一 中国的GDPR来了?
早在2018年12月,国家网信办已会同有关部门,针对一系列移动APP开展专项整治行动,并关停下架违法违规APP 3万多款,APP乱象得到有效遏制。而今年1月25日,中央网信办、工业和信息化部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》(以下简称“公告”),成立App违法违规收集使用个人信息专项治理工作组(以下简称“工作组”),决定在2019年全年在全国范围内组织开展App违法违规收集使用个人信息专项治理行动。
为了配合专项治理行动,工作组发布《App违法违规收集使用个人信息自评估指南》(以下简称“App自评估指南”),供App运营者进行自查自纠,并同步开始受理对App违法违规收集使用个人信息的举报。截至4月,工作组收到举报信息超过3000余条,涉及1300余款App。从官方公布的举报信息数据来看,“超范围收集与业务功能无关信息”、“强制或频繁索要与业务功能无关权限”、“存在不合理隐私条款”等问题被举报的次数最多。
针对以上一系列所发现的问题,工作组以《网络安全法》等法律法规和国家标准《个人信息安全规范》作为制定依据,制定了《App违法违规收集使用个人信息行为认定方法(征求意见稿)》(以下简称“征求意见稿)”)并于5月5日将其发布并公开征求意见,全文共七大认定方面、三十九项具体认定方法。上述问题均被列入了此次《征求意见稿》当中。
有媒体称,《征求意见稿》是中国的GDPR,中国的GDPR已经到来。那么真的是这样吗?下面我们就其法律效力、适用范围、重要条款进行解读,并就未来APP运营者面临的挑战提供建议。

二《征求意见稿》的法律效力与适用范围
(一)《征求意见稿》的法律效力
《征求意见稿》由工作组起草并发布,而工作组是全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会受四部门中央网信办、工业和信息化部、公安部、市场监管总局委托成立的,工作组开展相关监管行动是由四部门直接指导监督。因此,《征求意见稿》一旦正式实施,应属于在四部门的授权下发布的部门规章。
《征求意见稿》提到,“为App评估和处置提供参考”,即《征求意见稿》正式生效后,工作组开展App违法违规收集使用个人信息安全评估、向执法部门提供处置意见时,可以此作为参考。相对于GDPR的法律效力而言,《征求意见稿》无疑会低一些,GDPR实现了直接适用效力,即其一旦生效就可以立即在欧盟各成员国之内以国内法的形式颁布实施,且其效力优先于各国国内法,被誉为“欧盟数据宪章”。
《征求意见稿》中并没有相关处罚规定,而根据《公告》的规定,有关主管部门对违法收集处理个人信息行为,按照《网络安全法》《消费者权益保护法》等依法予以处罚,包括责令App运营者限期整改;逾期不改的,公开曝光;情节严重的,依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。而GDPR对违法行为的处罚主要以巨额的行政罚款为主,轻者处以1000万欧元或者上一年度全球营收的2%(两者取其高)的罚款;重者处以2000万欧元或者企业上一年度全球营收的4%(两者取其高)的罚款,该罚款数额远高于国内有关法规所规定的行政罚款。另外,成员国可以制定可适用于违反GDPR的其他惩罚的规则,不限于行政罚款。
(二)《征求意见稿》的适用范围
虽然较早前工作组发布了《App自评估指南》,但该指南并不具有法律约束力,其主要适用于App运营者对其收集使用个人信息的情况进行自查自纠。但《征求意见稿》的发布除了为App运营者自查自纠提供指引以外,还针对《网络安全法》的第四十一条和四十三条,明确界定了App收集使用个人信息方面的违法违规行为,相对于《网络安全法》、《个人信息安全规范》及《App自评估指南》而言,关于违法违规收集个人信息行为的认定更加细化。
但是,从适用范围来看,《征求意见稿》仅对App应用方面的违法违规收集使用个人信息行为进行认定,收集主体仅限于App,对线下及网页端的违法收集个人信息行为并不适用;收集信息对象仅限于个人信息,医疗信息、金融信息、政务信息等信息中凡是不涉及个人信息的并不适用《征求意见稿》。而GDPR适用于所有违法处理个人信息的行为。但从目前国家对个人信息保护的重视程度来看,更高层面的相关认定办法及其他监管实施细则可能会陆续出台。因此即使没有运营App的企业也应该对该《征求意见稿》引起足够的重视,认真阅读学习其个中的条文规定。
三 重点条文解读与建议
常见问题之一 没有公开收集个人信息使用规则的情形
该部分主要针对App公开个人信息收集规则过程中所出现的问题:(1)没有设置或公开隐私政策、用户协议,或者即使有隐私政策和用户协议,但其中并没有关于个人信息收集规则的内容;(2)未通过弹窗、链接等显著方式提示用户阅读隐私政策,或出现隐私政策链接无效、文本无法正常显示等情况;(3)虽然公开了隐私政策,但把隐私政策藏在难以发现的位置,进入主界面后要多于4次点击、滑动才能访问到隐私政策;我们认为,其实对于大部分App而言,问题(1)基本已经不存在,更多主要存在问题(2)和(3),例如在注册账户时隐私政策、用户协议的链接用较小的字体和较浅的颜色,导致难以被用户所注意;在使用App过程中想查看隐私政策和用户协议时,在App中点击了许多地方仍然未能发现其设置的地方。
关于这一部分,GDPR仅规定“控制者应当以一种简洁、透明、易懂和容易获取的形式,以清晰和平白的语言”公开收集个人信息使用规则,但并没有像《征求意见稿》一样详细说明何谓“简洁、透明、易懂和容易获取”的情形。
因此,针对这两个问题,可结合《App自评估指南》的评估点和《个人信息安全规范》的相关规定,建议App运营者:
(1)在App安装、注册或首次开启时,主动通过弹窗、链接等方式提示用户阅读隐私政策,并确保隐私政策链接有效、位置突出、无遮挡,链接显示的字号、颜色、行间距等不会造成阅读困难;
(2)隐私政策放置位置放置在“我的-设置”或“我的-关于”子栏目等在4次以内点击、易于访问的位置。
常见问题之二 没有明示收集使用个人信息的目的、方式和范围的情形
该部分主要针对隐私政策中明示收集使用个人信息的目的、方式和范围的条款中所出现的问题:(1)收集使用信息的目的违反合法、正当、必要原则,如仅仅以改善程序功能、提高用户体验、定向推送等为目的收集用户个人信息;(2)没有逐一列出收集个人信息的类型、频率,特别是针对个人敏感信息;(3)收集使用个人信息的目的、方式和范围发生变化,未以适当方式通知用户,适当方式包括更新隐私政策并提醒用户重新阅读授权等;(4)在申请可收集个人信息的权限时,未告知收集使用的目的,如在申请调阅通讯录时没有说明原因;(5)每次要求用户提供个人敏感信息时,如身份证号、银行卡号等,未同步实时说明原因;(6)有关收集使用规则的内容晦涩难懂、冗长繁琐;
关于该部分,与GDPR的规定区别不大,但GDPR中并未规定需明示收集个人信息的频率,而根据《个人信息安全规范》(2019年征求意见稿)也提到,需要根据满足所使用的业务功能需要的频率来收集个人信息。
以上问题存在一定普遍性,例如在很多隐私政策中将改善程序功能、改善服务质量、提高用户体验等目的作为收集使用个人信息的目的;更新隐私政策时没有已适当的形式告知客户;在申请调阅通讯录、联系人时没有说明收集原因,仅询问是否可以授权访问用户的通讯录等等。
针对以上问题,建议App运营者:
(1)将改善程序功能、提高用户体验、研发新产品等目的更加细化,与其他业务功能相结合,说明是为了什么业务去收集个人信息,确保收集使用个人信息的类型与具体业务功能相对应;
(2)把每个业务功能收集的个人信息的类型、频率在隐私政策中列出来;
(3)建议更新隐私政策时,通过App弹窗、推送通知、电子邮件等方式通知用户,并提醒用户重新阅读后进行授权;
(4)在申请可收集个人信息的系统权限时,应明确告知用户使用权限的目的;
(5)在每次要求用户提供身份证、银行卡号等个人敏感信息时,通过弹窗等显著方式说明收集使用目的、方式、范围等原因,并明确告知拒绝提供的影响;
(6)确保收集使用规则的内容清晰易懂,框架结构清晰明了,可参考使用图文并用的方式进行说明。
常见问题之三 未经同意收集使用个人信息的情形
该部分主要针对App未经同意收集使用个人信息的问题,主要存在以下情形:(1)未经同意便开始收集个人信息;(2)用户明确拒绝后,仍收集个人信息;(3)实际收集使用的个人信息超出用户授权的范围;(4)利用用户信息和算法定向推送新闻、广告等,未提供终止定向推送的选项;(5)未经用户同意,私自调用可收集用户个人信息权限;(6)在未打开或使用App时,App后台调用用户个人信息;(7)未经用户同意私自更改用户设置的权限;(8)用户明确拒绝App收集个人信息请求,App仍频繁征求用户同意,干扰用户正常使用。其中第(8)项比较特别,严格意义上来说,App频繁征求用户同意,干扰用户正常使用的情形很难被认定为未经同意收集使用个人信息的情形,但监管部门可能在执法过程中发现该问题比较严重,因此也把该情形列入了“未经同意收集使用个人信息的情形”,GDPR对该情形也没有相关的规定。
我们认为,App未经同意收集使用个人信息的问题是最难被用户所发现的,因为很多App不知不觉地在后台便收集了用户的个人信息,因此针对这部分问题更需要监管部门对App运营者进行定期监督检查。对于以上问题,最容易被用户发现且往往被App运营者忽略的是上述的问题(4)、(7)和(8)。例如在现实中,很多新闻类和购物类App为了更好方便用户找到适合自己的新闻、广告等,都会根据用户的网络浏览历史、兴趣爱好、消费记录和习惯等个人信息,通过算法实现将新闻、广告等精准地推送至特定用户,但往往忽略用户的自主选择的权利。
值得注意的是,在《电子商务法》第十八条中也特别提到了对用户的这种针对推送广告、推荐偏好产品的自主选择权利的保护,规定电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的,应当同时向该消费者提供不针对其个人特征的选项,如违反该规定,根据该法第七十七条,由市场监督管理部门责令限期改正,没收违法所得,可以并处五万元以上二十万元以下的罚款;情节严重的,并处二十万元以上五十万元以下的罚款。《个人信息安全规范》亦规定“应保障个人信息主体拒绝接收基于其个人信息推送的商业广告的权利”。此外,还有很多App利用系统更新升级便更改原有的系统权限设置;不给权限或者拒绝收集个人信息请求情况下App会出现闪退、反复弹窗等情形。
针对以上问题,建议App运营者:
(1)在App首次运行、提示用户阅读隐私政策等情形下,根据用户主动填写、点击、勾选等自主行为获得用户同意后再开始收集用户个人信息;
(2)收集个人信息应获得用户的同意,用户明确拒绝后不得通过隐秘收集等方式继续收集个人信息;
(3)按照隐私政策等用户授权文本范围,收集使用个人信息,避免出现实际收集使用个人信息的目的、方式和范围与隐私政策等用户授权文本范围不一致的情况;
(4)结合《个人信息安全规范》的要求,建议利用用户信息和算法定向推送新闻、广告、信息等,应以显著方式标明“个性化展示”或“定推”等字样,并向用户提供简单直观的退出定向推送的选项;
(5)建议根据用户主动点击、勾选等自主同意行为,作为调用可收集用户个人信息权限的开启条件;
(6)建议在用户打开或使用App时再行调用用户最新的个人信息,并符合公开的收集使用规则进行收集使用;
(7)建议申请调用个人信息权限应获得用户的同意,不得未经用户同意私自更改用户权限设置,不得利用系统更新升级更改原有的系统权限设置;
(8)建议在用户明确拒绝收集个人信息请求后,不得频繁征求用户同意。用户明确拒绝个人信息请求应仅影响与拒绝提供个人信息相关的业务功能,不得影响用户正常使用其他业务功能。
常见问题之四 违反必要性原则,收集与其提供的服务无关的个人信息的情形
该部分主要针对App违反必要性原则,收集与其提供的服务无关的个人信息,用户不提供的话则无法使用任何功能等问题。在该部分中较为值得关注的是以下问题:(1)捆绑多项业务功能一揽子征求用户同意,不同意则不提供任何单一服务;(2)当用户拒绝某一业务功能收集个人信息的请求时,App停止提供其他业务功能;(3)如提供未经注册即可使用(如支持浏览、游客模式)的业务功能,用户若不同意收集此类业务功能所需以外的个人信息,App拒绝提供所有服务;新增业务功能时,需收集的个人信息超出原有同意范围,如用户不同意收集,则拒绝提供原有业务功能,新增业务功能将取代原有业务功能的除外;(4)申请打开可收集无关信息的权限。
GDPR中也有相关的规定,规定个人数据的处理必须是“相关的和必要的”,数据主体作出的同意必须是自由作出的,不得强制要求数据主体同意不必要的个人数据处理行为。而在《征求意见稿》中,把常见的情形都进行了详细列举。
在现实,很多用户都遇到过上述的问题,例如用户安装App时就声明索要所有权限,一旦安装,这些权限就默认打开,不同意的话便无法安装或安装后无法使用App;有些App所提供的服务根本无需使用手电筒、万年历、位置信息等权限收集信息,但依然要求用户进行相关授权。
针对以上问题,建议App运营者:
(1)不应通过捆绑多项业务功能的方式要求用户一次性接受并授权同意多项业务功能收集个人信息的请求。用户不同意应仅影响与所拒绝提供个人信息相关的业务功能,不得影响其他业务功能的正常使用,不得以不同意一揽子授权为理由不提供任何单一服务;
(2)新增业务功能超出原有同意范围的情况下,应征求用户自主选择同意。用户不同意收集,应仅影响用户使用新增业务功能,不得影响用户使用原有业务功能。但新增业务功能取代原有业务功能导致业务功能发生变更的除外;
(3)建议不得申请打开可收集无关信息的权限,不应收集与业务功能无任何关系的个人信息。
常见问题之五 未经同意向他人提供个人信息的情形
该部分主要针对App未经同意向他人提供个人信息的问题,严重时,可能涉及我国刑事责任,涉嫌侵犯公民个人信息罪,可判处处三年以上七年以下有期徒刑,并处罚金。该问题也是很难被用户所发现,即使怀疑App存在该行为,也很难举证证明App存在该行为。在司法实践中,除非被转让的信息具有特殊性,例如“庞理鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案”中,个人信息结合航班信息,法院可推断航空公司App具有向第三方泄漏信息的高度盖然性,从而认定该App未经用户同意向他人泄漏信息。除此以外,在如今的互联网环境,如此多App收集用户个人信息,即使知道个人的普通个人信息被泄漏了,也难证明哪个App“具有向第三方泄漏信息的高度盖然性”。所以针对该问题,需要监管部门加强对App运营者的监督检查。
另外,根据《网络安全法》第四十二条规定,网络运营者未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。因此,如App运营者在向他人提供个人信息之前,已经对个人信息进行匿名化处理而使其无法识别特定个人且不能复原的,则无需征求用户同意。《个人信息安全规范》也明确了,个人信息经匿名化处理后所得的信息不属于个人信息。
针对该问题,建议App运营者:
(1)如果通过嵌入第三方代码、插件(如sdk)等方式向第三方提供个人信息,应通过弹窗提示等方式明确告知用户获得用户的同意,或者采取匿名化处理、无法识别特定个人且不能复原后,再把该信息向第三方提供;
(2)建议应通过隐私政策等授权文本告知用户对外提供个人信息的目的、第三方的类型并获得用户的授权同意,准确记录和保存对外提供个人信息的情况,包括共享、转让的日期、规模、目的以及第三方基本情况,并开展个人信息安全影响评估进而采取有效的个人信息保护措施。
常见问题之六 未提供删除或更正个人信息功能的情形
该部分主要针对现实中部分App无法更正、删除个人信息和注销用户账号的问题。GDPR中也明确规定了数据主体享有更正和删除个人信息的权利,并且数据控制者应保证操作上具有便利性,这一点《征求意见稿》中并未提及。
针对该问题,建议App运营者:
(1)提供查询、更正、删除个人信息的途径,并提供注销用户账号的途径,且该等途径应该便于用户操作,不应通过隐蔽位置、操作繁琐等方式影响用户权利的实现。
(2)对于提供在线操作方式、客服电话、电子邮件等方式进行删除或更正个人信息的,应确保该等方式的有效性和及时性,确保进行相关操作能够得到及时有效的响应,在隐私政策中明确响应时间;
(3)需要人工处理删除或更正个人信息的情况下,受理后在承诺时限内完成核查和处理,承诺时限不宜超过15个工作日;
(4)如在操作过程中出现突发情况导致暂时无法实现更正、删除或注销操作,应及时告知用户原因并如实告知操作进展。
常见问题之七 侵犯未成年人在网络空间合法权益的情形
该部分主要针对现实中大部分App收集使用14周岁以下(含)未成年人个人信息时未经过监护人同意的问题,但《征求意见稿》中也并未明确提及未成年人个人信息保护的内容。而GDPR中对该部分规定更为严格,将年龄提高到未满16周岁,但各个成员国可根据实际情况下调至不满13周岁。虽然很多App的用户协议和隐私政策中都写到,不收集14周岁以下(含)未成年人个人信息或如用户不满14周岁的需在监管人的陪同下或取得监护人的同意后方能使用App,但实际上只有极少数App尝试对未成年人设限,绝大多数App并未采取任何措施来征得家长同意或对未成年人设限。最近某知名短视频平台便因为对未成年人信息的保护不够重视在海外收到巨额罚单。并且该部分强调了,不仅收集未成年人的个人信息需经监护人同意,利用算法和个人信息向未成年人定向推送新闻、广告等也需要经过监护人同意。这是因为,新闻、广告等推送行为可能会影响人们的习惯,而相比成年人,未成年人不太具备对不良信息的分辨能力,也没有能力控制对不良信息的沉迷,所以需要监护人的监督。但是,对于不需要实行实名制的App而言,要分辨所收集的个人信息是否来自未成年人有较高难度。
另外,值得注意的是,今年3月,国家广播电视总局发布了《未成年人节目管理规定》,并于2019年4月30日起施行。该规定对制作、上传含有未成年人信息的节目及在未成年人专门频道及页面中发布广告明确了有关要求:(1)未成年人节目制作过程中,不得泄露或者质问、引诱未成年人泄露个人及其近亲属的隐私信息(第十三条)。未成年人专门频率、频道、专区、链接、页面中不得出现不适宜未成年人观看的广告(第十八条);(2)网络用户上传含有未成年人形象、信息的节目且未经未成年人法定监护人同意的,未成年人的法定监护人有权通知网络视听节目服务机构采取删除、屏蔽、断开链接等必要措施。网络视听节目服务机构接到通知并确认其身份后应当及时采取相关措施(第二十四条)。如违反上述规定,由县级以上人民政府广播电视主管部门责令限期改正,给予警告,可以并处三万元以下的罚款(第三十六条)。
针对以上问题,建议App运营者:
(1)采取KYC身份认证等方式有效识别未满14周岁的未成年人;
(2)通过提交户口本信息、亲子关系证明文件、录制视频等方式征得监护人同意授权;
(3)如果发现在未事先获得监护人同意的情况下收集了14周岁以下(含)未成年人用户的个人信息,应设法尽快删除相关信息;
(4)利用14 周岁以下(含)未成年人信息和算法开展个性化推送新闻、时政信息、广告等定向推送活动时,需获得监护人的同意,并提供拒绝定向推送活动的功能,所推送的内容必须符合未成年人的心智发展需求。
四 未来的APP运营者面对的挑战及总体建议
今年4月上旬,工作组已向30款用户量大、问题严重的App的运营者发送了整改通知,要求App运营者认真整改、举一反三,及时纠正个人信息收集使用方面存在的问题,并在1个月内将整改情况反馈工作组。逾期不改的,工作组将建议相关部门公开曝光,情节严重的予以下架、停止服务等。而去年12月到今年4月,国家网信办会同有关部门已关停下架违法违规App3.3万款,由此可以看出,国家对违法违规App的打击力度非常大。
虽然在违法违规收集使用个人信息情形的认定方面,《征求意见稿》比GDPR更为细致,但是在法律效力、适用范围、处罚规则上,GDPR的威慑力还是会更强,这个可能和我国数据产业所处的发展阶段有关。但从趋势上看,未来我国对于数据产业的保护与个人隐私信息保护之间的利益平衡,一定会有一个从宽到严的历史发展过程。例如《个人信息保护法》已纳入国家今年的立法规划,国家随后很可能会发布更多针对违法违规收集使用个人信息行为的相关认定办法和执法细则,且对象会覆盖所有个人信息处理者,不限于App运营者,对违法违规行为的处罚也可能加重。
因此,APP运营者应该做好迎接APP总体合规的挑战,在数据生命周期的每个环节上做好相应的合规工作,通过外部数据合规法律顾问,逐步完善自身各方面的合规动作,避免面临被有关监管部门处罚、甚至刑事责任风险。
早在2018年12月,国家网信办已会同有关部门,针对一系列移动APP开展专项整治行动,并关停下架违法违规APP 3万多款,APP乱象得到有效遏制。而今年1月25日,中央网信办、工业和信息化部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》(以下简称“公告”),成立App违法违规收集使用个人信息专项治理工作组(以下简称“工作组”),决定在2019年全年在全国范围内组织开展App违法违规收集使用个人信息专项治理行动。
为了配合专项治理行动,工作组发布《App违法违规收集使用个人信息自评估指南》(以下简称“App自评估指南”),供App运营者进行自查自纠,并同步开始受理对App违法违规收集使用个人信息的举报。截至4月,工作组收到举报信息超过3000余条,涉及1300余款App。从官方公布的举报信息数据来看,“超范围收集与业务功能无关信息”、“强制或频繁索要与业务功能无关权限”、“存在不合理隐私条款”等问题被举报的次数最多。
针对以上一系列所发现的问题,工作组以《网络安全法》等法律法规和国家标准《个人信息安全规范》作为制定依据,制定了《App违法违规收集使用个人信息行为认定方法(征求意见稿)》(以下简称“征求意见稿)”)并于5月5日将其发布并公开征求意见,全文共七大认定方面、三十九项具体认定方法。上述问题均被列入了此次《征求意见稿》当中。
有媒体称,《征求意见稿》是中国的GDPR,中国的GDPR已经到来。那么真的是这样吗?下面我们就其法律效力、适用范围、重要条款进行解读,并就未来APP运营者面临的挑战提供建议。

二《征求意见稿》的法律效力与适用范围
(一)《征求意见稿》的法律效力
《征求意见稿》由工作组起草并发布,而工作组是全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会受四部门中央网信办、工业和信息化部、公安部、市场监管总局委托成立的,工作组开展相关监管行动是由四部门直接指导监督。因此,《征求意见稿》一旦正式实施,应属于在四部门的授权下发布的部门规章。
《征求意见稿》提到,“为App评估和处置提供参考”,即《征求意见稿》正式生效后,工作组开展App违法违规收集使用个人信息安全评估、向执法部门提供处置意见时,可以此作为参考。相对于GDPR的法律效力而言,《征求意见稿》无疑会低一些,GDPR实现了直接适用效力,即其一旦生效就可以立即在欧盟各成员国之内以国内法的形式颁布实施,且其效力优先于各国国内法,被誉为“欧盟数据宪章”。
《征求意见稿》中并没有相关处罚规定,而根据《公告》的规定,有关主管部门对违法收集处理个人信息行为,按照《网络安全法》《消费者权益保护法》等依法予以处罚,包括责令App运营者限期整改;逾期不改的,公开曝光;情节严重的,依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。而GDPR对违法行为的处罚主要以巨额的行政罚款为主,轻者处以1000万欧元或者上一年度全球营收的2%(两者取其高)的罚款;重者处以2000万欧元或者企业上一年度全球营收的4%(两者取其高)的罚款,该罚款数额远高于国内有关法规所规定的行政罚款。另外,成员国可以制定可适用于违反GDPR的其他惩罚的规则,不限于行政罚款。
(二)《征求意见稿》的适用范围
虽然较早前工作组发布了《App自评估指南》,但该指南并不具有法律约束力,其主要适用于App运营者对其收集使用个人信息的情况进行自查自纠。但《征求意见稿》的发布除了为App运营者自查自纠提供指引以外,还针对《网络安全法》的第四十一条和四十三条,明确界定了App收集使用个人信息方面的违法违规行为,相对于《网络安全法》、《个人信息安全规范》及《App自评估指南》而言,关于违法违规收集个人信息行为的认定更加细化。
但是,从适用范围来看,《征求意见稿》仅对App应用方面的违法违规收集使用个人信息行为进行认定,收集主体仅限于App,对线下及网页端的违法收集个人信息行为并不适用;收集信息对象仅限于个人信息,医疗信息、金融信息、政务信息等信息中凡是不涉及个人信息的并不适用《征求意见稿》。而GDPR适用于所有违法处理个人信息的行为。但从目前国家对个人信息保护的重视程度来看,更高层面的相关认定办法及其他监管实施细则可能会陆续出台。因此即使没有运营App的企业也应该对该《征求意见稿》引起足够的重视,认真阅读学习其个中的条文规定。
三 重点条文解读与建议
常见问题之一 没有公开收集个人信息使用规则的情形
该部分主要针对App公开个人信息收集规则过程中所出现的问题:(1)没有设置或公开隐私政策、用户协议,或者即使有隐私政策和用户协议,但其中并没有关于个人信息收集规则的内容;(2)未通过弹窗、链接等显著方式提示用户阅读隐私政策,或出现隐私政策链接无效、文本无法正常显示等情况;(3)虽然公开了隐私政策,但把隐私政策藏在难以发现的位置,进入主界面后要多于4次点击、滑动才能访问到隐私政策;我们认为,其实对于大部分App而言,问题(1)基本已经不存在,更多主要存在问题(2)和(3),例如在注册账户时隐私政策、用户协议的链接用较小的字体和较浅的颜色,导致难以被用户所注意;在使用App过程中想查看隐私政策和用户协议时,在App中点击了许多地方仍然未能发现其设置的地方。
关于这一部分,GDPR仅规定“控制者应当以一种简洁、透明、易懂和容易获取的形式,以清晰和平白的语言”公开收集个人信息使用规则,但并没有像《征求意见稿》一样详细说明何谓“简洁、透明、易懂和容易获取”的情形。
因此,针对这两个问题,可结合《App自评估指南》的评估点和《个人信息安全规范》的相关规定,建议App运营者:
(1)在App安装、注册或首次开启时,主动通过弹窗、链接等方式提示用户阅读隐私政策,并确保隐私政策链接有效、位置突出、无遮挡,链接显示的字号、颜色、行间距等不会造成阅读困难;
(2)隐私政策放置位置放置在“我的-设置”或“我的-关于”子栏目等在4次以内点击、易于访问的位置。
常见问题之二 没有明示收集使用个人信息的目的、方式和范围的情形
该部分主要针对隐私政策中明示收集使用个人信息的目的、方式和范围的条款中所出现的问题:(1)收集使用信息的目的违反合法、正当、必要原则,如仅仅以改善程序功能、提高用户体验、定向推送等为目的收集用户个人信息;(2)没有逐一列出收集个人信息的类型、频率,特别是针对个人敏感信息;(3)收集使用个人信息的目的、方式和范围发生变化,未以适当方式通知用户,适当方式包括更新隐私政策并提醒用户重新阅读授权等;(4)在申请可收集个人信息的权限时,未告知收集使用的目的,如在申请调阅通讯录时没有说明原因;(5)每次要求用户提供个人敏感信息时,如身份证号、银行卡号等,未同步实时说明原因;(6)有关收集使用规则的内容晦涩难懂、冗长繁琐;
关于该部分,与GDPR的规定区别不大,但GDPR中并未规定需明示收集个人信息的频率,而根据《个人信息安全规范》(2019年征求意见稿)也提到,需要根据满足所使用的业务功能需要的频率来收集个人信息。
以上问题存在一定普遍性,例如在很多隐私政策中将改善程序功能、改善服务质量、提高用户体验等目的作为收集使用个人信息的目的;更新隐私政策时没有已适当的形式告知客户;在申请调阅通讯录、联系人时没有说明收集原因,仅询问是否可以授权访问用户的通讯录等等。
针对以上问题,建议App运营者:
(1)将改善程序功能、提高用户体验、研发新产品等目的更加细化,与其他业务功能相结合,说明是为了什么业务去收集个人信息,确保收集使用个人信息的类型与具体业务功能相对应;
(2)把每个业务功能收集的个人信息的类型、频率在隐私政策中列出来;
(3)建议更新隐私政策时,通过App弹窗、推送通知、电子邮件等方式通知用户,并提醒用户重新阅读后进行授权;
(4)在申请可收集个人信息的系统权限时,应明确告知用户使用权限的目的;
(5)在每次要求用户提供身份证、银行卡号等个人敏感信息时,通过弹窗等显著方式说明收集使用目的、方式、范围等原因,并明确告知拒绝提供的影响;
(6)确保收集使用规则的内容清晰易懂,框架结构清晰明了,可参考使用图文并用的方式进行说明。
常见问题之三 未经同意收集使用个人信息的情形
该部分主要针对App未经同意收集使用个人信息的问题,主要存在以下情形:(1)未经同意便开始收集个人信息;(2)用户明确拒绝后,仍收集个人信息;(3)实际收集使用的个人信息超出用户授权的范围;(4)利用用户信息和算法定向推送新闻、广告等,未提供终止定向推送的选项;(5)未经用户同意,私自调用可收集用户个人信息权限;(6)在未打开或使用App时,App后台调用用户个人信息;(7)未经用户同意私自更改用户设置的权限;(8)用户明确拒绝App收集个人信息请求,App仍频繁征求用户同意,干扰用户正常使用。其中第(8)项比较特别,严格意义上来说,App频繁征求用户同意,干扰用户正常使用的情形很难被认定为未经同意收集使用个人信息的情形,但监管部门可能在执法过程中发现该问题比较严重,因此也把该情形列入了“未经同意收集使用个人信息的情形”,GDPR对该情形也没有相关的规定。
我们认为,App未经同意收集使用个人信息的问题是最难被用户所发现的,因为很多App不知不觉地在后台便收集了用户的个人信息,因此针对这部分问题更需要监管部门对App运营者进行定期监督检查。对于以上问题,最容易被用户发现且往往被App运营者忽略的是上述的问题(4)、(7)和(8)。例如在现实中,很多新闻类和购物类App为了更好方便用户找到适合自己的新闻、广告等,都会根据用户的网络浏览历史、兴趣爱好、消费记录和习惯等个人信息,通过算法实现将新闻、广告等精准地推送至特定用户,但往往忽略用户的自主选择的权利。
值得注意的是,在《电子商务法》第十八条中也特别提到了对用户的这种针对推送广告、推荐偏好产品的自主选择权利的保护,规定电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的,应当同时向该消费者提供不针对其个人特征的选项,如违反该规定,根据该法第七十七条,由市场监督管理部门责令限期改正,没收违法所得,可以并处五万元以上二十万元以下的罚款;情节严重的,并处二十万元以上五十万元以下的罚款。《个人信息安全规范》亦规定“应保障个人信息主体拒绝接收基于其个人信息推送的商业广告的权利”。此外,还有很多App利用系统更新升级便更改原有的系统权限设置;不给权限或者拒绝收集个人信息请求情况下App会出现闪退、反复弹窗等情形。
针对以上问题,建议App运营者:
(1)在App首次运行、提示用户阅读隐私政策等情形下,根据用户主动填写、点击、勾选等自主行为获得用户同意后再开始收集用户个人信息;
(2)收集个人信息应获得用户的同意,用户明确拒绝后不得通过隐秘收集等方式继续收集个人信息;
(3)按照隐私政策等用户授权文本范围,收集使用个人信息,避免出现实际收集使用个人信息的目的、方式和范围与隐私政策等用户授权文本范围不一致的情况;
(4)结合《个人信息安全规范》的要求,建议利用用户信息和算法定向推送新闻、广告、信息等,应以显著方式标明“个性化展示”或“定推”等字样,并向用户提供简单直观的退出定向推送的选项;
(5)建议根据用户主动点击、勾选等自主同意行为,作为调用可收集用户个人信息权限的开启条件;
(6)建议在用户打开或使用App时再行调用用户最新的个人信息,并符合公开的收集使用规则进行收集使用;
(7)建议申请调用个人信息权限应获得用户的同意,不得未经用户同意私自更改用户权限设置,不得利用系统更新升级更改原有的系统权限设置;
(8)建议在用户明确拒绝收集个人信息请求后,不得频繁征求用户同意。用户明确拒绝个人信息请求应仅影响与拒绝提供个人信息相关的业务功能,不得影响用户正常使用其他业务功能。
常见问题之四 违反必要性原则,收集与其提供的服务无关的个人信息的情形
该部分主要针对App违反必要性原则,收集与其提供的服务无关的个人信息,用户不提供的话则无法使用任何功能等问题。在该部分中较为值得关注的是以下问题:(1)捆绑多项业务功能一揽子征求用户同意,不同意则不提供任何单一服务;(2)当用户拒绝某一业务功能收集个人信息的请求时,App停止提供其他业务功能;(3)如提供未经注册即可使用(如支持浏览、游客模式)的业务功能,用户若不同意收集此类业务功能所需以外的个人信息,App拒绝提供所有服务;新增业务功能时,需收集的个人信息超出原有同意范围,如用户不同意收集,则拒绝提供原有业务功能,新增业务功能将取代原有业务功能的除外;(4)申请打开可收集无关信息的权限。
GDPR中也有相关的规定,规定个人数据的处理必须是“相关的和必要的”,数据主体作出的同意必须是自由作出的,不得强制要求数据主体同意不必要的个人数据处理行为。而在《征求意见稿》中,把常见的情形都进行了详细列举。
在现实,很多用户都遇到过上述的问题,例如用户安装App时就声明索要所有权限,一旦安装,这些权限就默认打开,不同意的话便无法安装或安装后无法使用App;有些App所提供的服务根本无需使用手电筒、万年历、位置信息等权限收集信息,但依然要求用户进行相关授权。
针对以上问题,建议App运营者:
(1)不应通过捆绑多项业务功能的方式要求用户一次性接受并授权同意多项业务功能收集个人信息的请求。用户不同意应仅影响与所拒绝提供个人信息相关的业务功能,不得影响其他业务功能的正常使用,不得以不同意一揽子授权为理由不提供任何单一服务;
(2)新增业务功能超出原有同意范围的情况下,应征求用户自主选择同意。用户不同意收集,应仅影响用户使用新增业务功能,不得影响用户使用原有业务功能。但新增业务功能取代原有业务功能导致业务功能发生变更的除外;
(3)建议不得申请打开可收集无关信息的权限,不应收集与业务功能无任何关系的个人信息。
常见问题之五 未经同意向他人提供个人信息的情形
该部分主要针对App未经同意向他人提供个人信息的问题,严重时,可能涉及我国刑事责任,涉嫌侵犯公民个人信息罪,可判处处三年以上七年以下有期徒刑,并处罚金。该问题也是很难被用户所发现,即使怀疑App存在该行为,也很难举证证明App存在该行为。在司法实践中,除非被转让的信息具有特殊性,例如“庞理鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案”中,个人信息结合航班信息,法院可推断航空公司App具有向第三方泄漏信息的高度盖然性,从而认定该App未经用户同意向他人泄漏信息。除此以外,在如今的互联网环境,如此多App收集用户个人信息,即使知道个人的普通个人信息被泄漏了,也难证明哪个App“具有向第三方泄漏信息的高度盖然性”。所以针对该问题,需要监管部门加强对App运营者的监督检查。
另外,根据《网络安全法》第四十二条规定,网络运营者未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。因此,如App运营者在向他人提供个人信息之前,已经对个人信息进行匿名化处理而使其无法识别特定个人且不能复原的,则无需征求用户同意。《个人信息安全规范》也明确了,个人信息经匿名化处理后所得的信息不属于个人信息。
针对该问题,建议App运营者:
(1)如果通过嵌入第三方代码、插件(如sdk)等方式向第三方提供个人信息,应通过弹窗提示等方式明确告知用户获得用户的同意,或者采取匿名化处理、无法识别特定个人且不能复原后,再把该信息向第三方提供;
(2)建议应通过隐私政策等授权文本告知用户对外提供个人信息的目的、第三方的类型并获得用户的授权同意,准确记录和保存对外提供个人信息的情况,包括共享、转让的日期、规模、目的以及第三方基本情况,并开展个人信息安全影响评估进而采取有效的个人信息保护措施。
常见问题之六 未提供删除或更正个人信息功能的情形
该部分主要针对现实中部分App无法更正、删除个人信息和注销用户账号的问题。GDPR中也明确规定了数据主体享有更正和删除个人信息的权利,并且数据控制者应保证操作上具有便利性,这一点《征求意见稿》中并未提及。
针对该问题,建议App运营者:
(1)提供查询、更正、删除个人信息的途径,并提供注销用户账号的途径,且该等途径应该便于用户操作,不应通过隐蔽位置、操作繁琐等方式影响用户权利的实现。
(2)对于提供在线操作方式、客服电话、电子邮件等方式进行删除或更正个人信息的,应确保该等方式的有效性和及时性,确保进行相关操作能够得到及时有效的响应,在隐私政策中明确响应时间;
(3)需要人工处理删除或更正个人信息的情况下,受理后在承诺时限内完成核查和处理,承诺时限不宜超过15个工作日;
(4)如在操作过程中出现突发情况导致暂时无法实现更正、删除或注销操作,应及时告知用户原因并如实告知操作进展。
常见问题之七 侵犯未成年人在网络空间合法权益的情形
该部分主要针对现实中大部分App收集使用14周岁以下(含)未成年人个人信息时未经过监护人同意的问题,但《征求意见稿》中也并未明确提及未成年人个人信息保护的内容。而GDPR中对该部分规定更为严格,将年龄提高到未满16周岁,但各个成员国可根据实际情况下调至不满13周岁。虽然很多App的用户协议和隐私政策中都写到,不收集14周岁以下(含)未成年人个人信息或如用户不满14周岁的需在监管人的陪同下或取得监护人的同意后方能使用App,但实际上只有极少数App尝试对未成年人设限,绝大多数App并未采取任何措施来征得家长同意或对未成年人设限。最近某知名短视频平台便因为对未成年人信息的保护不够重视在海外收到巨额罚单。并且该部分强调了,不仅收集未成年人的个人信息需经监护人同意,利用算法和个人信息向未成年人定向推送新闻、广告等也需要经过监护人同意。这是因为,新闻、广告等推送行为可能会影响人们的习惯,而相比成年人,未成年人不太具备对不良信息的分辨能力,也没有能力控制对不良信息的沉迷,所以需要监护人的监督。但是,对于不需要实行实名制的App而言,要分辨所收集的个人信息是否来自未成年人有较高难度。
另外,值得注意的是,今年3月,国家广播电视总局发布了《未成年人节目管理规定》,并于2019年4月30日起施行。该规定对制作、上传含有未成年人信息的节目及在未成年人专门频道及页面中发布广告明确了有关要求:(1)未成年人节目制作过程中,不得泄露或者质问、引诱未成年人泄露个人及其近亲属的隐私信息(第十三条)。未成年人专门频率、频道、专区、链接、页面中不得出现不适宜未成年人观看的广告(第十八条);(2)网络用户上传含有未成年人形象、信息的节目且未经未成年人法定监护人同意的,未成年人的法定监护人有权通知网络视听节目服务机构采取删除、屏蔽、断开链接等必要措施。网络视听节目服务机构接到通知并确认其身份后应当及时采取相关措施(第二十四条)。如违反上述规定,由县级以上人民政府广播电视主管部门责令限期改正,给予警告,可以并处三万元以下的罚款(第三十六条)。
针对以上问题,建议App运营者:
(1)采取KYC身份认证等方式有效识别未满14周岁的未成年人;
(2)通过提交户口本信息、亲子关系证明文件、录制视频等方式征得监护人同意授权;
(3)如果发现在未事先获得监护人同意的情况下收集了14周岁以下(含)未成年人用户的个人信息,应设法尽快删除相关信息;
(4)利用14 周岁以下(含)未成年人信息和算法开展个性化推送新闻、时政信息、广告等定向推送活动时,需获得监护人的同意,并提供拒绝定向推送活动的功能,所推送的内容必须符合未成年人的心智发展需求。
四 未来的APP运营者面对的挑战及总体建议
今年4月上旬,工作组已向30款用户量大、问题严重的App的运营者发送了整改通知,要求App运营者认真整改、举一反三,及时纠正个人信息收集使用方面存在的问题,并在1个月内将整改情况反馈工作组。逾期不改的,工作组将建议相关部门公开曝光,情节严重的予以下架、停止服务等。而去年12月到今年4月,国家网信办会同有关部门已关停下架违法违规App3.3万款,由此可以看出,国家对违法违规App的打击力度非常大。
虽然在违法违规收集使用个人信息情形的认定方面,《征求意见稿》比GDPR更为细致,但是在法律效力、适用范围、处罚规则上,GDPR的威慑力还是会更强,这个可能和我国数据产业所处的发展阶段有关。但从趋势上看,未来我国对于数据产业的保护与个人隐私信息保护之间的利益平衡,一定会有一个从宽到严的历史发展过程。例如《个人信息保护法》已纳入国家今年的立法规划,国家随后很可能会发布更多针对违法违规收集使用个人信息行为的相关认定办法和执法细则,且对象会覆盖所有个人信息处理者,不限于App运营者,对违法违规行为的处罚也可能加重。
因此,APP运营者应该做好迎接APP总体合规的挑战,在数据生命周期的每个环节上做好相应的合规工作,通过外部数据合规法律顾问,逐步完善自身各方面的合规动作,避免面临被有关监管部门处罚、甚至刑事责任风险。
