盈科|解读 百款APP下架整改,合规事宜还能等吗?
已被浏览428次
更新日期:2019-12-26
来源:盈科律师事务所
导读
近日,国家网络安全通报中心公布了四起典型案例,同时通报了100款违法违规APP下架整改,这消息再次给违规收集使用个人信息的APP敲起一记警钟。
那我们今天来谈谈APP收集使用个人信息的那些事。
APP运营主体在向用户提供APP相关服务和功能时,通常需获得相关权限来收集用户的个人信息。权限是操作系统内置的访问控制机制。安卓(Android)操作系统通过权限来控制APP对系统资源和个人信息的访问使用。APP只有在系统层面获取了某项权限,才能执行与该权限有关操作。如APP获取READ_CONTACTS(读通讯录)权限,就能读取手机的通讯录信息;获取ACCESS_FINE_LOCATION(访问精准位置)权限,就能得到手机的精确位置信息。
根据APP专项治理工作组于2019年5月24日公布的《百款常用APP申请收集使用个人信息权线情况》显示目前常用的原生安卓操作系统有26个重点权限与个人信息收集使用密切相关。
餐饮外卖类的APP如百度糯米、饿了么、美团外卖收集使用个人信息权限集中于CAMERA(相机)-拍摄;CONTACTS(通讯录)-读取通讯录、LOCATION(位置)-访问精准定位/访问粗略位置;MICROPHONE(麦克风)-录音;PHONE(电话)-读取电话状态(设备IMSI/IMEI号);STORAGE(存储)-读取外置存储器/写入外置存储器。
地图导航类APP如百度地图、高德地图、腾讯地图收集使用个人信息权限及中于CAMERA(相机)-拍摄;LOCATION(位置)-访问精准定位/访问粗略位置;MICROPHONE(麦克风)-录音;PHONE(电话)-读取电话状态(设备IMSI/IMEI号);STORAGE(存储)-读取外置存储器/写入外置存储器。
短视频类APP如快手、虎牙直播、抖音、火山小视频、哔哩哔哩、斗鱼直播、西瓜视频收集使用个人信息权限集中于CAMERA(相机)-拍摄;LOCATION(位置)-访问精准定位/访问粗略位置;MICROPHONE(麦克风)-录音;PHONE(电话)-读取电话状态(设备IMSI/IMEI号);STORAGE(存储)-读取外置存储器/写入外置存储器。
此外还包括金融借贷类、工具软件类、即时通讯类、交通票务类、浏览器类、拍照美化类、社区社交类、输入法类、网络支付类、网络购物类、新闻资讯类、学习教育类、网络游戏类、影音娱乐类及其他类别APP收集使用个人信息的权限。
由上可见,大多数APP都希望获得的权限主要有CAMERA(相机)-拍摄;LOCATION(位置)-访问精准定位/访问粗略位置;MICROPHONE(麦克风)-录音;PHONE(电话)-读取电话状态(设备IMSI/IMEI号);STORAGE(存储)-读取外置存储器/写入外置存储器。这说明了“位置信息”、“通讯录信息”、“手机号码”等是APP过度收集或使用个人信息中的重灾内容。
根据2018年中国消费者协会发通报的《100款APP个人信息收集与隐私政策测评报告》中显示,100款APP中,59款APP涉嫌过度收集了“位置信息”,过度收集或使用个人信息,另外“通讯录信息”、“身份信息”、“手机号码”也是用户个人信息过度收集或使用较多的内容,在受测评中分别有28款、23款、22款APP涉嫌存在此类情况。
如聚看点APP收集个人身份信息(生日、籍贯)、个人上网记录、个人财产信息、位置信息和通讯录信息,但各类信息对应的业务功能未明确说明。
如天天P图收集用户的位置信息,但未说明提供的是何种相关服务。
再如美图秀秀APP涉嫌过度收集可识别生物信息、财务信息等。
现在APP在收集使用个人信息时主要存在哪些方面的问题呢?
01 无隐私协议条款
如近日通报的四起典型案例中,“健康天津”APP涉嫌无隐私协议收集用户位置信息等违法违规行为,经天津市公安局武清分局网安支队受案调查,依据《网络安全法》第四十一条、第六十四条规定,对该APP运营单位“天津健康医疗大数据有限公司”处以行政警告并责令限期整改。
“简讯”APP涉嫌无隐私协议收集用户位置信息等违法违规行为,经成都市公安局网安支队受案调查,依据《网络安全法》第六十条第一款规定,对该APP运营单位“成都市黑领科技有限公司”处以行政警告并处罚款贰仟元。
02 隐私协议为默认勾选,或设有限制
如2018年1月,支付宝在年度账单的左下方默认勾选“我同意《芝麻信用协议》”,让很多用户在不知情的前提下将个人信息用户数据授权给支付宝收集使用。国家互联网信息办公室网络安全协调局约谈“支付宝年度账单事件”当事企业负责人时指出,支付宝、芝麻信用收集使用个人信息的方式,不符合刚刚发布的《个人信息安全规范》国家标准的精神,违背了其前不久签署的《个人信息保护倡议》的承诺;应严格按照网络安全法的要求,加强对支付宝平台的全面排查,进行专项整顿,切实采取有效措施,防止类似事件再次发生。
更有很多APP在用户同时授权APP收集多项个人信息时,甚至设有用户不同意开启相关权限,则APP无法安装或运行等限制。
03 隐私条款笼统,约定不明确
很多隐私协议条款,对收集、使用个人信息的目的、方式、范围等没有明确说明,或展示不明确,或未对收集使用的信息作个性化对待和约定。
根据网信办于2019年5月5日公开的《APP违法违规收集使用个人信息行为认定方法(征求意见稿)》(以下简称《征求意见稿》)中规定,在APP安装、使用等过程中均未通过弹窗、链接等方式提示用户阅读隐私政策或隐私政策链接无效、文本无法正常显示;进入APP主功能界面后,多于4次点击、滑动才能访问到隐私政策等情形,都属于APP违反公开收集使用规则要求的情形。
此外《APP违法违规收集个人信息自评估指南》(以下简称《自评估指南》)第6项也要求收集使用个人信息应经用户自主同意,不应存在强制捆绑授权的行为。APP运营方应向用户明示收集、使用个人信息的目的、方式和范围,若存在第三方代码嵌入,应征得用户的同意。如部分涉及到青少年学习培训的APP在收集未成年人的个人信息时,没有征得其监护人的同意。再如近日典型案例中的“折疯了海淘”APP未明示数据项采集用途,涉嫌违规收集用户信息,经杭州市公安局西湖分局受案调查,依据《网络安全法》第六十四条第一款,对该APP运营单位“杭州橙子信息科技有限公司”处以行政警告并责令限期整改。
此外,很多APP的隐私条款未拆分个人信息的类别让用户充分选择,未向用户提供选择部分个人信息授权收集的选项。如2018年中国消费者协会测评报告中指出,支付宝APP存在未明确告知收集个人信息类型,且支付宝APP未在收集的信息种类中注明个人敏感信息,且未对核心和附加功能进行区分,导致用户易认为所收集的信息均为必需项。
04 过度收集,违背最小化原则
如近日四起案例中的“趋势密码”APP,因未经用户同意收集使用精准定位等个人信息,涉嫌超范围收集用户信息等违法违规行为,经上海市公安局徐汇分局网安支队受案调查,依据《网络安全法》第六十四条第一款,对该APP运营单位“上海益秋投资管理有限公司”处以行政警告。
随着“净网2019”专项行动的深入推进,APP应当严格规范搜集使用个人信息,针对前文所述的几种情形进行自查自救,严格整治,否则将面临着被查处的风险,若严重涉及犯罪活动的,亦将可能承担刑事责任。
作者:北京盈科(杭州)律师事务所 互联网法律事务团队
