收藏:App隐私政策常见的九大问题及合规建议

来源:iLaw合规

文章摘要
《个人信息保护法》的实施,无论是从刑事、行政亦或民事责任,给予了个人信息权益全方位立体化的保护。

《个人信息保护法》的实施,无论是从刑事、行政亦或民事责任,给予了个人信息权益全方位立体化的保护。例如《个人信息保护法》第71条之规定与刑法进行了有效衔接;第69条之规定与《民法典》等进行了有效衔接;第66条之规定赋予了监管部门对违法企业处以没收违法所得、罚款、吊销业务许可、禁止市场准入等多元化处罚措施的权力。
这也意味着《个人信息保护法》实施后,监管部门将会采取多元化的监管治理措施,也将会出现对违法企业处以5000万元以下罚款或年度营业额5%的罚款,甚至吊销业务许可的处罚案例。
数据资产已成为企业重大资产项,企业根据自身所掌握的数据资产情况做好数据保护与合规,将会成为企业自身区别性竞争优势所在。笔者曾研究过众多App隐私政策,本文仅从企业App隐私政策角度,总结了九大项App隐私政策常见的问题及合规操作建议,供读者参考。

新闻资讯类、电子阅读类、实用工具类App无须收集个人信息,即可使用基本功能服务,但市场上仍存在一些App超范围收集个人信息,App隐私政策中也存在非必要个人信息收集选项。
工信部于2021年10月15日《关于下架侵害用户权益App名单的通报》中显示多款App被通报的原因都是强制、频繁、过度索取权限、超范围收集个人信息。
|合规建议:
1. 公司根据《常见类型移动互联网应用程序必要个人信息范围规定》,准确界定公司App类型,明确该类型App收集必要个人信息的范围。
2. 在App《隐私政策》中明确列明需收集必要的个人信息范围,并明确表明“本App的基本功能为{ }、{ },有必要收集您{ }、{ }个人信息,如您不同意收集前述信息,将无法使用本App功能”或者“本App的基本功能为{ }、{ },无需收集您任何个人信息”等类似表述。
3. 在App《隐私政策》中明确区分基本功能服务和非基本功能服务,非基本功能服务列明具体服务,该具体服务需要收集个人信息的范围,比如某App的VIP服务需要收集个人信息中的手机号,甚至身份证号、人脸照片等。
*法律依据:
《个人信息保护法》第五条:处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
《常见类型移动互联网应用程序必要个人信息范围规定》第5条

当你下载某款App时,App会弹出《用户服务协议》和《隐私政策》,并提供“同意”和“不同意”选项,当你选择“不同意”时,将面临无法使用App的困境。一些App会将收集个人信息的种类、范围与其功能或服务相捆绑,用户为了使用该App,往往被迫接受“一揽子协议”,被迫接受自己的某些信息被App收集。
2019年7月11日,App专项治理工作组发布《关于10款App存在无隐私政策等问题的通报》,通报了20款App要求用户一次性同意开启多个可收集个人信息权限,不同意则无法安装使用。
|合规建议:
App弹出框可分两步,第一步仅弹出《用户协议》,并提供“同意”和“不同意”选项,如果此时用户选择“不同意”,则无法使用App。
当用户选择“同意”时,App再弹出《隐私政策》,如用户选择“同意”,则用户可正常使用App,如用户选择“不同意”,则用户无法使用App或仅能使用App的基本功能或服务。
*法律依据:
《个人信息保护法》第六条:收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
《个人信息保护法》第十六条:个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
《App违法违规收集使用个人信息行为认定方法》第4条第2款第6款规定:因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能。要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。
《深圳经济特区数据条例》第十二条:数据处理者不得以自然人不同意处理个人数据为由,拒绝向其提供相关核心功能或者服务。但是,该个人数据为提供相关核心功能或者服务所必需的除外。

市场上几乎每款App都会涉及到广告推送或其他信息推送,其App隐私政策中也会提及自动化决策或个性化的推送,但却没有规定非定向推送,亦没有提供用户拒绝自动化决策或个性化推送的方式。
2021年7月19日,工信部官网公示了2021年第六批“关于侵害用户权益行为的App通报”,其中团油App因强制用户使用定向推送功能再被通报。
|合规建议:
1. 公司在《隐私政策》中明确自动化决策的概念,明确App自动化决策收集了哪些个人信息。
2. 《隐私政策》中明确自动化决策或个性化推送应用的场景,比如推送营销广告、新闻资讯、服务等,并标示该广告属于个性化推送或自动化决策。
3. 《隐私政策》中明确用户拒绝个性化推荐的路径,该路径要清晰明确方便易找,比如载明“设置—隐私设置—个性化推荐”等清晰的路径,或者在实际推送中同时提供不针对其个人特征的选项。
*法律依据:
《个人信息保护法》第二十四条:个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
《App违法违规收集使用个人信息行为认定方法》第3条第6款规定:利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项。

有些App《隐私政策》仅公示QQ号,用于用户撤回同意、表达疑问、发表意见等,但实际上如有用户意欲提出意见建议等而加该QQ号,经常发现该QQ号不同意你的好友添加。此外仅有QQ号方式不够便捷,且QQ号的安全性、指向性均较差。
|合规建议:
1. 《隐私政策》中多列几种联系方式,比如微信、微信公众号、邮箱、客服热线、在线客服等,如某宝隐私政策中列明了客服热线电话、在线客服、意见反馈等方式。
2. 除在《隐私政策》中明确联系方式外,在App页面适当位置列明联系方式,用户通过App页面找到联系方式的操作步骤尽控制在3步以内。
*法律依据:
《个人信息保护法》第十五条:基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。
《App违法违规收集使用个人信息行为认定方法》第3条第8款规定:未向用户提供撤回同意收集个人信息的途径、方式。

App《隐私政策》载明:“您可以与我们联系随时给予或撤回您的授权”,但是没有给出相应的联系方式,或者给出了联系方式,但联系方式单一,或无法联系。
|合规建议:
详见上方问题(四)合规建议。
*法律依据:
《信息安全技术个人信息安全规范》的“个人信息保护政策模板”要求:“每个业务功能需要一些基本的个人信息才能得以完成。对于额外收集的个人信息的收集和使用,您可以随时给予或收回您的授权同意。您可以通过以下方式自行操作:……”

有的App未列明第三方SDK收集用户个人信息目的、方式、范围,有的仅列明部分第三方SDK,有的仅列明收集的个人信息部分范围等问题。
|合规建议:
1. 在《隐私政策》中明确列明SDK的种类、每种SDK收集个人信息目的、范围、方式,用户拒绝某SDK收集个人信息的路径。
2. 在《隐私政策》中链接上各SDK的隐私政策,使用户能够便捷查询。
3. 《隐私政策》中附带第三方SDK清单,详细列明SDK收集个人信息目的、范围、方式。
*法律依据:
《个人信息保护法》第二十一条:个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。
《个人信息保护法》第二十三条:个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
《App违法违规收集使用个人信息行为认定方法》第2条第1款规定,“未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等”。

通常,App《隐私政策》给出了查询或获取个人信息的路径,如在App中点击“我的”-“个人信息”。但实际上,用户需在App中点击“我的”,然后点击左上角头像,才能看到个人信息。而且,个人信息中只有ID、头像、昵称、性别、生日这几项,种类和范围远少于App收集的个人信息。
|合规建议:
1. 《隐私政策》中明确用户查询、复制个人信息的清晰路径,明确用户联系App平台的有效联系方式。
2. 用户联系App平台获取个人信息时,平台要及时反馈并及时提供。
3. 在App适当位置增加转移个人信息到指定位置的操作路径。
*法律依据:
《个人信息保护法》第四十五条:个人有权向个人信息处理者查阅、复制其个人信息;有本法第十八条第一款、第三十五条规定情形的除外。个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。

市场上常见App的《隐私政策》中均有关于未成年人个人信息保护的条款,但往往都是条款比较单一简单,或虽有专门的未成年人信息保护规则,却不能便捷查询,已无法满足《个人信息保护法》的规范要求,例如某App虽制定了《儿童个人信息保护规则》,但仅在用户首次登陆时有该链接,登陆之后再查询却无链接。
|合规建议:
1. 《隐私政策》中明确列明App是否适合未成年人使用,不满十四周岁未成年人的个人信息为敏感个人信息。
2. 针对十四周岁以下未成年人,单独制定独立于《隐私政策》外的《未成年人隐私政策》的规则,并将其与《隐私政策》并列供用户随时查阅。
*法律依据:
《个人信息保护法》第三十一条:个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。

下载App后,查看手机中该App获取的权限,下列权限经常会被默认获取,有的App甚至未提供用户拒绝的选项:
①与蓝牙设备配对:允许应用查看手机上的蓝牙配置,以及建立和接受与配对设备的连接;
②检索正在运行的应用:允许应用检索近期和当前运行的任务信息。此权限可让该应用了解设备上使用了其他哪些应用;
③从您的媒体收藏中读取位置信息:允许该应用从您的媒体收藏中读取位置信息;
④获取手机及通话状态;
⑤读取应用列表;
⑥访问日历;
⑦询问相机;
⑧询问录音;
⑨读写手机存储。
|合规建议:
1. 《隐私政策》中明确设备权限不会被默认开启,比如“您同意本隐私政策后,相应设备权限不会被默认开启,当您使用相应业务功能需要开启相应设备权限时,将另行弹窗提示您并经得您同意后,开启相应权限。”等类似表述。
2. 《隐私政策》中明确不同业务功能可能会使用用户不同的设备权限。
3. 当用户使用特定业务功能时,弹出相应的调取设备权限的弹窗,供用户选择。
4. 在App设置区域,列明用户可随时进行权限管理功能。
作为国内首部个人信息保护的专门法律,《个人信息保护法》的颁布施行,既是国家发展战略的部署实施,又彰显了国家对公民个人信息权益保护的重视与决心,随之而来的将会是监管部门的更加多样化的监管措施和切肤之痛的处罚力度,灰产地带将会进一步被压缩。
作为个人信息保护的关键一环,掌握个人信息的互联网经营者,与其被动而行,不如主动合规,顺势而为,化监管压力为企业发展驱动力,真正做到快人一步,领先一路。

技术驱动法律,专业成就未来