2021年5月21日,国家互联网信息办公室通报了关于抖音等105款App违法违规收集使用个人信息的情况,引起社会广泛关注。值得注意的是,本次情况通报并非监管部门偶发行为,而是自2021年5月1日以来,国家互联网信息办公室第三次发布的情况通报。而再往前追溯,2020年11月13日,App违法违规收集使用个人信息治理工作组最早发布了《关于35款App存在个人信息收集使用问题的通告》,但是从通告内容来看,该次通告未对通告的App进行分类,且对存在问题的描述尚不成熟、未成体系,与今年5月份以来有规律的一些列情况通报思路不同。因此,本文仅对2021年5月以来发布的3次违法违规收集使用个人信息情况的通报进行分析与解读。
一、通报概要
2021年5月1日,国家互联网信息办公室发布了《关于输入法等33款App违法违规收集使用个人信息情况的通报》,对15款输入法类App、17款地图导航类App及1款即时通信类App违法违规收集使用个人信息的情况进行了通报。
15款输入法类App中,13款存在“违反必要原则,收集与其提供的服务无关的个人信息”或“违反必要原则和《常见类型移动互联网应用程序必要个人信息范围规定》,收集与其提供的服务无关的个人信息”(以下均简称“违反必要原则”)的问题,2款存在“未经用户同意收集使用个人信息”问题。
17款地图导航类App中,16款存在“违反必要原则”问题,此外存在“未经用户同意收集使用个人信息”、“未按法律规定提供删除或更正个人信息”、“未公开收集使用规则”问题的App各1款。唯一1款即时通信App的问题在于“诱导用户授权其读取手机通讯录信息并向通讯录联系人发送营销短信”。
2021年5月10日,国家互联网信息办公室发布的《关于腾讯手机管家等84款App违法违规收集使用个人信息情况的通报》对36款安全管理类App、48款网络借贷类App进行了通报。36款安全管理类App中,29款存在“违反必要原则”的问题,16款存在“未经用户同意收集使用个人信息”的问题。48款网络借贷类App中,36款存在“违反必要原则”问题,19款存在“未经用户同意收集使用个人信息”问题4款存在“未公开收集使用规则”问题,3款存在“未按法律规定提供删除或更正个人信息”问题,1款存在“未明示收集使用个人信息的目的、方式和范围”问题。
2021年5月21日,最新发布的《关于抖音等105款App违法违规收集使用个人信息情况的通报》对19款短视频类App、34款浏览器、51款求职招聘类App及1款实用工具进行了通报。19款短视频类App中,10款存在“违反必要原则”问题,13款存在“未经用户同意收集使用个人信息”问题,6款存在“未公开收集使用规则”问题,2款存在“未按法律规定提供删除或更正个人信息”问题。34款浏览器中,22款存在“违反必要原则”问题,13款存在“未经用户同意收集使用个人信息”问题,5款存在“未公开收集使用规则”问题,5款存在“未按法律规定提供删除或更正个人信息”问题,1款存在“未明示收集使用个人信息的目的、方式和范围”问题。51款求职招聘类App中,26款存在“违反必要原则”问题,31款存在“未经用户同意收集使用个人信息”问题,4款存在“未公开收集使用规则”问题,12款存在“未按法律规定提供删除或更正个人信息”问题,1款存在“未明示收集使用个人信息的目的、方式和范围”问题,1款存在“未提供投诉举报渠道”问题。唯一1款被通报的实用工具为百度,存在的主要问题为“违反必要原则”及“未按法律规定提供删除或更正个人信息”。
二、通报解读
上述3次情况通报应整体理解为国家互联网信息办公室有规律的系列监管举措,并且仍有较大可能继续推行。从已有的3次通报频率来看,2021年5月份以来的通报,每次相隔时间约为10日;从通报的App数量来看,从最早的33款,到第二次通报84款,再到近期通报的105款,通报的App数量不断增加;从通报整改的时限来看,第1次通报要求运营者在通报发布之日起10个工作日内完成整改,而第2次及第3次均将整改时限确定为自通报发布之日起15个工作日内。从通报的主要问题来看,3次通报的App所涉问题已经涵盖《App违法违规收集使用个人信息行为认定方法》中6类问题的5类,问题分类统计数据如下:
序号 | 存在的问题 | App数量 |
|
1 | 违反必要原则,收集与其提供的服务无关的个人信息(或违反必要原则和《常见类型移动互联网应用程序必要个人信息范围规定》,收集与其提供的服务无关的个人信息) | 153 |
|
2 | 未经用户同意收集使用个人信息 | 95 |
|
3 | 未按法律规定提供删除或更正个人信息 | 24 |
|
4 | 未公开收集使用规则 | 20 |
|
5 | 未明示收集使用个人信息的目的、方式和范围 | 3 |
|
6 | 未提供投诉举报渠道 | 1 |
|
7 | 诱导用户授权其读取手机通讯录信息并向通讯录联系人发送营销短信 | 1 |
|
从上表中可以看出,已通报的App中“违反必要原则”与“未经用户同意收集使用个人信息”的问题最为突出,其次为“未按法律规定提供删除或更正个人信息”与“未公开收集使用规则”。
(一)违反必要原则的认定
必要性原则是《网络安全法》对网络营运者收集、使用个人信息提出的原则性要求,但是未对何种个人信息属于必要信息作出进一步解释。2019年11月28日,国家互联网信息办公室、工业和信息化部、公安部与国家市场监督管理总局联合发布《App违法违规收集使用个人信息行为认定方法》(以下简称《认定方法》),总结了6种可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”的情形,从列举的情形可以看出,认定的主要思路为判断App所收集的信息与其业务功能相匹配。
2021年5月1日,上述四部门的下设机构联合发布的《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称《必要个人信息范围规定》)开始生效,不仅将“必要个人信息”定义为“保障App基本功能服务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务”,并且将常见的App分为39种类型,针对每个类型明确其“基本功能服务”及“必要个人信息”,为监管部门监督检查及App运营主体自查自纠提供了更加明确的指引,因此,5月1日以来连续的、分类别的App通报与该规定的生效、应用和落地具有密切联系,使得监管部门对于App违规收集个人信息有了进一步的执法抓手,并且有理由认为,监管机构将根据上述规定,对剩下30类App分批次进行检查、通报乃至行政处罚。
(二)未经用户同意收集使用个人信息的认定
《网络安全法》第四十一条明确赋予了信息主体的同意权,即网络运营者收集、使用个人信息应当经被收集者同意。《认定方法》中列举了9种可被认定为“未经用户同意收集使用个人信息”的行为。而2021年4月26日发布的《移动互联网应用程序个人信息保护管理暂行规定》(征求意见稿)第六条将知情权作为同意权的前提,从正向规定了App的运营者应当告知、取得个人自愿、明确的同意,相关规定简要梳理如下:
《App违法违规收集使用个人信息行为认定方法》 | 《移动互联网应用程序个人信息保护管理暂行规定》(征求意见稿) |
三、以下行为可被认定为“未经用户同意收集使用个人信息” 1、征得用户同意前就开始收集个人信息或打开可收集个人信息的权限; 2、用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用; 3、实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围; 4、以默认选择同意隐私政策等非明示方式征求用户同意; 5、未经用户同意更改其设置的可收集个人信息权限状态,如App更新时自动将用户设置的权限恢复到默认状态; 6、利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项; 7、以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的; 8、未向用户提供撤回同意收集个人信息的途径、方式; 9、违反其所声明的收集使用规则,收集使用个人信息。 | 第六条 从事App个人信息处理活动的,应当以清晰易懂的语言告知用户个人信息处理规则,由用户在充分知情的前提下,作出自愿、明确的意思表示。 (一)应当在App登录注册页面及App首次运行时,通过弹窗、文本链接及附件等简洁明显且易于访问的方式,向用户告知涵盖个人信息处理主体、处理目的、处理方式、处理类型、保存期限等内容的个人信息处理规则; (二)应当采取非默认勾选的方式征得用户同意; (三)应当尊重用户选择权,在取得用户同意前或者用户明确表示拒绝后,不得处理个人信息;个人信息处理规则发生变更的,应当重新取得用户同意; (四)应当在对应业务功能启动时,动态申请App所需的权限,不应强制要求用户一揽子同意打开多个系统权限,且未经用户同意,不得更改用户设置的权限状态; (五)需要向本App以外的第三方提供个人信息的,应当向用户告知其身份信息、联系方式、处理目的、处理方式和个人信息的种类等事项,并取得用户同意; (六)处理种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等敏感个人信息的,应当对用户进行单独告知,取得用户同意后,方可处理敏感个人信息。 |
从目前的3次通报来看,“未经用户同意收集使用个人信息”的主要认定依据为《认定方法》,若《移动互联网应用程序个人信息保护管理暂行规定》日后正式出台,则依据该规定一些新的情形可能被认定为属于“未经用户同意收集使用个人信息”的范畴,例如处理敏感个人信息时未对用户进行单独告知并取得用户同意。
(三)未按法律规定提供删除或更正个人信息的认定
《网络安全法》第四十三条赋予了个人删除或更正个人信息的权利,同时规定了网络运营者采取措施删除、更正的义务。
《认定方法》第六条列举了4类“未按法律规定提供删除或更正个人信息”的情形,具体包括未提供删除更正相关功能、设置不必要或不合理条件、未及时响应用户相应操作、用户操作已执行完毕,但App后台并未完成等情形。
(四)未公开收集使用规则的认定
公开收集使用规则是对个人知情权的保障,亦是个人行使同意权的前提,《网络安全法》第四十一条明确要求网络运营者收集、使用个人信息应“公开收集、使用规则”。
收集使用规则通常包含在App的隐私政策中,但是,实践中除了明显缺乏隐私政策,或虽有隐私政策但隐私政策中无收集、使用规则的情形,许多App通过复杂的文字表述或设置复杂的访问程序,实质侵害了用户的知情权。在此背景下,《认定方法》在第一条中将收集使用规则难以访问(例如进入App主界面后,需多于4次点击等操作才能访问)、难以阅读(例如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等)亦认定为“未公开收集使用规则”。
三、合规意见
从近3次通报来看,针对App收集使用个人信息的监管不断加强,尽管目前监管部门给予了被通报的App运营主体一定的时间进行整改,逾期未完成整改的才依法予以处置,但是随着《认定方法》《必要个人信息范围规定》的进一步实施,《移动互联网应用程序个人信息保护管理暂行规定》的正式出台,以及其他与个人信息保护相关的法律法规不断完善,不排除监管部门未来直接通报情况并给予行政处罚的可能。
在此背景下,建议已经被通报的App运营主体在规定时间内完成整改,避免后续行政处罚。虽然目前可以推测监管部门将对剩余的30类App继续开展检查通报,但是从已有的3次通报所涉及的App类型来看,无法准确预测监管部门对剩余类型App的检查通报批次情况,因此每类App的运营者都应尽快根据上述有关规定,对App收集使用个人信息的行为进行自查自纠,及时自行整改,避免被监管部门通报后陷入被动的整改或处罚局面。