作者 | 詹昊 宋迎 韦飞
2019年8月8日,全国信息安全标准化技术委员会秘书处发布通知, 针对《信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)》(以下简称“草案”)公开征求意见。这意味着App收集个人信息的范围将有规可循,在现在App普遍存在滥用后台权限超范围收集个人信息的环境下意义重大。
草案是对《个人信息安全规范》收集个人信息的基本原则的落实
草案首先明确了两个重要概念:“最少信息”(minimum information)与“最小权限范围”(minimum scope of permission)。草案第3.4条规定:“最少信息:保障某一服务类型正常运行所必需的个人信息,包括与服务类型直接相关,一旦缺少将导致该类型服务无法实现或无法正常运行的个人信息,以及法律法规等规范性文件要求必须收集的个人信息。”第3.5条规定:“最小权限范围:保障某一服务类型正常运行所必需的最少系统权限。” 这两个概念与国家标准《信息安全技术 个人信息安全规范》(GB/T 35273—2017,以下简称“《个人信息安全规范》”)所明确的“最少够用原则”相一致,即“除与个人信息主体另有约定外,只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后,应及时根据约定删除个人信息。”
此外,草案第4条从“管理要求”与“技术要求”两个方面规定了App收集个人信息的基本要求,这些要求也都与《个人信息安全规范》所确立的收集个人信息的“选择同意原则”、“最少够用原则”、“公开透明原则”等基本原则一致,对APP运营者提出了具有可操作性的更为具体的规范指引。
草案明确了21种常用App类型可收集的最少信息和最小权限范围
草案之所以具备非常强的实践指导意义,在于其以附录的形式明确了21种常用App类型可以收集的最少信息和最小权限范围,具体如下表所示:
草案还规定了上述可收集的最少信息的使用目的,因此,App对于所收集的最少个人信息还需按照草案规定的目的予以使用。
应对新规的若干合规建议
虽然最终发布的国标文件可能与本草案存在一定差异,但是草案所体现的总体原则和基本要求与最终的发布文本相比可能不会有较大变化,因此建议相关企业可以参照草案先行自我评估,必要时从合规角度提前进行改进,以应对目前中央网信办、工信部、公安部、市场监督管理总局等部门已经针对App违法违规收集使用个人信息开展的专项治理工作,具体建议如下:
(1) 企业应充分明确业务功能所需的权限,不应申请App不会用到的权限或者一次性申请所有权限。除了App所需的最小权限范围,对于不会影响App提供服务的其他“非必要”权限进行充分的调研,删除不必要的权限,例如新闻资讯App打开用户位置权限。并且,App不得强迫用户开启非必要权限作为用户使用服务的前提,更不能未经同意而在后台“偷跑”权限。
(2) 以合适的方式获得App用户的同意。在开启用户权限前必须明确告知所需要开启的权限、收集的个人信息类型和使用目的,并获得用户同意。根据移动操作系统的类型,可以通过首次启动App时以系统弹窗或App弹窗的形式明确告知用户,并由用户作出选择。对于App服务非必须的权限,可以在用户使用某一服务时再次弹出弹窗,例如用户使用社交软件打开摄像头时可以单独弹窗提示需要获取用户手机摄像头和麦克风的权限并告知目的。对于需要收集个人信息敏感信息的,建议在用户进入需要收集敏感信息的界面后再次以弹窗方式增强提示,确保获得用户的明示同意。
(3) 对后台持续收集个人信息进行有效限制。首先,调取权限的频率应合理,仅基于向用户提供服务的目的基于合理的频率调取权限。例如,在外卖软件获得调取客户位置信息的权限时,建议仅在客户打开主页面搜索周边商家信息时调取,而不是不区分时间持续读取客户位置信息;其次,除非取得用户明示同意,不应在后台持续调取权限收集个人信息,当用户退出某服务类型或者退出App后,建议App应终止该服务类型及App继续收集个人信息的活动,除非对后台继续运行并持续收集客户个人信息已事先获得客户明示同意(例如地图App导航界面在客户离开APP页面后在后台持续运行并收集个人精准位置信息)。
(4) 涉及第三方收集使用、或向第三方共享转让用户个人信息的,应明确第三方收集个人信息的范围、责任,并获得用户同意。草案指出,App 应对其使用的第三方代码、插件的个人信息收集行为负责。第三方代码、插件收集个人信息视同 App 收集,App 应防止第三方代码、插件收集无关的个人信息,除非第三方代码、插件自行获得用户的明示同意。因此在与第三方合作时,建议对第三方的信息收集行为作出约束,并明确其违约的侵权责任承担原则。如果需要向第三方共享、转让个人信息的,建议App向用户提供查询数据接收方身份的功能,并在相应页面提供可供用户选择同意的选项。
2019年1月23日,中央网信办、工业和信息化部、公安部、市场监管总局联合发布了《关于开展App违法违规收集使用个人信息专项治理的公告》,充分体现了监管部门极大力度整治App违法违规收集使用个人信息的决心。根据该公告,监管部门对违法违规收集使用个人信息行为的监管和处罚,对强制、过度收集个人信息,未经消费者同意、违反法律法规规定和双方约定收集、使用个人信息,发生或可能发生信息泄露、丢失而未采取补救措施,非法出售、非法向他人提供个人信息等行为,按照《网络安全法》、《消费者权益保护法》等依法予以处罚,包括责令App运营者限期整改;逾期不改的,公开曝光;情节严重的,依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。2019年5月底,网信办公开通报了百款常用App申请收集使用个人信息权限情况。与此同时,6月17日,市场监管总局、国家发改委、工业和信息化部、公安部、商务部、海关总署、网信办、邮政局联合印发《2019 网络市场监管专项行动(网剑行动)方案》,严肃查处未经同意收集、使用、过度收集或泄露、非法出售、非法向他人提供个人信息行为,依法查处不履行个人信息保护义务、为网络违法犯罪提供支持帮助的网络平台。因此,笔者建议发布、运营App的企业高度重视这一工作,遵循合规义务,避免因过度读取权限收集用户个人信息导致的法律风险。后续我们也会持续关注相关立法、执法动态。
詹昊
安杰律师事务所 合伙人
宋迎
安杰律师事务所 合伙人
韦飞
安杰律师事务所 律师
声 明
文章仅代表作者观点,不视为安杰律师事务所正式法律意见或建议。如需转载或引用请注明出处。如有任何问题,欢迎与本所联系。
