按图索骥——图示移动APP个人信息保护的重点
背景
表1—2019年有关APP的专项活动及相关的指南规范
从APP个人信息保护为出发点,以下我们简要梳理了包括《信息安全技术 个人信息安全规范(征求意见稿)》(2019年10月版)在内,目前我国《网络安全法》下与个人信息保护相关的热点问题、主要监管规定以及专项治理活动中的主要关注点,以期为企业在面临多来源监管规定和执法环境下的个人信息保护合规工作提供参考和思路。
01
隐私政策与授权同意
(1)《隐私政策》应当就哪些信息处理告知个人信息主体并获得授权同意?
当数据控制者通过《隐私政策》完成告知并获取个人信息主体的授权同意时,可能需要在隐私政策中列明个人信息的收集规则、使用规则和共享、转让规则[1]。具体而言:
列明具体的功能场景,以及与功能场景一一对应的个人信息收集类型,收集和使用目的,其中提供个人敏感信息时需要同步实时说明原因;列明用Cookies及其同类技术收集个人信息的情形中所收集个人信息的目的和类型; 列明个人信息的其他使用情形,如用户画像、个性化展示等; 列明个人信息转让、共享的目的、涉及的个人信息类型、接收方,列明第三方代码嵌入、插件等方式将个人信息传输至第三方服务器的情形并通过弹窗提示进行明确告知; 对于个人敏感信息的采集,除隐私政策以外,在每次实时采集时,可能还需要通过口头或弹窗形式再次向数据主体说明原因。
(2)确保隐私政策文本的独立性、易读性
当网络运营者尤其是APP运营商在提供隐私政策时,应当以明显方式呈现文本,同时保证隐私政策文本具有独立性、可读性。具体而言:
优化APP首次运行时的隐私政策呈现方式,如主动弹窗显示核心内容、或在注册并勾选同意前提供隐私政策文本链接; 优化隐私政策在APP内的布局位置,避免多次点击、滑动才能访问的设计; 确保隐私政策文本单独成文,并在用户未退出账号登陆的情况下依然能够方便查阅。
(2)避免未经同意收集、使用、共享个人信息的情形
网络运营者未经同意收集、使用、共享个人信息的情形,既包括由于隐私政策未能充分披露和告知而导致的“未经同意”,也包括在信息收集时尚未提示用户阅读隐私政策导致的“未经同意”。因此企业可能需要:
开展个人信息收集使用及共享的自查、总结并定期更新隐私政策,确保充分完整的披露和告知; 在合理范围内前置隐私政策首次出现的场景、使其尽可能多地覆盖后续的信息收集、使用和共享情形,同时核查信息采集尤其是自动化采集的时点、避免在APP提示用户阅读隐私政策前开始的个人信息收集行为; 对基于用户行为分析、产品优化目的与合作方共享设备识别信息、商品浏览记录等信息情况进行梳理,在隐私政策中予以明确披露。
02
最小必要原则
在进行业务或产品数据处理合规性评估时,考虑不采集某项个人信息或降低个人信息采集的精准度是否仍能实现业务和/或产品功能,若是,则可能不符合最小必要原则的要求;
若涉及自动化收集个人信息的场景,企业应注意控制自动化收集个人信息的范围、数量及频率,防止收集超过必要性的范畴; 因改善服务质量、提升个人信息主体体验、研发新产品不被单独视为基本业务功能,因此基于以上目的的数据采集需以其他基本业务功能数据采集的范围为限,尤其是为了优化算法目的而过度采集用户行为数据可能会受到数据采集最小化的挑战。
03
个性化展示
在现行生效的《个人信息安全规范》中,个性化展示的使用并没有设计独立的条款,但在今年发布的6月版和10月版《个人信息安全规范(征求意见稿)》以及近期的APP专项检查中,个性化展示和定向推送都成为了关注重点之一。从10月版征求意见稿来看,除了对业务功能中普遍使用个性化展示进行了规制,要求通过显著标识区分个性化展示和非个性化展示内容外,第7.5条个性化展示的使用还特殊提及了两类业务,即新闻信息服务和电子商务服务。其中,对新闻信息服务的特殊要求在某种程度上是对美国学者桑斯坦的“信息茧房”理论[2]的回应。而电子商务领域的特殊要求则是部分为了解决“ 大数据杀熟”[3]问题,同时也与《电子商务法》的要求相适应[4]。
向用户告知或以显著方式标示定向推送或精准营销的用途,同时提供关闭该功能的选项,尤其对于以定向内容推送为核心业务的企业而言可能还面临产品模式的调整; 在提供关闭个性化展示功能的基础上,企业还可能需要提供个人信息主体对标签、画像维度的信息的控制,并保障其可以选择对该部分数据删除或匿名化的权利。
04
注销机制
设置便捷且用户友好的注销交互式界面,不设置如以注销为由收集多于服务环节所需的个人信息等障碍,并及时响应个人信息主体的注销请求
在收集环节对法律法规规定需要留存的数据予以识别,以便在个人信息主体注销账户之后,对其他没有法定留存要求的数据,及时删除或做匿名化处理;而对有法定留存要求的数据,则妥善保管,但不得将其再次用于业务场景等,以便最大限度地保证企业经营运行的合法合规。
05
共同个人信息控制者的认定和管控
厘清与共同个人信息控制者数据交互中的数据流,包括但不限于其中是否包含个人信息、个人敏感信息、行业监管数据,以及数据交互的目的、方式等;
厘清与共同个人信息控制者交互的合作模式,如是通过线上或线下交互,通过SDK、API端口对接形式,或者报表、邮件形式等与第三方进行数据交互。
总结
从以上的执法动态和规范指南中不难发现,监管部门对APP领域的关注已经从最初的隐私政策扩展到对APP权限获取、SDK使用、APP网络接口漏洞等多方面[6]的评估和关注,从基本的隐私政策文本内容深入到互联网移动终端的技术和商业模式的层面。
本文作者
宁宣凤
合伙人
合规业务部
susan.ning@cn.kwm.com
宁宣凤律师是合规业务部负责人,宁律师的主要执业领域为网络安全与数据合规。宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。
吴涵
合伙人
合规业务部
wuhan@cn.kwm.com
吴涵律师的主要执业领域为网络安全与数据合规。吴律师曾多次协助客户进行自查并完善网络安全和数据合规体系,为客户提供网络安全和数据合规培训等。项目涉及金融支付与清算、保险、网约车平台、消费电子、互联网广告、日化等行业。
张乐健
律师助理
合规业务部
刘阳璐
律师助理
合规业务部
[1] 个人信息控制者是指有权决定个人信息处理目的、方式等的组织或个人。
[2] “在他看来,信息茧房意味着人们只听他们选择和愉悦他们的东西。尽管每个人都有自己的阅读偏好是正常的现象,但如果每个人关注的只是自己兴趣内的那一小片天地,他对这以外的世界,就会越来越缺乏了解。这或许不会影响到他个人的生活,但是,在需要公共对话的时候,人们会缺乏共同的 “视角”。而共同 “视角”的缺乏,意味着人们对一些事实的判断会出现差异,共识难以形成。同时,信息环境的封闭与狭隘,也可能会进一步固化人们的某些观点与立场。”《一文了解AI时代的数据风险(后真相时代、算法囚徒和权利让渡)》,https://mp.weixin.qq.com/s/-Y4JLCI-lq1P7io8BobGQg, 2019-09-02,2019-11-28。
[3] “‘大数据杀熟’是利用大数据对老客户进行利益宰割。其技术原理是利用平台收集的海量用户信息和数据,生成用户画像。企业基于用户画像对用户进行精准识别和归类,开启个性化推荐,并通过向消费能力高、消费意愿强的用户展示更高的价格来赚取更多利润。”《“大数据杀熟”在线旅游“强监管”呼之欲出》,https://mp.weixin.qq.com/s?src=11×tamp=1575003095&ver=2003&signature=Qm0lT1cx5wZ8YGY2UFcSgkxbY4fRYv9XCIxtpC-bHwhlnCsn8v4HDsAaQAWbxD9IwlQuBSelnF7DoyFLRtBFcVOONw6Sm8fd7xXn1wd-a4XmRr7u7vi2tMZdrwzvnHVO&new=1,2019-11-25,2019-11-29。需要提示的是,有关“大数据杀熟”问题是否真实存在,仍然在探讨之中,但是我们理解,个性化展示和《电子商务法》的相关条款至少从效果层面可以理解为对社会公众热议的“大数据杀熟”问题给予了一定的回应。
[4] 《电子商务法》第十八条第一款规定,电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的,应当同时向该消费者提供不针对其个人特征的选项,尊重和平等保护消费者合法权益。
[5] 欧盟GDPR第26条。
[6] 2019年10月,中国信息通信研究院安全研究所发布了《2019金融行业移动App安全观测报告》,对13327款金融行业App的高危漏洞、恶意程序、SDK风险、违规索权、安全加固等五个方面展开评估。《App违法违规收集使用个人信息行为认定方法(征求意见稿)》中对App客户端嵌入第三方代码、插件(如sdk)等情形进行了规制。
感谢关注金杜研究院