根據中國互聯網絡信息中心2022年8月發布的《第50次中國互聯網絡發展狀況統計報告》顯示�����,截至2022年6月�,中國國內市場上監測到的APP數量為232萬款���,中國網民規模為10.51億���,其中手機網民規模高達10.47億����,占比整體網民99.6%�����。在數字化高速發展的今天�,各種移動互聯網應用程序(以下簡稱“App”)在為人們工作��、生活提供便利的同時�,其所帶來的重大、多發個人信息安全隱患也在暴露,并受到中國監管部門的重點關注���。
針對社會反映強烈的App以強制����、誘導、欺詐等惡意方式違法違規處理個人信息行為��,2022年11月3日,中華人民共和國國家互聯網信息辦公室(以下簡稱“網信辦”)依據《個人信息保護法》《App違法違規收集使用個人信息行為認定方法》等法律法規規定��,依法查處“超凡清理管家”等135款違法違規App,其中55款App被依法予以下架處置,80款App被依法責令限期1個月完成整改���,逾期未完成整改的��,依法予以下架處置���。
App作為經濟活動與日常生活中最頻繁使用的移動互聯交互方式���,是個人信息保護的重要領域。本文通過對上述App所涉違法違規行為進行梳理,結合App當前的合規監管現狀與趨勢��,對App合規關鍵要素/合規大項進行解析���,并對相關風險防范提出建議�����。
通過對本次查處的App所涉違法違規行為的梳理,可以看出���,當前監管部門針對App合規審查仍主要集中于必要權限和非必要權限的獲取等個人信息收集行為環節��,以及隱私政策的展示與訪問、個人信息處理規則的告知��、注銷賬號等個人信息主體權利保障方面��。根據違法嚴重程度及性質���,監管部門將App違法收集個人信息行為區分為一般違法行為以及嚴重違法行為�,對于一般違法行為,采取限期整改�����,如App運營者未完成整改再依法予以下架處置��;對于嚴重違法行為�����,則直接將存在違法違規收集個人信息的App予以下架處置�。
具體梳理如下:
| | | |
| | | 責令限期1個月完成整改�,逾期未完成整改的�����,依法予以下架處置 |
| | |
| | |
| | |
| | |
| | |
| | |
| | |
自2021年11月1日《個人信息保護法》正式實施以來����,中國進入個人信息保護強監管時代����,并以《個人信息保護法》為基礎,在服務類型���、算法�����、個人信息收集����、SDK��、預裝應用、應用商店審核等各細分領域制定并發布了更加細致的部門規章�、推薦性國家標準�、行業標準等規定以及征求意見稿��,其中部分規定現已施行���。
中國對于個人信息處理者數據業務的合規要求呈現體系化����、全方位��、強監管的態勢���。在經濟活動與日常生活中最頻繁使用的App,更是個人信息保護的重要領域,對于App規范對象���、規范主體以及規范范圍也在逐步擴大和細化完善�����,以便適應技術快速更迭的App應用場景�����。
1. App合規的規范對象已從App逐步擴大至“類App程序”
工業和信息化部信息通信管理局自2020年5月14日起組織進行的《關于侵害用戶權益行為的App通報》《關于下架侵害用戶權益App名單的通報》以及網信辦組織的《關于App違法違規收集使用個人信息情況的通報》《侵犯個人信息合法權益的違法違規App》等專項整治活動�,針對App個人信息保護的規范對象從App本身已經逐步擴展至預裝應用���、小程序、SDK等類似產品形態���,以確保全方位、無死角地保護公民個人信息安全�����。
2. App合規的規范主體已從App運營者逐步擴大至SDK運營者�、App分發平臺等覆蓋全產業鏈
根據已經施行的《移動互聯網應用程序信息服務管理規定》《信息安全技術移動互聯網應用程序(App)收集個人信息基本要求》《互聯網信息服務算法推薦管理規定》以及尚處征求意見過程中的《移動互聯網應用程序SDK安全規范》《應用商店App個人信息收集使用上架審核和管理規范》等規定�,針對App的規范主體從單一的App運營者已經擴大至分發平臺���、第三方服務提供者等全產業鏈范圍,以確保在App從審核上架至提供服務的全過程均能實現個人信息保護�����。
3. App合規的規范范圍已從個人信息的收集行為延伸至個人信息的全生命周期
從規范范圍上���,隨著《信息安全技術移動互聯網應用程序(App)收集個人信息基本要求》《移動互聯網應用程序(App)收集使用個人信息最小必要評估規范 第1部分:總則》《信息安全技術 移動互聯網應用程序(App)生命周期安全管理指南》(征求意見稿)的發布與施行,App在運行過程中的個人信息處理行為規范范圍也從主要針對收集行為逐步延伸至存儲行為���、使用行為、傳輸行為�����、刪除行為等個人信息全生命周期�。
根據上述監管重點和趨勢��,結合《信息安全技術移動互聯網應用程序(App)收集個人信息基本要求》等要求,App運營者等個人信息處理者應重點關注以下合規關鍵要素/合規大項來完善自身App合規體系�����。
根據國家標準化管理委員會2020年10月1日實施的推薦性國家標準《信息安全技術個人信息安全規范》(GB/T35273-2020)以及2022年11月1日最新實施的推薦性國家標準《信息安全技術移動互聯網應用程序(App)收集個人信息基本要求》(GB/T 41391-2022)���,App應當在系統權限獲取以及個人信息收集、存儲、使用���、傳輸、刪除等各環節依法采取相應的合規措施。應尤其注意個人信息的委托處理��、共享等環節�����,列明已收集個人信息和與第三方共享個人信息的“雙清單”�����,并做好SDK等第三方個人信息處理環節的合規準入管理以及過程監督。
以App設計/接入環節為例��,首先,應先區分App的基本業務功能和拓展業務功能。App的基本業務功能即為實現用戶主要使用目的的業務功能���,該功能即為劃分App所屬類型的依據���。拓展業務功能則包含僅為實現改善服務質量、提升使用體驗���、定向推送信息���、研發新產品等目的的業務功能或外部第三方或關聯公司提供的業務功能。其次�����,根據App的基本業務功能與拓展業務功能,區分必要個人信息和非必要個人信息。即僅有保障App基本業務功能正常運行的個人信息為必要個人信息���,屬必須收集的個人信息,其余為實現App拓展業務功能所收集的個人信息均為非必要個人信息。最后����,應以顯著方式告知用戶相關個人信息收集方式�、內容等。在向用戶告知個人信息收集事項時�,應在個人信息保護政策(或稱“隱私政策”)中以顯著方式告知必要和非必要個人信息的收集���,并保障用戶可拒絕或撤回同意收集非必要個人信息的權利����,且不應因用戶拒絕或撤回同意提供非必要個人信息���,而拒絕用戶使用該App的基本業務功能�。
作為收集個人信息的必要路徑之一,App獲取客戶終端系統權限時應遵循《個人信息保護法》的“最小必要原則”����,即收集個人信息應當具有明確����、合理的目的,并應當與處理目的直接相關�����,且對個人權益影響最小的方式��。
具體來說,其一�,在App獲取用戶終端系統權限時,其系統權限申請范圍應僅限實現App服務目的最小范圍的系統權限�,不應申請與App業務功能無關的系統權限�����,且該系統權限申請時間應為用戶使用相關業務功能時��,不能提前申請��。其二,申請權限時應同步告知用戶權限申請目的�,目的應明確具體且易于理解�����,不包含任何欺詐����、誘騙���、誤導用戶授權的描述���。其三��,不應以捆綁方式要求用戶一次性同意授權打開多個系統權限,且如用戶終端操作系統允許,應盡量以單次授權方式獲取系統權限��。
軟件開發包(Software Development Kit),即被我們所熟知的“SDK”,因其可以使App運營者/開發者縮短開發周期、節省開發成本�����,已基本被集成在每一款App中。根據中國信息通信研究院安全研究所2021年12月發布的《軟件開發包(SDK)安全研究報告》顯示���,目前國內一款App平均集成了超過20款SDK��,且隨著監管部門工作的深入�,SDK合規將成為個人信息合規監管工作下一階段的重點方向。
首先,在接入第三方SDK之前���,App運營者/開發者應從代碼和運行行為方面就SDK的收集和使用個人信息(包含SDK收集個人信息類型、目的�����、頻率�����;調用敏感權限、目的���、頻率���;個人信息傳輸服務器地址)、個人信息出境��、申請使用用戶系統權限等個人信息處理行為進行評估����,以確保App中嵌入的SDK數量為實現App業務功能需要的最少數量���,申請的權限具有明確、合理的使用目的����。同時�,App運營者/開發者應與第三方SDK運營者簽訂相關的協議和條款����,用以明確雙方的個人信息處理規則和保護責任���。
其次���,在App運營階段應在個人信息保護政策(或稱“隱私政策”)中說明嵌入的所有收集個人信息的第三方SDK名稱�����、SDK收集個人信息的目的����、方式����、種類���,及其個人信息處理規則��。如App中所嵌入的SDK具備熱更新功能(注:熱更新是指軟件不通過運營商店的軟件版本更新審核,直接通過應用自行下載的軟件數據更新的行為,即在用戶下載安裝APP之后��,打開App時遇到的即時更新)且更新內容涉及個人信息處理目的、方式和范圍的變更,應及時通過第三方SDK運營者獲取該信息后��,第一時間更新個人信息保護政策(或稱“隱私政策”)并向App用戶進行告知����,以便重新獲取用戶同意����。同時��,由于絕大多數SDK均為第三方開發運營��,App運營者也應當組織專門審查部門�����,建立相應審查機制,對已嵌入的SDK開展持續或不定期安全審查工作�����,在SDK嵌入App運營的過程中持續監測并評估代碼安全性���、收集處理個人信息情況是否與事前約定一致等情形����。如經檢測發現不合規行為�,應當及時通知SDK運營者整改或暫停���、終止相關SDK使用。
最后����,在SDK退出階段,App運營者應及時敦促第三方SDK運營者將此前所收集���、存儲的App用戶個人信息予以刪除或采取匿名化處理��,同時采取移除相關代碼并保留操作日志等措施���,避免App用戶個人信息的持續傳輸以及因App用戶個人信息泄露所產生的爭議。
除前述法律規范側的數據合規要點外,App運營者進行合規差距分析�、整改或合規自評估時�����,有時還需要結合業務場景甚至是技術實現方式等因素來綜合判斷����。下面以App收集地理位置信息頻次的檢測方式對遵守“最小必要原則”合規評判的影響為例進行說明�����。
某App在收集地理位置信息時���,實務中存在部分App有瞬時收集頻率爆發式增長的現象���,比如在150毫秒的執行時長下�,獲取地理位置行為的瞬時次數可達到7次����,如僅從瞬時次數分析�����,則有可能違反《個人信息保護法》第6條第2款關于“最小必要原則”的合規要求。但是通過分析和研究發現,該App可能是為了定位信息的有效性�����,同時采用了多種定位方式導致���。比如�,為了提高用戶的使用友好度,除了GPS定位方式外,很多App還會采用通過基站坐標來進行定位的技術方式(注:較之GPS定位方式����,基站定位方式的優勢是遮擋無影響��,App可通過基站的定位信息����,再進行三角計算相關算法,計算出當前用戶的定位信息�����,這種定位方式的精度���,可以達到100米左右)�。
從技術上講��,基站定位功能會執行掃描當前用戶周圍的所有基站信息���,并獲取基站坐標信息��,如果當前用戶周圍有3個或以上的基站信息,則會輪詢獲取各個基站坐標數據��,通過算法實現對手機的定位。這將導致�����,App獲取基站坐標數據也被研判成一次定位行為�,Android操作系統本身對獲取基站坐標信息的行為也判定為一次定位���。
因此,由于技術驗證手段的不同,會出現業務場景下手機地理位置信息頻次的合規評判存在差異的情況����。從App開發者角度來說���,這個業務場景多次收集地理位置信息屬于技術方式導致�,并非App對用戶手機定位信息進行主觀地多次獲取����。
在此場景下�,對于App運營者,建議應對于關鍵行為進行分類匯總��,比如針對該7次獲取地理位置的敏感行為,可在關鍵行為匯總列表中進一步列明“通過衛星GPS定位觸發次數2次”“通過基站A定位觸發次數1次”“通過基站B定位觸發次數1次”“通過基站C定位觸發次數1次”“通過基站D定位觸發次數1次”“通過基站E定位觸發次數1次”等���。對于App開發者��,對某些收集個人信息行為的相關技術原理,應進行一定必要的�、通俗易懂的描述���,對可能造成的影響進行說明�����,能夠在個人信息保護政策(或稱“隱私政策”)中進行完善,做到明示告知�,同時也滿足監管督查問詢時的有效技術響應����。
目前中國對于數據合規的法律體系結構已初步形成���,包括法律及司法解釋�、行政法規、部門規章及規范性文件�����、國家及行業標準等�。隨著相關法律規范的不斷細化完善����,當下困擾用戶的App強制授權、過度索權���、超范圍收集個人信息等違法違規行為����,App運營者�����、第三方SDK運營者等合規義務主體無疑將面臨越來越緊迫的合規挑戰,一旦違反其合規義務�����,不僅可能涉及行政責任�、民事責任,甚至會面臨嚴重的刑事責任����。
當業務模式從早期利用手機終端收集用戶信息��,演進到不再滿足只有手機終端�、而是通過部署傳感器等終端全方位的收集信息,再進化到將算法推到終端使其具有決策機制�;監管的重點也逐步從關注終端操作系統��、App設計��,到開始關注數據從“前端”收集到后臺的數據全生命周期的處理行為�,即:監管部門對于個人信息保護合規的要求正在朝著“縱深”的方向上走�,已不再局限于“前端”合規��,“后端”合規將成為未來監管的重點�。
監管部門的合規要求是一個不斷清晰的過程,相應地,作為個人信息處理者的App運營者�����、第三方SDK運營者等合規義務主體�,其數據合規也是一個不斷完善的、動態的過程,是一個長期的工作��。前述個人信息處理者在建立適用法律體系基準和坐標認知時����,需要在《個人信息保護法》等基本法律框架下,將法律規范“翻譯”成標準化要求,并融合法律、技術��、管理等多個維度���,針對合規差距形成有效的控制措施適應數據合規的具體需求�,搭建動態符合監管要求的數據合規體系��。
