App个人信息保护专项治理数据全景分析

来源:TMT法律论坛

文章摘要
导读 为规范个人信息的收集使用,打击涉个人信息违法犯罪行为,2019年1月,中央网信办、工业和信息化部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,在全
导读
为规范个人信息的收集使用,打击涉个人信息违法犯罪行为,2019年1月,中央网信办、工业和信息化部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,在全国范围组织开展App违法违规收集使用个人信息专项治理,并成立App违法违规收集使用个人信息专项治理工作组(以下简称“App专项治理工作组”)。通过近两年的不断监管行动,App专项治理工作组对用户规模大、与生活关系密切、问题反映集中的千余款App进行了评估和问题查处,对无隐私政策、强制索权、无注销渠道等问题进行了重点整治。除此之外,工业和信息化部积极开展“App侵害用户权益行为专项整治行动”,重点整治违规收集使用用户个人信息等问题行为,推动多款App完成自查整改;市场监管总局开展“守护消费”暨打击侵害消费者个人信息违法行为专项执法行动,立案查处各类侵害消费者个人信息案件;公安部深入开展“净网”专项行动依法严厉打击侵犯公民个人信息违法犯罪行为。
本文收录整理了2018年12月至2020年9月中央网信办、工业和信息化部、公安部、App专项治理工作组以及国家计算机病毒应急处理中心等多部门在规范个人信息收集使用监管行动中所公布的主要治理数据532项。[1] 依据上述数据,本文从时间、App类型、治理机构以及App所涉问题等多维度对部门专项治理活动信息进行归纳分析,通过图文结合的方式,总结监管侧重点、明确企业现阶段亟待解决的红线问题,帮助企业了解个人信息保护合规治理要点,有效预防、提前预警。
全景分析
一、违规App类型维度分析

1-1 违规App类型分布情况

1-2 违规App类型整理占比

1-3 Top3违规App类别对应的治理机构占比
(一)整体类型分布
数据显示,被查处的App共31个类别,涵盖社会生活的各个方面,充分体现出App个人信息专项治理行动的普遍性和广泛性。
(二)重点关注类型
在上述31个类别的App中,音视娱乐、金融借贷、网上购物是治理活动中问题最多的三个领域。一方面,此类App数量较多,涵盖的使用场景较为广泛;另一方面,此类App所收集的个人信息敏感程度较高,可能会被持续列为重点监管的对象。
(三)活跃治理机构
针对问题频发三个重点领域,治理活动以工信部与App专项治理工作组最为活跃,这与下文治理活动总量占比分析所得出的结论一致,建议全行业App运营者密切关注该两部门的监管动态。
二、治理机构维度分析

2-1 治理机构执法/发布总量分布

2-2治理机构年执法/发布数量
(一)多头治理现象突出
目前工信部、App专项治理工作组、网信办、公安部、国家计算机病毒应急处理中心等机构均十分关注App个人信息保护问题,现阶段工信部与App专项治理工作组为App个人信息治理活动中的主要力量,其中以工信部最为活跃。此外,针对金融、教育等特定领域,相应的监管机构如中国人民银行、教育部等近年来也纷纷开展治理活动;地方网信办等也在逐步加强个人信息保护执法工作。
(二)治理活动日渐紧密
以工信部为例,截至2020年8月31日,工信部在2020年查处的App总量已经是2019年的4倍。9月以来,工信部、App治理工作组发布了多项下架App、要求App进行整改的通告,治理活动仍在紧锣密鼓地进行。
(三)执法机构逐渐明确
2020年10月21日发布的《个人信息保护法(草案)》中第六章规定,履行个人信息保护职责的部门为国家网信部门、国务院有关部门以及县级以上人民政府有关部门。随着数据安全与个人信息保护领域法律框架的逐渐完善,未来多个部门的监管竞合问题可能将会得到解决,因此,企业有必要在遵守当前各机构监管要求的基础上,密切关注未来监管权力逐渐集中的监管部门的设置,以更好地分析监管态势的发展。
三、App所涉问题维度分析

3-1 App所涉问题整体占比

3-2 App专项治理工作中App所涉问题项占比分析

3-3 工信部六次专项执法所涉问题(2019年12月-2020年8月)
(一)收集、权限、共享环节问题频发
在各部门治理活动中,问题出现最多的环节是个人信息收集,其次是权限获取,再次是数据共享以及用户注销账号相关问题。
自2019年3月起,App专项治理工作组对下载量大、用户常用的千余款App进行了评估后所发现的App所涉问题分别归入《App违法违规收集使用个人信息行为认定方法》中的六类行为(见图3-2),与3-1图的结论相一致,未明示收集使用个人信息的目的、方式和范围,未按法律规定提供删除或更正个人信息功能或未公布投诉、举报方式等信息以及违反必要原则收集与其提供的服务无关的个人信息为治理活动中所涉的高频问题。
(二)治理问题与时俱进
如图3-3所示,App违规收集、使用个人信息始终是治理活动的关注重点,且上述问题最容易在检查中暴露;权限在检查中关注度上升,但检查项变得集中;工信部在2020年8月的最新一次执法检查没有关注账号注销问题。
数据合规是一项系统性的合规工程,涉及方方面面的问题。监管机构虽然会重点关注部门容易产生问题的环节,但随着整改活动中企业实践的不断进步,治理活动的关注点也会产生相应的变化。
(三)关注重点逐渐深入
数据显示,单纯因隐私政策问题而被查处的App数量相对较少,已不再是近期治理活动的关注重点所在,体现出从早期形式合规监管向实质合规监管的逐步转变。2020年7月22日工信部发布的《关于开展纵深推进App侵害用户权益专项整治行动的通知》中提到,要“及时整改消除违规收集、使用用户个人信息和骚扰用户、欺骗误导用户、应用分发平台管理责任落实不到位等突出问题”,也说明了现阶段企业不应当仅以满足形式合规要求为合规目标,更重要的是结合业务流程、数据处理的全生命周期以及自身数据控制者/处理者的责任义务进行实质性合规。
(四)全面推动生态建设
在开展App个人信息保护治理工作的同时,应用平台分发商、SDK、小程序等也越来越多地被纳入治理范围。以图3-3为例,工信部的六次执法活动中,逐步由关注App本身过渡到开始关注应用平台商。在企业实践当中,个人信息处理活动往往涉及多个主体的参与,数据合规并非一项能“独善其身”的事业,只有全面推动生态建设,打造稳定、合规、可持续的应用生态才能真正满足数据合规的实质要求,也将成为未来监管的趋势与重点。
结语
10月以来,工信部连续发布《关于侵害用户权益行为的App通报(2020年第五批)》、《关于下架侵害用户权益App的通报》,App专项治理工作组也在11月13日发布《关于35款App存在个人信息收集使用问题的通告》,个人信息收集、共享环节的各项问题仍然是关注重点,其中,在App专项治理工作组的通告中因SDK问题被通告的App甚至达半数以上,与本文中的数据分析思路基本一致。我们理解,随着《个人信息保护法》等法律法规的逐步完善和出台,App个人信息保护治理活动也将不断深入,企业需做好充足准备。
注:
[1] 数据来源请见附录一。如无特殊说明,后文中所述数据均指本附录中的公开数据,本文仅基于前述数据作出分析,所得出的分析结论仅供参考。
附录一:
纳入本次统计范围的App治理活动数据来源见下表:

技术驱动法律,专业成就未来