˙
新闻与出版物
你的隐私政策有风险吗?——APP隐私政策需要注意的十个要点
2019年08月05日 发布人:华诚小编

你的隐私政策有风险吗?——APP隐私政策需要注意的十个要点

张丹 刘晓霞


[前言]

隐私政策中存在的问题,已有专业人士进行过不同程度的分析论述,但是随着个人信息保护暴露出问题逐渐增多,以及监管政策(包括各类征求意见稿)的不断公布,又有一些新的问题需要我们予以关注,笔者在本篇文章中,选取隐私政策中十个方面的问题进行分析探讨,试图找寻合规之道。

从应用商店浏览到下载完成初次点击应用,用户接触最多的是各类隐私政策。一些APP运营者制定数页之多的隐私政策是为了符合应用商店的上架要求,也有一些是为了通过监管部门的合规检查。尽管多数用户目前尚未养成使用前详细阅读隐私政策的习惯,但是近期涌现出的个人信息侵权案件显示,随着用户逐渐加深对个人信息权利的了解,通过隐私政策向运营者主张信息主体权利的情况会越来越多,而隐私政策作为对个人信息保护的一份说明文件也起到了越来越重要的作用。


笔者通过对多个APP的隐私政策进行梳理研究,发现目前存在于APP隐私政策中的问题有以下十点较为突出,笔者对此进行逐一分析探讨。


1、业务功能与所收集个人信息的对应展示


在今年6月21日发布的《信息安全技术 个人信息安全规范》(征求意见稿)(以下简称《安全规范征求意见稿》)要求隐私政策中应当包含“收集、使用个人信息的业务功能,以及各业务功能分别收集的个人信息类型。”尽管该规范并非具有法律强制性,但已成为监管的重要参考依据,因此,这一要求在监管部门的文件中也得到进一步体现。


《APP违法违规收集使用个人信息自评估指南》(以下简称《指南》)中的一项评估就包括“业务功能与所收集个人信息类型是否一一对应”,也就是说,隐私政策中应当对APP业务功能与相应的所需收集信息进行明确的说明。而且该《指南》明确要求不应使用模糊或概括性表述,即“每个业务功能在说明其所收集的个人信息类型时,应在隐私政策中逐项列举,不应使用“等、例如”等方式概括说明。”


《安全规范征求意见稿》中新增了对业务功能的定义,即“满足个人信息主体的具体使用需求的业务或功能。如地图导航、网络约车、即时通讯、社区社交、网络支付、新闻资讯、网上购物、快递配送、交通票务等。”以此来改善难以对业务功能进行明确划分的实践问题。因此企业在APP隐私政策中应当以实现具体需求的功能或业务为单位进行对应收集个人信息的说明。


一些APP隐私政策采用模糊用语,引导用户进行概括性授权,既未对具体业务功能作说明,也未对收集信息所对应的功能进行告知。用户无法准确获知运营者收集的个人信息范围以及收集目的,不符合用户的知情同意规则,同时,运营者可以通过概括性授权扩大收集个人信息的范围,这也不符合监管要求的最小必要原则(如下图)。

微信图片_20190731153911.jpg



部分头部APP在隐私政策展示中及时响应了监管要求,为行业作出了合规示范。例如饿了么隐私政策(2019年5月7日生效)不仅展示了业务功能对应收集的个人信息范围,而且将具体的使用场景也作出说明,并对用户提示部分的内容进行了标示。(如下图)


微信图片_20190731154225.jpg

最近广东省公安厅公布其监测发现的APP违规名单中,部分APP就因超范围收集个人信息被点名并被要求下架及整改。因此对APP运营者来说,所需采取的首要合规步骤就是对业务功能进行梳理,将其所需收集的个人信息及个人信息使用规则在隐私政策中对用户进行说明。


2、个人信息的共享


在2018年5月实施的《信息安全技术 个人信息安全规范》(以下简称《个人信息安全规范》)中要求隐私政策应包含的内容有“对外共享、转让、公开披露个人信息的目的、涉及的个人信息类型、接收个人信息的第三方类型,以及各自的安全和法律责任;”但事实上笔者通过阅读各类APP的隐私政策发现,很少有达到前述要求的APP。实际上,在涉及到用户个人信息共享的问题上,APP运营者们都面临着巨大的法律风险。


在实现业务功能的过程中,APP运营者往往需要与第三方进行合作并且共享收集到的用户个人信息。这些第三方包括但不限于软、硬件服务商、广告服务商、物流服务商等。但许多个人信息的泄露、窃取、非法交易等问题都是出在共享这个环节上。因此,运营者需要通过与第三方进行责任划分并对用户告知来履行自身作为数据控制者对数据的保护义务。


在向用户展示个人信息共享的部分,许多隐私政策都语焉不详。例如某外卖APP的隐私政策中表述“当您通过本平台购买商品或服务时,为向您提供第三方配送等服务,我们必须与第三方服务商共享您的个人信息。”该内容对共享信息目的、信息类型、接收方的类型以及责任划分没有作出任何说明。因此在保障用户对其个人信息的知悉和获得授权方面,显然不符合监管要求。


今年7月,部分行业头部APP由于未在隐私政策中告知用户SDK收集用户个人信息规则而被曝光。在今年5月公布的《数据安全管理办法》(征求意见稿)中要求网络运营者对其平台的接入第三方应用承担安全管理责任,如第三方应用发生数据安全事件并对用户造成损失,除非能够证明无过错,否则网络运营者须承担相应责任。由此可以看出,在前述个人信息共享所涉及的内容方面,对用户进行详尽的说明是企业降低合规风险的第一步。


3、个人信息的公开披露


在涉及到个人信息公开披露部分,大多数APP在隐私政策中作出的说明大同小异,即仅在用户授权或强制性要求下才进行公开披露,并列出包括“国家安全、公共卫生”等涉及重大公共利益的例外情况。


但金融借贷类APP往往在该部分内容添加了主动披露的条件。例如某知名科技公司旗下的网络借贷APP就在隐私政策的个人信息共享部分中称,例外共享的情况还包括下图所示内容:

微信图片_20190731154605.png


此类说明通常是因借贷行业特有的风控及贷后催收需求而添加。但这类公开披露的说明是否合规?


根据《最高人民法院关于公布失信被执行人名单信息的若干规定》(2017年修改)第七条规定,各级人民法院有权将失信被执行人名单通过报纸、广播、电视、网络、法院公告栏等其他方式予以公布。此处法院经授权公布的内容仅限于名单,而不包含其他个人信息。


但此隐私政策中不可撤销地要求用户授权同意公开披露其个人信息,授权范围包含了个人基本信息、个人敏感信息等内容,且没有对公开目的进行告知。运营者是否可以基于用户的违约行为而将用户的信息进行公示,用户的违约行为是否属于合理事由,运营者如此公示显然有待商榷。


此外,由于错误信息录入征信机构而导致的侵权诉讼时有发生,运营者如何承担责任,如何保障用户的信息访问、更正权及删除权也需要运营者们在进行风控规则设计的时候兼顾个人信息保护的合规要求。


4、个人信息安全保护措施的展示


《个人信息安全规范》要求APP隐私政策中应包含安全保护措施内容,即平台“遵循的个人信息安全基本原则,具备的数据安全能力,以及采取的个人信息安全保护措施,必要时可公开数据安全和个人信息保护相关的合规证明”。


《指南》中第13点也列出“隐私政策中应对APP运营者在个人信息保护方面采取的措施和具备的能力进行说明,如身份鉴别、数据加密、访问控制、恶意代码防范、安全审计等。”因此,在隐私政策中对安全保护措施进行明确展示也是APP运营者合规的要求之一。


但是许多APP隐私政策中对此类内容的描述都存在不足以证明其具有数据安全能力的问题。例如某社交平台APP的隐私政策中仅说明,“我们会使用加密技术确保数据的保密性;我们会使用受信赖的保护机制防止数据遭到恶意攻击”。隐私政策中的安全保护措施说明本是用来向用户展示其对个人信息的保护能力并给予运营者展现其技术实力的机会。该社交平台的隐私政策的说明显然无法达到监管的合规要求。


淘宝在其隐私政策(2019年5月6日生效)中将该部分内容分为技术保护措施、管理体系、个人信息保留规则、用户使用建议、安全影响评估报告、安全事件响应机制六类,并在技术保护措施中进行举例说明,以提升用户阅读友好度。


安全保护措施在隐私政策中的明确展示,不仅可以降低APP运营者的合规风险,而且能够树立其技术实力强大的专业形象,因此运营者有必要对该类内容向用户进行较为详尽的展示。


5、个人敏感信息的突出显示和授权


《安全规范征求意见稿》要求运营者在隐私政策中应说明收集信息的类型,并新增了对于敏感信息的要求,即“涉及个人敏感信息的,需明确标识或突出显示”。这与在此之前发布的《指南》中的要求保持了一致。在《指南》第8点中要求“隐私政策应对个人敏感信息类型进行显著标识(如字体加粗、标星号、下划线、斜体、颜色等)”。


今年三月份南都个人信息保护研究中心和中国人民大学法学院未来法治研究院发布的《2019移动金融类App隐私政策透明度测评》指出,在其测评的100款移动金融类App中,只有9款对个人信息和个人敏感信息做了区分。


笔者发现,目前多数APP的隐私政策没有对敏感信息进行特别标示或突出显示,甚至某一共享汽车APP采用全文一致字体进行展示,没有任何标注或提示。而某一电商APP仅对各类隐私政策标题进行了加粗标识。


此外,运营者需要注意的一点是并非任何形式的隐私政策都具有合同的性质,因此其中的内容并不天然的可以被视为客户授权许可。不符合合同要素及法律要求的隐私政策更多的是一种运营平台对用户的说明和承诺。因此,其中的敏感信息收集需要获得用户在完全知情基础之上的自主、清晰的明示同意之后才可以进行。


今年四月份工信部官网发布消息称,广东省通信管理局对辖区内应用商店进行抽查,将20个违规APP进行下架处理。下架APP主要涉及到“隐私协议未提及的敏感信息被收集”、“未获用户同意而收集敏感信息”、“收集的敏感信息与隐私协议中所列不符”等违规事项。


由此可知,未获得明确授权进行敏感信息收集已经被监管部门给出了警告,而合规的关键一步就是将敏感信息对用户进行告知和提示。因此,在隐私政策中对敏感信息的收集类型、收集规则进行说明并进行明确标识或突出显示将是APP符合监管要求的一个具体指标。
6、个人信息主体权利的行使

网络安全法》第四十三条规定,“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。”


《安全规范征求意见稿》对访问权、更正权及被遗忘权等信息主体权利做出了进一步要求,即APP隐私政策应包含“个人信息主体的权利和实现机制,如查询方法、更正方法、删除方法、注销账户的方法、撤回授权同意的方法、获取个人信息副本的方法、对信息系统自动决策结果进行申诉的方法等”。


《指南》也在第15点中提出“隐私政策中应对以下用户操作方法提供明确说明:1、个人信息查询;2、个人信息更正;3、个人信息删除;4、用户账户注销;5、撤回已同意授权。”


尽管监管已经提出了明确的要求,但在实践中,目前仍有一些APP的隐私政策对此没有及时进行更新。如下图仅泛泛描述了用户可进行的操作而没有提供具体的路径说明。


微信图片_20190731155008.jpg



根据7月2日工信部信息通信管理局发布《工业和信息化部关于电信服务质量的通告(2019年第2号)》,其在第一季度通过对100家互联网企业进行抽查,发现18家互联网企业存在未告知查询更正信息的渠道、未提供账号注销服务等问题。可以预见的是,作为保障个人信息主体权利重要外观的隐私政策将是对运营者个人信息合规工作进行评判的最好注脚。



7、利用兜底条款收集信息


尽管在《网络安全法》第四十一条提出“网络运营者收集使用个人信息,应当遵循合法、正当、必要原则”,《个人信息安全规范》及《指南》中也已对APP收集个人信息提出了说明对应业务功能的具体要求,但许多APP仍存在不合规问题。


在用户起诉今日头条侵犯隐私的诉讼中,原告刘先生提出《用户协议及隐私条款》中仅说明APP可能会收集和使用用户相关信息,没有明确提及通讯录,但实际上却读取并上传了用户的通讯录。“相关信息”可以包罗万象,成为网络运营者不合规收集用户信息的法宝。


还有一些APP的隐私政策存在诸如模糊功能描述企图为用户制造障眼法;通过罗列多项内容以获得用户一揽子授权;设置兜底条款企图对安全风险免责等。


在APP治理工作组7月11日在微信公众号上发布的通报中点名了20款APP,这些APP存在的问题包括要求用户一次性同意开启多个可收集个人信息权限,不同意则无法安装使用。运营者应当看到合法合规对个人信息进行收集将是行业发展的大势所趋,也是建立用户信赖的基石。


8、Cookie及同类技术的说明

Cookie及同类技术作为支持服务器端在客户端上存储和检索信息的一种机制,通常用于记录用户偏好,此类信息除被用于改善服务体验外,还通常用于个性化展示、针对用户画像进行营销等功能。


尽管《安全规范征求意见稿》中未写明隐私政策中应包括对Cookie及同类技术的说明,但对个人信息控制者以个人画像为目的进行信息使用提出了限制要求。“除为达到个人信息主体授权同意的使用目的所必需外,使用个人信息时应消除明确身份指向性,避免精确定位到特定个人。例如,为准确评价个人信用状况,可使用直接用户画像,而用于推送商业广告目的时,则宜使用间接用户画像。”《指南》要求APP在应用Cookie及其同类技术时应向用户明示收集个人信息的目的、类型。目前对于此类内容进行明示的常用做法是在隐私政策中进行说明。


一些APP隐私政策仅仅把该类内容作为隐私政策的组成部分进行简单介绍。没有向用户对技术进行介绍,也没有对通过该技术收集的信息进行场景说明。在用户使用APP的过程中亦没有设置弹窗或其他提示形式进行告知。“您有权接受或拒绝Cookie,如果浏览器自动接收Cookie,您可以根据自己的需要修改浏览器的设置以拒绝Cookie。”前述这样的说明通常对APP用户没有任何帮助作用。形式化的展示也违背了监管要求的初衷。


而一些头部互联网企业的APP隐私政策对用户给出了易于理解且便于据此进行操作的展示。例如知乎的隐私政策中将Cookie及同类技术单独列出一个“知乎Cookie指引”,用户点击进入说明后可以进行阅读,该指引通过“什么是追踪技术”、“我们为什么要使用追踪技术”、“我们如何使用追踪技术”……“您如何控制追踪技术”等问题对用户作出了阅读友好度较高的说明。用户不仅能够了解该技术的用途、使用场景,而且可以根据说明进行具体设置。


尽管在该类说明中由于存在具有用户难以理解的技术概念,使得大多数APP对此部分的介绍或者泛泛带过,或者犹如天书。但通过对比可以发现,在隐私政策中给出便于用户理解的说明,是帮助APP运营者有效降低侵权风险的合规操作。


9、展示隐私政策前的个人信息收集行为


《网络安全法》第四十一条要求“网络运营者收集、使用个人信息,应当……明示收集、使用信息的目的、方式和范围,并经被收集者同意。”即运营者应当先向用户告知,获得用户同意后方可收集使用用户的个人信息。


《数据安全管理办法(征求意见稿)》第九条要求“当用户知悉收集使用规则并明确同意后,网络运营者方可收集个人信息。”尽管是征求意见稿,但仍可一窥得知监管意图,即在进行收集个人信息之前,用户应当是处于对收集使用规则知情的状态,并对该收集行为进行过授权。也就是说,要达到该要求,APP应在收集信息前采取两个步骤,第一步是对用户进行规则告知,第二步是获得用户明确同意授权。


《安全规范征求意见稿》中也建议“在个人信息主体首次打开产品或服务、注册账号等情形时,宜通过弹窗等形式主动向其展示隐私政策的主要或核心内容,帮助用户理解该产品或服务的个人信息处理范围和规则,并决定是否继续使用该产品或服务。”


如前文所述,并非所有的隐私政策都具有合同性质,因此也不能达到获得用户授权的合规要求。但目前多数APP通过让用户同意隐私政策以同时达到对用户进行说明和获得用户授权两个目的,某些APP的隐私政策甚至未设置用户主动选择同意机制。


此外,仍有一些APP在用户首次打开应用时没有进行任何说明即要求用户对信息收集进行授权,例如下图中某共享服务APP在首次打开应用的界面中就要求用户对是否允许收集手机号码、IMEI、IMSI进行授权。



微信图片_20190731155526.jpg


此类初始收集的行为显然不符合监管要求。个人信息收集的开始应是建立在明确说明+用户明示授权两步骤之上,随着后续检查的密集进行,可以预见,此类收集行为将会成为合规隐患,建议运营者应尽早对此进行修正。


10、隐私政策的更新告知及日期标示


《个人信息安全规范》要求当主要内容发生变化时,运营者应及时更新隐私政策并重新告知个人信息主体。《指南》也在第17和18点中要求隐私政策应明确标识发布、生效或更新日期,在重要内容发生变更时应及时告知用户。


此类要求通常是为了保障用户的知情权,能及时了解个人信息收集使用相关内容的变化。实现此合规要求的成本不高,在隐私政策中作出日期提示并写明隐私政策更新规则。


有些头部APP如淘宝网和百度地图在还设置了专门页面对过往版本的隐私政策存档供用户查阅。但部分APP的隐私政策既无日期标示,也无旧版本可供查阅,用户很难确认该隐私政策是否仍然有效,是否是最新版本。如下图淘宝不仅在其隐私政策中标注了更新日期,而且在说明中专门告知用户设置了专门的页面对隐私政策的变更以及过往的版本进行展示。



微信图片_20190731160554.png




更新告知和日期标示看似是微小问题,但对运营者来说也潜藏合规风险。当用户主张信息收集使用规则不合规时,没有日期标示的隐私政策中展示的规则往往会对运营者造成不利影响。这也从另一个侧面反映出运营者未能充分保障用户的个人信息权利。


作为APP个人信息收集和使用的“展示窗口”,隐私政策对个人信息安全监管具有重要的参考作用。运营者应对隐私政策给予足够重视,不仅要做到“表面合规”,而且要做到“实质合规”,以隐私政策为个人信息安全合规工作的提纲,建立贯穿始终的个人信息保障体系才能在大数据浪潮中保持航向,稳步前行。



本网站之内容旨在提供有关华诚的一般信息。本网站之内容不得被视为与访问者建立律师-客户关系,也不视为是为任何具体事宜提供法律意见。网站访问者应向律师咨询以获得专业法律意见。 对于任何争议的特定事实和情况,在没有获得恰当的法律或其他专业意见之前,本所客户和其他网站访问者不能将华诚网站上的任何信息作为采取行动与否的依据。

© Copyright 2000-2015 All Rights Reserved | 沪ICP备15028801号 隐私保护 | 用户反馈

沪公网安备 31010402001317号

Lin