編者按隨著我國個人信息保護相關法律法規的完善,監管部門對App的監管也有所加強。App運營者應時刻關註相關法律法規的發展變化,提高App個人信息保護的合規水平,在保障用戶權益的前提下,讓App更好地服務用戶。今日,《互聯網法律評論》發表特約專家劉新宇及其團隊的文章,從六個方面給APP運營者出謀劃策,把控個人信息保護合規的關鍵點。根據國家計算機網絡應急技術處理協調中心、中國網絡空間安全協會2021 65438年2月發布的《App非法收集和使用個人信息監測分析報告》(以下簡稱《報告》),中國主流安卓應用商店總數為1120000家。應用安裝商城的信息展示界面顯示,多款頭部app已安裝超過6543.8+0000億次。可見,手機app已經成為人們日常生活中獲取移動互聯網服務的重要載體之壹。隨著App的發展,各類App收集個人信息的規模逐漸增大,相應的個人信息安全風險也逐漸顯現。互聯網信息辦公室和工業和信息化部等各監管機構對非法收集個人信息app的通知接踵而至。App運營者不僅面臨被相關部門約談、所運營app下架等監管措施,還可能需要應對潛在負面輿論帶來的困擾。因此,App運營者有必要更加重視App個人信息的保護。結合《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)、《App非法收集使用個人信息行為認定辦法》(以下簡稱《認定辦法》)等相關法律法規,以及監管部門在開展App個人信息保護合規工作過程中發現的主要問題,筆者建議App運營者關註以下合規點,確保App合法合規。01將處理行為告知個人信息主體,並取得同意。《個人信息保護法》第十七條規定,個人信息處理者在處理個人信息前,應當以顯著的方式,用清晰易懂的語言,真實、準確、完整地告知個人信息主體個人信息處理者的姓名或者名稱、聯系方式;個人信息處理的目的和方法、處理的個人信息的類型以及保存期限;個人信息主體行使本法規定的權利的方式和程序。就App而言,告知主體個人信息的義務通常是通過個人信息保護政策來實現的。在實踐中,仍然有壹些企業沒有制定個人信息保護政策。根據報告的統計,2021中仍有6.7%的app沒有隱私政策。結合國內主流安卓應用商店的應用總數,這個數字還是很可觀的。此類應用的運營商應及時糾正這壹問題。同時,即使制定了個人信息保護政策,也不代表所有問題都會得到解決。實踐中,個人信息保護政策設置不規範的問題也是監管部門關註的重點。例如,《個人信息保護法》第十七條明確規定,“個人信息處理者通過制定個人信息處理規則告知第壹款規定的事項的,處理規則應當公開,便於查閱和保存。”因此,App運營者不僅要制定個人信息保護政策,而且要公開供查閱,尤其是不能為查閱設置障礙,否則可能違反上述規定。App運營者可參照《鑒定辦法》的相關規定,了解“易獲取、易保存”的具體標準。根據識別方法,為了防止個人信息保護政策難以訪問或讀取,App運營者至少要做到兩點:壹是個人信息主體進入App主界面後,訪問個人信息保護政策的操作不能超過四次點擊;第二,個人信息保護政策的措辭不能太小、太密、太輕、太模糊,或者沒有簡體中文版的個人信息保護政策。除了上述形式上的問題,在內容上,個人信息保護政策還應當符合《個人信息保護法》第十七條“以醒目的方式和清晰易懂的語言,真實、準確、完整地告知個人信息的主體”的要求。比如在實踐中,很多App運營者都列出了自己收集的個人信息的類型以及具體的使用方法和用途,並沒有建立對應關系。這種方法看似同時解釋了“個人信息的目的、方式和種類”,但個人信息的主體可能通過閱讀這樣的個人信息保護政策仍然不知道每個個人信息的具體目的。這種個人信息保護政策存在違反前述個人信息保護法規定的風險。在完成了對個人信息主體的告知義務後,另壹項義務是獲取處理個人信息的法律依據。《個人信息保護法》第十三條規定了處理個人信息的七項法律依據,包括“取得個人同意”。實踐中,直接取得個人信息主體的同意是各類app最常見的法律依據,即在個人信息主體首次使用app時,提示個人信息主體閱讀個人信息保護政策,並要求核對同意。但需要註意的是,在征求個人信息主體的同意時,應避免默認獲得個人信息主體的同意,如默認勾選同意、登錄為同意,而應確保個人信息主體以主動行為完成“同意”的表示。但是,在某些情況下,App運營者可能很難獲得個人信息主體的同意。此時,應用程序運營商可以考慮應用其他法律依據,如“訂立和履行個人作為壹方當事人的合同所必需的”作為替代。02基於最小必要性處理個人信息《個人信息保護法》第六條規定“處理個人信息應當有明確、合理的目的,並且應當與處理目的直接相關,采取對個人權益影響最小的方式。個人信息的收集應當以處理為目的限制在最小範圍內,不得過度收集個人信息。”所以App在處理個人信息時,不要超出必要的範圍。需要註意的是,這裏的範圍不僅僅是收集的個人信息的類型,還包括收集的頻率和處理的方式。詳細來說,最低限度的必要性主要體現在兩個方面:壹是品類的必要性。例如,天氣預報軟件需要收集用戶的地理位置信息,以達到其預報天氣的目的,因為只有獲得這些信息,才能更準確、更有針對性地提供當地的天氣預報。但是,如果天氣預報軟件(僅具備單壹天氣預報功能)收集用戶的通訊錄信息,顯然不符合《個人信息保護法》的最小必要性原則,因為即使不收集通訊錄信息,也不會影響App為用戶提供的天氣信息預報服務,App運營方也無法說明通訊錄信息的收集對實現這壹目的起到了什麽作用。第二是必要程度。以天氣預報軟件為例。軟件收集位置信息是合理的,但如果不控制收集的頻率,仍然可能存在收集不必要信息的風險。比如用戶是否使用App,App在後臺收集用戶的地理位置信息並不斷更新,這顯然是違背最小必要性原則的處理行為。03合規處理敏感個人信息《個人信息保護法》第二十八條規定,“敏感個人信息是指壹旦泄露或者被非法使用,將容易導致侵犯自然人人格尊嚴或者危害人身、財產安全的個人信息,包括生物特征識別、宗教信仰、特定身份、醫療健康、財務賬戶、行蹤軌跡等信息,以及不滿14周歲的未成年人的個人信息。”比如個人信息主體的人臉、指紋等信息,在個人信息保護法下可能被認為是敏感的個人信息。App運營者在處理這部分個人信息時,必須確保處理行為具有“特定目的和足夠的必要性”,應采取比壹般個人信息更嚴格的保護措施(如去身份化處理、加密存儲等。).同時需要註意的是,根據《個人信息保護法》的規定,App運營者在處理個人敏感信息時,需要征得個人信息主體的個人同意。在實踐中,壹些應用程序運營商可能要求個人信息的主體通過單擊彈出窗口或檢查處理敏感個人信息的單獨規則來單獨做出同意。鑒於“個人同意”也是“同意”的壹種形式,在個別場景下難以取得個人同意或者對用戶體驗影響較大的,App運營者也可以考慮將“取得個人同意”替換為《個人信息保護法》第十三條規定的其他法律依據。04建立便捷的受理和處理機制《個人信息保護法》第五十條規定“個人信息處理者應當建立方便個人行使權利的受理和處理機制。如果個人行使權利的請求被拒絕,應說明理由。”目前大部分app都設置了這樣的機制,也會公示註銷賬號的方式。但僅僅是紙面上的制度和流程,並不能保證App運營者完全符合法律法規的要求。制度和流程是否“方便”,在實踐中是否貫徹執行,也是壹個值得關註的合規問題。在司法實踐中,壹些法院也認為,個人信息處理者未及時回復個人用戶的權利請求,即使制定了較為完備的受理和處理規則,仍不能認定為履行了《個人信息保護法》第五十條的義務。比如,App運營者以核實個人信息主體身份的真實性作為索賠的前提,但不告知具體的核實方式或渠道;或者公示了接受請求的電子郵箱,卻沒有及時查看用戶請求的內容等。,可能被法院或監管部門認定為未履行法定義務。在個人信息主體享有的權利中,個人信息處理知情權是壹項非常重要的權利,在某種程度上也是行使其他權利的基礎。監管部門對此也非常重視。2022年7月,上海市通信管理局決定重點檢查“國內單個應用市場下載/安裝次數超過500萬次的APP應用(含快應用、小程序等新應用形式)”,檢查的重點之壹是App是否建立了“雙榜”。“雙清單”源於工信部2021、1、1發布的《關於推進信息通信服務感知工作的通知》,要求相關企業建立“采集個人信息清單”和“第三方* * *”清單,簡明清晰地列出app(含嵌入式第三方軟件工具)。基於此,筆者理解,App運營者除了履行《個人信息保護法》規定的告知義務外,還應當按照“雙單”的要求,向個人信息主體出示相關信息,以便個人信息主體了解App運營者處理的個人信息內容,及時主張權利。05註意SDK數據的合規性。SDK通常指軟件化的開發工具包,即SoftwareDevelopmentKit。簡單來說就是輔助某壹類應用軟件開發的相關文檔、實例和工具的集合。對於App來說,為了提高開發效率,可以將壹個功能交給第三方開發,第三方服務商將服務打包成工具包(SDK)供開發者使用。《認定辦法》明確“未逐壹列舉App(包括委托第三方或嵌入第三方代碼、插件)收集、使用個人信息的目的、方式、範圍”的,可以認定為“未明確說明個人信息收集、使用的目的、方式、範圍”,屬於非法的個人信息處理行為,必須承擔相應的法律責任。《移動互聯網應用程序個人信息保護管理暫行規定(征求意見稿)》第八條明確“使用第三方服務的,應當制定管理規則,明示App第三方服務提供者的名稱、功能和個人信息處理規則;應當與第三方服務提供者簽訂個人信息處理協議,明確雙方相關權利義務,對第三方服務提供者的個人信息處理活動和信息安全風險進行管理和監督;app開發運營者未盡到監管義務的,應當依法與第三方服務提供者承擔連帶責任。”雖然該規定尚未生效,但如果App中含有侵害個人信息主體權益的SDK,也有可能通過其造成的負面輿論影響App運營者,從而損害其商譽。在監管實踐中,工信部近期也多次通報違規SDK,可見這個問題也是監管部門關註的重點。所以SDK就像壹把“雙刃劍”。為了保證App運營者的權益,筆者建議App運營者全面梳理App已接入的所有SDK,將接入SDK收集、使用個人信息的目的、方式、範圍寫入個人信息保護政策,明確並取得個人信息主體的同意。對於在媒體曝光和監管通報中存在問題的SDK,如果自身App已經接入這些SDK,應根據問題的嚴重程度,及時采取措施要求其限期整改。06兒童個人信息保護App運營者保護兒童個人信息的義務也是重中之重。根據《兒童個人信息網絡保護條例》第八條規定,“網絡運營者應當設立兒童個人信息保護專門規則和用戶協議,指定專人負責兒童個人信息保護工作。”筆者建議,App運營者如果處理兒童個人信息,應該為兒童單獨設立個人信息保護規則和用戶協議。同時,由於《個人信息保護法》第28條規定,未滿14周歲的未成年人的個人信息屬於敏感個人信息,個人信息處理者在處理此類個人信息前需要征得個人信息主體的監護人的單獨同意,應當采取更加嚴格的保護措施,保護兒童的個人信息,確保兒童的人身安全,保護兒童的合法權益。在App運營過程中,App運營者,尤其是UGC(UserGeneratedContent) App運營者,通常會在用戶發布的內容上添加標簽,推薦給其他可能對某個內容感興趣的用戶。雖然這種情況在App運營中很常見,但需要註意的是,如果內容涉及兒童,應提前考慮相關風險。特別是這些方式是否會對兒童的人身安全和生活安寧造成潛在風險,甚至導致個人信息被不法分子利用後對兒童實施犯罪行為。除了防止App中的兒童個人信息被“外部”不法分子獲取,App運營方的“內部”工作人員也應成為監管對象。《兒童個人信息網絡保護條例》第十五條規定,“網絡運營者應當按照對其工作人員最小授權的原則,嚴格設定信息訪問權限,控制兒童個人信息的範圍。工作人員訪問兒童個人信息的,應當經兒童個人信息保護負責人或者其授權的管理人員同意,記錄訪問情況,並采取技術措施避免非法復制、下載兒童個人信息。”因此,App運營者不僅需要設置兒童個人信息的訪問控制系統,還需要設置“兒童個人信息保護負責人”,對相關處理行為進行審批和記錄,避免不必要的訪問,進壹步降低可能給兒童帶來的風險。以上是筆者對App的壹些合規點的簡單總結。隨著我國個人信息保護法律法規的完善,監管部門對App的監管也日益加強。筆者建議,App運營者應時刻關註相關法律法規的發展變化,提高App個人信息保護的合規水平,在保障用戶權益的前提下,讓App更好地為用戶服務。
上一篇:吊銷機動車合格證下一篇:退還贓款的處罰應該是什麽?