 开发者、运营者及第三方 SDK 提供者应当积极制定个人信息保护内部管理制度,建立相关内部防控制度,积极落实网络安全等级保护工作,在运用新技术(如人脸识别、语音识别、大数据、人工智能等)开展业务前务必进行安全与隐私合规评审。
例如:按照相应的级别开展相应的等级测评、制度建立、开展自查、备案报告等工作,并持续关注外部监管动态,更新内部合规制度。
APP 分发平台也应当切实履行分发平台合规义务,一方面充分配合相关监管机构开展 APP 治理活动,另一方面推动内部专项整改排查,及时向开发者同步监管最新要求。

随着 APP 个人信息保护治理工作的深入推进,也将推动相关标准体系的持续完善。只有标准化,才能实现监管检测的自动化、智能化。
为适应各类新型互联网服务的快速发展,有待明确各类个人信息在实际业务场景的收集、使用等要求,与现有 APP 个人信息相关标准进行有效衔接。
从我国 APP 个人信息保护治理趋势来看,短期内,专项治理工作还将存在,特别是针对 APP 行业发展面临的突出问题和薄弱环节。
例如违规收集个人信息、超范围收集个人信息、APP 强制、频繁、过度索取权限以及第三方 SDK 违规处理用户个人信息等典型问题,开展专项治理确有必要,但需依靠技术优势赋能,才能精准发力,切实解决问题,持续提升治理效能。

技术驱动法律,专业成就未来