App个人信息安全防范指引(征求意见稿)逐条解读

来源:策略律师

文章摘要
2020年3月30日,全国信息安全标准化技术委员会秘书处发布了关于《网络安全标准实践指南—移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)》公开征求意见的通知(以下简称《通知》)。

2020年3月30日,全国信息安全标准化技术委员会秘书处发布了关于《网络安全标准实践指南—移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)》公开征求意见的通知(以下简称《通知》)。《通知》给出了当前App个人信息保护合规的常见问题和防范策略,建议App(含小程序)运营者和疫情防控App参考本实践指南,采取相应措施持续提升个人信息保护。
2019,之于大数据行业是极为动荡的一年,在这一年,行业的企业应该都明显感受到了来自监管的强大压力和来自公众的更多关注。从数据的获取、保存到数据的使用,面临着监管合规的巨大压力。在这一年,监管的步伐未曾停下,各部委联合执法和App运营企业违规通报屡见报端,银行、科技独角兽、中小企业,都曾出现在黑名单上。
自疫情爆发以来,个人信息大数据的利用为疫情防控提供了强大的数据支持。在民众感叹“神奇”的同时,也是“个人信息保护”权利意识的进一步觉醒。可以预见的是,在以后的日子,监管在横向维度上会更加全面,在纵向维度会更加长远,而民众保护意识的加强,也将倒逼企业开展数据合规工作。涉“数据”企业的“数据合规线”,将成为其“生命线”。
前几日,有媒体报道5.38亿微博用户信息在暗网出售,其中,有账户信息的1.72亿条数据被标价0.177个比特币(时值人民币8000余元)出售,绝大多数惊诧、惶恐的人可能并不不知道,这只是数据黑产的冰山一角而已。极其廉价的用户信息也说明了用户信息获取的成本极低,用户信息的保护极度缺位,用户信息的监管,亟需加强。
提及个人信息保护,对于笔者来说有特别的意义。
2014年,笔者所在律师团队庞理鹏律师出差时遭遇了航班信息诈骗电话,施骗一方根据精准的航班信息实施电话诈骗,庞理鹏律师认为东航和趣拿泄露了姓名、手机号及航班信息,侵犯了隐私权,于是将东航和趣拿诉至法院。
该案历经一审败诉,二审翻案,北京市一中院认定东航和趣拿侵犯了庞理鹏隐私权,并判决要求上述两被告道歉。该案作为最高人民法院发布的第一批涉互联网典型案例被收录。

最高人民法院是这样评述上述案例的典型意义:
公民的姓名、电话号码及行程安排等事项属于个人信息。在大数据时代,信息的收集和匹配成本越来越低,原来单个的、孤立的、可以公示的个人信息一旦被收集、提取和综合,就完全可以与特定的个人相匹配,从而形成某一特定个人详细准确的整体信息。
此时,这些全方位、系统性的整体信息,就不再是单个的可以任意公示的个人信息,这些整体信息一旦被泄露扩散,任何人都将没有自己的私人空间,个人的隐私将遭受威胁。
因此,基于合理事由掌握上述整体信息的组织或个人应积极地、谨慎地采取有效措施防止信息泄露。任何人未经权利人的允许,都不得扩散和不当利用能够指向特定个人的整体信息。
从2014到2020,我们很欣慰地看到法律对个人信息的保护已经从个案,走向了全面立法。
回归到本文主题,《通知》主要就App收集用户个人信息的常见情况进行了解读和指引。其中比较特殊的一点是,除了常规的内容之外,还涉及到疫情期间App运营者获取用户数据的一些主要注意问题,下面我们对这些问题进行逐一解读。
01 超范围收集
App超范围收集个人信息是最常见的问题,《通知》明确了超范围收集的三种主要情形:
第一是收集无关信息,即App收集的用户信息与实现其功能无关,比如未提供短信相关功能的App申请短信读取的权限。本条强调的是App不应当收集与其服务无关的个人信息;
第二是强制收集非必要信息;
必要信息是指保障App功能正常运行所最少够用的个人信息,一旦缺少将导致App的服务无法正常运行,以及法律法规要求必须收集的信息。所谓“强制”,是指用户不同意收集非必要个人信息的,App就拒绝提供服务。《通知》中举例“例如浏览器强制收集用户位置信息,拒绝提供的,将无法使用App任何功能。
第三是收集频率不合理。以酒店预定App为例,每隔1秒上传一次用户精准定位。
这一问题可以总结为:
1.收集用户信息要遵循最小必要原则;
2.不收集与服务无关的个人信息;
3.App收集个人信息前应提前向用户明示收集信息之目的、方式、范围、用途等。
针对疫情,这一问题也提出了两点建议:
1.App 收集疫情联防联控所必需的个人信息坚持最小范围原则,收集对象原则上限于确诊者、疑似者、密切接触者等重点人群,一般不针对特定地区的所有人群。
2.针对一些没有高风险的区域、场所或不涉及高风险人群,疫 情防控 App 宜尽可能缩小身份登记的个人信息填写范围,达到可追溯的目的即可。例如,收集个人信息可参考“前台匿名,后台实名”等方式,用户可提供手机号,无需填写身份证号或上传身份证图片。
上述内容应当引起疫情防控类App的高度重视。
02 无法注销或设置不合理注销条件
《通知》列举了两种情形。
第一,无法注销或者注销机制无效;
第二,设置不合理注销条件。
众所周知,用户数量是互联网产品估值的重要标准,这也就不难理解为何互联网App没有设置注销机制的动力,或者增加注销程序要求这一壁垒了。《App违法违规收集使用个人信息行为认定方法》中第六条就明确提及了这一点。
App账户注销合规的关键点在于提供便利的注销功能,不设置不合理的注销条件。除了上述之外,设置注销功能反馈的通道,接入人工处理用户要求。进一步来讲,用户注销后,对相关数据的处理也是合规的要点。
针对疫情,这一问题也提出了建议:
明确疫情防控 App 收集个人信息的使用范围、保存时间和事后处置措施,确保为疫情防控、疾病防治收集的个人信息,不用于其他用途,并在疫情结束后能够及时删除或依法合理处置,涉及账号注册功能的,应提供注销功能。
03 强制捆绑授权
2019年1月25日,中央网信办、工信部、公安部、市场监管总局四部门曾强调,App运营者收集使用个人信息时,不得以默认、捆绑、停止安装使用等手段变相强迫用户授权。
《通知》中列举了三种情形。
第一,必须同意开启 App 申请的所有权限,否则无法安装或使用;
第三,必须同意开启所有服务类型,否则无法使用;
第三,频繁索权。
前两种情形都比较好理解,第三种频繁索权是指对于用户可选提供的系统权限,在用户拒绝后,每当其重新打开 App 或进入相应界面,都会再次向用户索要或以弹窗等形式提示用户缺少相关权限,干扰用户正常使用。
本条对App运营者提出了更高的App功能区分要求。
04 无隐私政策
隐私政策之于App个人信息保护是重中之重。《App违法违规收集使用个人信息行为认定方法》中,第一条就是关于隐私政策的规定。
两年多来,策略链法团队为很多互联网、区块链企业提供了制定隐私政策的专项法律服务,我们在以后的文章中会就隐私政策的合规进行详细解读。
《通知》列出了两种App无隐私政策的情形:
第一,未制定个人信息收集使用规则。包括没有制定隐私政策,以及隐私政策未包含收集使用个人信息规则;
第二,未在 App 中公开隐私政策。
针对这一问题,有两点需要注意:
一是App运营企业切记要单独制定隐私政策。
二是要参考GB/T35273-2020《信息安全技术个人信息安全规范》,公开所收集个人信息的类型、收集目的、使用规则等内容。
对一些疫情防控类App,《通知》提出可以“简版隐私政策”、“个人信息保护声明”,但不能缺少前文提及的内容。
05 默认选择同意
《通知》中列举了两种默认选择同意的情形:
第一,默认勾选同意;
第二,诱导用户略过隐私政策。
前者主要是对服务协议和隐私政策的默认勾选同意。后者则主要是采取缩小字号等手段,在视觉上诱导用户略过隐私政策等内容。
默认选择同意是典型的“未经用户同意收集使用个人信息”,属于违法违规收集用户信息的行为。
App运营者应在两个维度注意这一问题。
在App使用流程维度上,首次打开App或者用户注册时,应主动提示用户阅读隐私政策,在获得用户同意前,不得收集用户信息或者获取相应权限。
在提醒用户维度上,一是要避免默认勾选同意。二是要采用显著的方式提醒用户阅读后同意隐私政策的选项,并为用户提供主动选择同意的选项。
06 未充分明示个人敏感信息使用规则
这里的个人敏感信息包括身份证号码、银行卡号、生物特征识别信息(人脸识别)等。
这里的未充分明示是指App未以显著方式同步告知收集目的、使用规则、安全保护措施等内容。
尤其需要注意的是App在收集人脸信息前未展示单独协议或进行显著特殊说明,在用户点击“继续”按钮后,在无任何提示的情况下App就开始采集用户的人脸信息。
我们最近在使用的小程序“北京健康宝”就需要遵守上述规则。其在人脸识别时,会显示特殊的说明。

对于App运营者而言,在收集个人敏感信息时,要以弹窗、文字备注、单独协议征得同意等显著方式,同步告知个人敏感信息的收集目的、使用规则、安全保护措施等。
疫情防控期间,类似于上述北京健康宝类的App或者小程序,在收集用户详细地址、行程证明(如机票、船票、火车票)、个人健康生理信息(如体温信息)等个人敏感信息时,宜同步告知用户使用目的。
07 申请权限目的不明
《通知》列举了两种情形:
第一,未告知申请目的;
第二,目的告知不明确。
这一点的要求就很明确,App在收集用户信息时,应当明确告知权限申请的目的。
这里的明确告知要求准确到具体的使用目的,不能模糊,且易于用户理解,要避免使用晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等。
08 未提供删除、更正或投诉举报的功能或渠道
《通知》列举了三种情形:
第一,未按规定提供删除个人信息功能;
第二,未按规定提供更正个人信息功能;
第三,未提供个人信息安全投诉举报渠道。
上述三种情形实际上是将《App违法违规收集使用个人信息行为认定方法》第6条内容进行了汇总。
针对疫情防控相关App,这一条提出了通过个人信息的大数据分析等自动化决策机制来判断用户个人健康状态的疫情防控App,应提供反馈渠道及时处理因自动化决策机制而严重影响用户个人权益的问题。
因为目前很多疫情防控的App在利用大数据分析用户健康状态时,出现不准确的情形时(比如因为数据不完整、数据更新不及时等问题),给用户提供一个“申诉”渠道,及时更正健康状态分析结果,避免影响用户个人权益。
09 隐私政策内容与实际不符
《通知》列出了三种情形。分别是超范围收集、少于隐私政策所述范围、隐私政策所述与实际情况存在偏差。
针对这一条,大家可能会有疑问,为何收集信息少于隐私政策所述范围也不可以?实际上,结合其他已出台的规定和政策来看,这一条在强调的是隐私政策与收集信息的同一性,这种同一性,表现在以下几点:
1.与App业务一一对应,保持同一性;
2.App收集个人信息的功能设计与隐私政策保持同一,调整也应当保持同一性;
3.实际收集使用的个人信息,不超出用户授权范围,与用户授权范围保持同一。
此外,需要强调的一点是,一一对应还要求不能采取“等、例如”等不完整列举方式说明收集个人信息的目的、类型、方式。
10 隐未告知同意第三方SDK收集行为
SDK是software development kit的缩写,是指“软件开发工具包”。第三方SDK大家常见的有支付类微信支付、支付宝,统计类如友盟、百度统计。
SDK是集成在App里的第三方工具包。它们可以帮助App高效率、低成本地实现支付、统计、社交、地图等一系列功能。
比如我们在使用美团外卖时,除了可以使用美团支付外,也会使用第三方合作机构如微信支付或者支付宝支付来完成外卖的支付。在这个过程中,微信或者支付宝就是第三方SDK,它们通过美团外卖获取了你的相关信息,美团外卖需在其隐私政策中,对此进行明示。
《通知》列举了两种情形,其一是未明示第三方SDK的收集行为。其二是未经同意通过第三方SDK向第三方提供个人信息。前者要求对嵌入的第三方SDK收集用户信息的行为进行明示,后者要求向第三方提供个人信息需经用户同意。
附:全文
防范指引内容部分来源:全国信息安全标准化技术委员会秘书处
关于《网络安全标准实践指南—移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)》公开征求意见的通知

信安秘字[2020]18号


各有关单位:
为帮助App运营者了解和重视个人信息保护合规常见问题,采取相应措施持续提升App个人信息保护水平,秘书处组织编制了《网络安全标准实践指南—移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)》。
根据《全国信息安全标准化技术委员会<网络安全标准实践指南>管理办法(暂行)》要求,秘书处现组织对《网络安全标准实践指南—移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)》面向社会公开征求意见。如有意见或建议,请于2020年4月13日前反馈至秘书处。
联系人:周晨炜
010-64102743 zhoucw@cesi.cn

全国信息安全标准化技术委员会秘书处


2020年3月30日



















技术驱动法律,专业成就未来