举报查询 登录 | 注册
  1. 首页
  2. 资讯要闻
  3. 评《App违法违规收集使用个人信息行为认定方法》

评《App违法违规收集使用个人信息行为认定方法》

发布时间:2020-01-06 14:15 分享到:

近日,国家互联网信息办公室、工业和信息化部、公安部、国家市场监管总局联合发布《App违法违规收集使用个人信息行为认定方法》(以下简称“《认定方法》”)。《认定方法》的出台回应了我国App领域违法违规收集个人信息行为的认定需求,从“未公开收集使用规则”“未明示收集使用个人信息的目的、方式和范围”等六个方面展开,通过列举App违法违规收集使用个人信息的典型行为,明确了App收集使用个人信息的相关范围。《认定方法》的出台不仅能为监督管理部门认定App违法违规收集使用个人信息行为提供参考,同时也能为App运营者自查自纠、网民参与社会监督提供指引,推动个人信息保护科学治理、综合治理,为保护公民、法人和其他组织的合法权益,维护国家安全和公共利益提供了有力保障。

一、《认定方法》回应了我国App领域违法违规收集个人信息行为的认定需求

近年来,各式各样的App覆盖了工作生活的方方面面,在享受App所带来的便利和乐趣的同时,App也给个人信息带来了一定的安全风险。强制授权、过度索权、超范围收集个人信息的违法违规现象频发,个人信息在悄然之间被记录和使用,而在实践中,对具体如何认定App收集使用个人信息构成违法违规,又缺少比较明确的规则和指引,这就使得一些不法分子利用App违法违规收集个人信息,并进行批量贩卖,严重损害公民、法人和其他组织的合法权益。

而此次四部门发布的《认定方法》,不仅填补了操作规则上的空白,也可以为App运营者自查自纠提供指引,为App评估和处置提供参考,真正满足了App领域违法违规收集个人信息行为的认定需求。需要注意的是,《认定方法》在作为执法部门的参考时,其所列举的属于“可被认定”的违法违规行为,并不能直接依据《认定方法》将其认定为违法违规行为,具体的违法违规认定还要由执法部门根据情节、后果等情形最终作出判断。

二、《认定方法》是个人信息保护治理的重要成果

《认定方法》的出台是四部门开展App违法违规收集使用个人信息专项治理的重要一环,也是实施《网络安全法》等法律法规的重要方式,同时可以为正在进行中的网络信息立法工作提供有益借鉴。

第一,《认定方法》明确治理重心,通过列举有广泛共识和显著危害性的App收集使用个人信息行为,围绕典型违法违规行为,突出治理重点,使治理方向更为聚焦。

第二,《认定方法》落实“网络综合治理”要求,明确App违法违规收集使用个人信息的主要情形,可以为监督执法提供参考,也可以为企业履责合规指明方向,为网民参与社会监督提供依据,助力形成多主体参与网络治理的“综合治网格局”。

第三,《认定方法》是监管推动立规的重要成果,通过总结一段时期以来个人信息保护专项治理的经验举措,把法律法规的一般要求细化为更具可操作性的规范,让法律法规更好落地,有利于进一步提升法律法规的实施效果。

第四,《认定方法》充分注意并考虑个人信息收集使用在移动互联网时代的技术特点,精准识别和重点标注出有社会危害性的收集使用个人信息行为,有利于提高网络治理的有效性。当前推进《个人信息保护法》《数据安全法》等网络信息领域重点立法,也应借鉴这一思路,深刻把握互联网规律、运用互联网思维,在构建抽象的法律原则框架下,针对网络信息活动不同环节,有的放矢、重点突破,设计科学、有效和可操作的法律规则。

三、《认定方法》内容要点

1.细化相关认定标准

《认定方法》中的合规要求十分具体,比如:明确隐私政策必须提供简体中文版,明确隐私政策难以访问的标准是多于4次点击等操作才能访问,明确App响应用户更正、删除个人信息及注销功能的承诺时限最长不得超过15个工作日等等。

2.明确了个人信息收集使用应建立在“知情同意”这一根本原则上

纵观全文,可以发现《认定方法》是在遵循“知情同意”原则下进行制度构建,所谓“知情同意”原则,就是要求数据主体在收集用户个人信息前,告知用户个人信息的处理状况(包括目的、方式、范围等等),在网络服务的语境中通常表现为发布隐私声明,用户在阅读声明后作出同意的意思表示,作为对个人信息收集及利用的合法授权。我国《网络安全法》第二十二条、第四十一条、第四十二条以及《数据安全管理条例(草案)》第九条均对此有所规定。

3.明确了“默认保护数据”原则

《认定方法》第三部分明确规定了“以默认选择同意隐私政策等非明示方式征求用户同意”的行为可以被认定为未经用户同意收集使用个人信息,这是默认保护数据原则的体现。默认保护数据原则是个人信息保护或个人数据保护中的一项重要原则,主要是指在IT系统或业务实践中,其默认设置便可以确保数据安全,而不需要用户手动设置来保护自己的个人数据。也就是说,用户在使用App时,App默认相关数据收集使用是关闭的,只有用户同意后才能开启。

4.明确了数据最小化原则

《认定方法》第四部分明确规定“收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关”的行为可以被认定为违反必要原则,收集与其提供的服务无关的个人信息。数据最小化原则同样是个人信息保护中的一项重要原则,其主要是指在数据收集过程中,应将数据的收集严格保持在最低限度,只收集用于实现其系统目的的数据,与其系统目的无关的数据一律禁止收集,将其所需要收集的数据量控制在最小的程度,以此来降低数据风险和隐私风险,因为最容易保护的数据就是未被收集的数据。

5.明确了向第三方提供时需要获得用户的二次授权

《认定方法》第五部分明确规定,App在未获得用户授权的情况下,向第三方提供个人信息的,可以被认定为未经同意向他人提供个人信息。需要注意的是,《认定方法》中除了二次授权外,也提供了一种替代方法,那就是对个人信息进行匿名化(Anonymization)处理,所谓匿名化处理,是指一种使个人数据在任何情况下都不指向特定数据主体的个人数据处理方式,即使该处理后的数据与其他额外信息结合,凭技术性和组织性措施也无法指向一个可识别或被识别的自然人。被处理后的数据不再具有可识别性,因此也不再具有个人信息的特征。

6.明确了用户对其个人信息的更正权和删除权

《认定方法》第六部分明确规定了“未提供有效的更正、删除个人信息及注销用户账号功能”的行为可以被认定为未按法律规定提供删除或更正个人信息功能。更正权和删除权都是用户对其个人信息所享有的权利,主要是指用户更正或删除其个人信息的权利。

(来源:App个人信息举报)