2019年12月30日,国家互联网信息办公室通过其官方网站公布了《关于印发〈App违法违规收集使用个人信息行为认定方法〉的通知》(以下简称"《认定办法》")。《认定办法》的出台,意味着APP运营者及其他提供互联网信息服务商均要重新审视其在收集使用个人信息方面的行为是否规范。本律师团队,在仔细阅读《认定办法》后,认为《认定办法》实际上是针对《中华人民共和国网络安全法》中关于个人信息收集使用相关条款制定具体适用标准。现对该《认定办法》的解析如下:
一、关于"公开收集使用规则"的要求
《认定办法》规定,可被认定为"未公开收集使用规则"的情形包括:在App中没有隐私政策,或者隐私政策中没有收集使用个人信息规则;在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到;隐私政策等收集使用规则难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等。
上述规定的四种情形,总结一下,就是首先必须要有明确的收集使用个人信息的规则,且要以显而易见的方式提醒用户阅读前述规则;其次是不得故意让用户难以快速阅读收集使用规则,该等故意行为包括设置多层访问才能看到收集使用规则、故意使规则文字难以辨识或给用户阅读造成不便。
在实践中,确有很多App未制定明确的个人信息收集使用规则,或者规则非常隐蔽,用户一般难以注意到该App存在个人信息收集使用规则,或者用户的一般认知因未得到基本的提醒而无法重视其个人信息将被收集和使用。《认定规则》明确将没有设置个人信息收集使用规则或未明显提示用户阅读规则的行为纳入"未公开收集使用规则"的情形,将为《中华人民共和国网络安全法》第四十一条关于"公开收集"的适用提供参考依据。但《认定规则》将"文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等"难以阅读的情形纳入"未公开收集使用规则"的情形,可能在实践适用中仍然无法界定何为文字过小过密、何为颜色过淡,App运营者在公布个人信息收集使用规则时,如果不存在使用户难以阅读的主观故意,但字体设置过小,是否会被认定为违规?故,前述规定的在适用过程中,仍然需要进一步予以明确。
二、关于"明示收集使用个人信息的目的、方式和范围"的要求
《中华人民共和国网络安全法》第四十一条规定,网络运营者收集、使用个人信息,应当明示收集、使用信息的目的、方式和范围。《认定办法》相对应作出了以下要求:
首先,要求逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等。该规定要求收集使用个人信息目的明确、方式明确、范围明确,不得一言概况而含糊不清;
其次,当收集使用个人信息的目的、方式、范围发生变化时,要以包括更新隐私政策等收集使用规则并提醒用户阅读等适当方式通知用户。此处规定,当收集使用个人信息的目的、方式、范围发生变化时,仅需要通知用户并提醒其阅读,但并未规定提醒用户确认同意,那么App运营者单方面变更相关规则,用户是否有权提出异议?即使未提出异议,其变更后的规则是否对用户有约束力?从法律上理解上应当更加完善和明确;
第三,对于收集用户敏感信息(用户身份证号、银行账号、行踪轨迹等),要以明确和通俗易懂的方式同步告知用户其目的。对于此处"同步"的规定,尤为值得关注,一般情况下,App的隐私政策一般在用户注册时即已提示用户阅读和确认,但此时可能并未收集用户的敏感信息,只有用户使用App的具体功能的情况下,才会陆续收集用户的敏感信息。根据《认定办法》的规定,即使用户在注册时已经阅读和确认隐私政策,在后续收集用户敏感信息时,仍然需要再次提醒用户其敏感信息将被收集;
第四,要求收集使用规则的内容通俗易懂,简单明了,不得使用大量专业术语,让客户难以理解。此处关于不得使用大量专业术语的规定,要求App运营者对专业术语进行简易化处理后再写入隐私政策等个人信息收集使用规则中,但不同的App运营者对于专业术语的理解可能有不同,文字表达亦会存在偏差,如果对专业术语的错误理解和表达导致运营者和用户之间存在误解,将会给运营者、用户以及监管部门都造成较大的困扰。故,专业术语如何使用,如何简化,可能需要监管部门给予明确的指导,或者由律师事务所等专业第三方机构提供专业意见。
三、关于"未经用户同意收集使用个人信息"的认定
《认定办法》列举了以下情形为"未经用户同意收集使用个人信息"的情形:
1.征得用户同意前就开始收集个人信息或打开可收集个人信息的权限;
2.用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用;
3.实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围;
4.以默认选择同意隐私政策等非明示方式征求用户同意;
5.未经用户同意更改其设置的可收集个人信息权限状态,如App更新时自动将用户设置的权限恢复到默认状态;
6.用户个人信息和算法定向推送信息,未提供非定向推送信息的选项;
7.以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的;
8.未向用户提供撤回同意收集个人信息的途径、方式;
9.违反其所声明的收集使用规则,收集使用个人信息。
对于上述列举情形,概况理解就是:用户同意前不得打开收集权限或开始收集;用户不同意不得收集或变相迫使客户同意,且征求用户同意的方式必须是明显的、不存在隐瞒真实目的或误导用户的;收集信息不得超出授权范围,且不得单方面修改用户授权范围;应提供客户撤回授权的途径和方式,未提供非定向推送信息选项;App运营者违反收集使用规则收集使用个人信息,视为未经用户同意收集使用个人信息。
四、关于"必要原则"
《中华人民共和国网络安全法》第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,不得收集与其提供的服务无关的个人信息。该条文明确提出了收集个人信息应当遵循必要原则。《认定办法》对于"必要原则"提出了以下要求:
收集的个人信息必须是与使用App现有功能有客观的需求和关联;不得以拒绝提供业务功能或客观造成用户无法使用为要挟或研发新产品、提升用户体验等为由而迫使用户同意个人信息被收集或给予App运营者非必要的授权或同时一次性给予多个授权;除新增业务功能取代原有业务功能外,不得以用户不同意变更个人信息收集权限而拒绝用户使用原业务功能。
上述"必要原则"的规定,实践中可能是App运营者首先会重点关注和去深度理解。App运营者从App业务功能使用与个人信息的关联性角度出发,应对App的功能进行明确的梳理,哪些业务功能需要收集用户的个人基础信息,哪些业务功能需要收集用户的个人敏感信息,均应结合"收集使用个人信息的目的、方式和范围"的要求制定清晰的规则。
五、关于"未经同意向他人提供个人信息"的规定
《认定办法》规定,既未经用户同意,也未做匿名化处理,App客户端直接、通过客户端嵌入的第三方代码、插件或数据传输至App后台服务器等方式向第三方提供个人信息,属于"未经同意向他人提供个人信息"。此情形的第三方,本人理解应是为App业务功能正常运行提供服务的专业机构或与App业务功能具有关联合作的第三方,在必须将用户个人信息提供给该等第三方时,应取得用户同意或对用户信息进行匿名化处理。另外,未经用户同意,App向接入的第三方应用提供个人信息,亦属于"未经同意向他人提供个人信息"。此种情形下,第三方应用程序与App本身业务功能一般具有相对独立性,未经用户同意,不得向该等第三方提供个人信息。
上述要求,实际上是对《中华人民共和国网络安全法》第四十二条关于"未经被收集者同意,不得向他人提供个人信息"规定的细化。
六、关于"删除或更正个人信息功能"和"投诉、举报方式等信息"的规定
《认定办法》规定,应为用户提供更正、删除个人信息或注销用户账号的设置,且不得设置不合理的限制条件或怠于配合用户彻底更正、删除或注销用户账号,视为未按法律规定提供删除或更正个人信息功能的具体情形如下:
1.未提供有效的更正、删除个人信息及注销用户账号功能;
2.为更正、删除个人信息或注销用户账号设置不必要或不合理条件;
3.虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理;
4.更正、删除个人信息或注销用户账号等用户操作已执行完毕,但App后台并未完成的。
另外,《认定办法》规定,对于未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理的,视为未公布投诉、举报方式等信息。
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
