张丹 刘晓霞 [前言]你的隐私政策有风险吗?——APP隐私政策需要注意的十个要点
隐私政策中存在的问题,已有专业人士进行过不同程度的分析论述,但是随着个人信息保护暴露出问题逐渐增多,以及监管政策(包括各类征求意见稿)的不断公布,又有一些新的问题需要我们予以关注,笔者在本篇文章中,选取隐私政策中十个方面的问题进行分析探讨,试图找寻合规之道。
在实现业务功能的过程中,APP运营者往往需要与第三方进行合作并且共享收集到的用户个人信息。这些第三方包括但不限于软、硬件服务商、广告服务商、物流服务商等。但许多个人信息的泄露、窃取、非法交易等问题都是出在共享这个环节上。因此,运营者需要通过与第三方进行责任划分并对用户告知来履行自身作为数据控制者对数据的保护义务。
今年四月份工信部官网发布消息称,广东省通信管理局对辖区内应用商店进行抽查,将20个违规APP进行下架处理。下架APP主要涉及到“隐私协议未提及的敏感信息被收集”、“未获用户同意而收集敏感信息”、“收集的敏感信息与隐私协议中所列不符”等违规事项。
《网络安全法》第四十三条规定,“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。”
《安全规范征求意见稿》对访问权、更正权及被遗忘权等信息主体权利做出了进一步要求,即APP隐私政策应包含“个人信息主体的权利和实现机制,如查询方法、更正方法、删除方法、注销账户的方法、撤回授权同意的方法、获取个人信息副本的方法、对信息系统自动决策结果进行申诉的方法等”。
《指南》也在第15点中提出“隐私政策中应对以下用户操作方法提供明确说明:1、个人信息查询;2、个人信息更正;3、个人信息删除;4、用户账户注销;5、撤回已同意授权。”
尽管监管已经提出了明确的要求,但在实践中,目前仍有一些APP的隐私政策对此没有及时进行更新。如下图仅泛泛描述了用户可进行的操作而没有提供具体的路径说明。
根据7月2日工信部信息通信管理局发布《工业和信息化部关于电信服务质量的通告(2019年第2号)》,其在第一季度通过对100家互联网企业进行抽查,发现18家互联网企业存在未告知查询更正信息的渠道、未提供账号注销服务等问题。可以预见的是,作为保障个人信息主体权利重要外观的隐私政策将是对运营者个人信息合规工作进行评判的最好注脚。
尽管在《网络安全法》第四十一条提出“网络运营者收集使用个人信息,应当遵循合法、正当、必要原则”,《个人信息安全规范》及《指南》中也已对APP收集个人信息提出了说明对应业务功能的具体要求,但许多APP仍存在不合规问题。
在用户起诉今日头条侵犯隐私的诉讼中,原告刘先生提出《用户协议及隐私条款》中仅说明APP可能会收集和使用用户相关信息,没有明确提及通讯录,但实际上却读取并上传了用户的通讯录。“相关信息”可以包罗万象,成为网络运营者不合规收集用户信息的法宝。
还有一些APP的隐私政策存在诸如模糊功能描述企图为用户制造障眼法;通过罗列多项内容以获得用户一揽子授权;设置兜底条款企图对安全风险免责等。
在APP治理工作组7月11日在微信公众号上发布的通报中点名了20款APP,这些APP存在的问题包括要求用户一次性同意开启多个可收集个人信息权限,不同意则无法安装使用。运营者应当看到合法合规对个人信息进行收集将是行业发展的大势所趋,也是建立用户信赖的基石。
Cookie及同类技术作为支持服务器端在客户端上存储和检索信息的一种机制,通常用于记录用户偏好,此类信息除被用于改善服务体验外,还通常用于个性化展示、针对用户画像进行营销等功能。
尽管《安全规范征求意见稿》中未写明隐私政策中应包括对Cookie及同类技术的说明,但对个人信息控制者以个人画像为目的进行信息使用提出了限制要求。“除为达到个人信息主体授权同意的使用目的所必需外,使用个人信息时应消除明确身份指向性,避免精确定位到特定个人。例如,为准确评价个人信用状况,可使用直接用户画像,而用于推送商业广告目的时,则宜使用间接用户画像。”《指南》要求APP在应用Cookie及其同类技术时应向用户明示收集个人信息的目的、类型。目前对于此类内容进行明示的常用做法是在隐私政策中进行说明。
一些APP隐私政策仅仅把该类内容作为隐私政策的组成部分进行简单介绍。没有向用户对技术进行介绍,也没有对通过该技术收集的信息进行场景说明。在用户使用APP的过程中亦没有设置弹窗或其他提示形式进行告知。“您有权接受或拒绝Cookie,如果浏览器自动接收Cookie,您可以根据自己的需要修改浏览器的设置以拒绝Cookie。”前述这样的说明通常对APP用户没有任何帮助作用。形式化的展示也违背了监管要求的初衷。
而一些头部互联网企业的APP隐私政策对用户给出了易于理解且便于据此进行操作的展示。例如知乎的隐私政策中将Cookie及同类技术单独列出一个“知乎Cookie指引”,用户点击进入说明后可以进行阅读,该指引通过“什么是追踪技术”、“我们为什么要使用追踪技术”、“我们如何使用追踪技术”……“您如何控制追踪技术”等问题对用户作出了阅读友好度较高的说明。用户不仅能够了解该技术的用途、使用场景,而且可以根据说明进行具体设置。
尽管在该类说明中由于存在具有用户难以理解的技术概念,使得大多数APP对此部分的介绍或者泛泛带过,或者犹如天书。但通过对比可以发现,在隐私政策中给出便于用户理解的说明,是帮助APP运营者有效降低侵权风险的合规操作。
《网络安全法》第四十一条要求“网络运营者收集、使用个人信息,应当……明示收集、使用信息的目的、方式和范围,并经被收集者同意。”即运营者应当先向用户告知,获得用户同意后方可收集使用用户的个人信息。
《数据安全管理办法(征求意见稿)》第九条要求“当用户知悉收集使用规则并明确同意后,网络运营者方可收集个人信息。”尽管是征求意见稿,但仍可一窥得知监管意图,即在进行收集个人信息之前,用户应当是处于对收集使用规则知情的状态,并对该收集行为进行过授权。也就是说,要达到该要求,APP应在收集信息前采取两个步骤,第一步是对用户进行规则告知,第二步是获得用户明确同意授权。
《安全规范征求意见稿》中也建议“在个人信息主体首次打开产品或服务、注册账号等情形时,宜通过弹窗等形式主动向其展示隐私政策的主要或核心内容,帮助用户理解该产品或服务的个人信息处理范围和规则,并决定是否继续使用该产品或服务。”
如前文所述,并非所有的隐私政策都具有合同性质,因此也不能达到获得用户授权的合规要求。但目前多数APP通过让用户同意隐私政策以同时达到对用户进行说明和获得用户授权两个目的,某些APP的隐私政策甚至未设置用户主动选择同意机制。
此外,仍有一些APP在用户首次打开应用时没有进行任何说明即要求用户对信息收集进行授权,例如下图中某共享服务APP在首次打开应用的界面中就要求用户对是否允许收集手机号码、IMEI、IMSI进行授权。
此类初始收集的行为显然不符合监管要求。个人信息收集的开始应是建立在明确说明+用户明示授权两步骤之上,随着后续检查的密集进行,可以预见,此类收集行为将会成为合规隐患,建议运营者应尽早对此进行修正。
《个人信息安全规范》要求当主要内容发生变化时,运营者应及时更新隐私政策并重新告知个人信息主体。《指南》也在第17和18点中要求隐私政策应明确标识发布、生效或更新日期,在重要内容发生变更时应及时告知用户。
此类要求通常是为了保障用户的知情权,能及时了解个人信息收集使用相关内容的变化。实现此合规要求的成本不高,在隐私政策中作出日期提示并写明隐私政策更新规则。
有些头部APP如淘宝网和百度地图在还设置了专门页面对过往版本的隐私政策存档供用户查阅。但部分APP的隐私政策既无日期标示,也无旧版本可供查阅,用户很难确认该隐私政策是否仍然有效,是否是最新版本。如下图淘宝不仅在其隐私政策中标注了更新日期,而且在说明中专门告知用户设置了专门的页面对隐私政策的变更以及过往的版本进行展示。
更新告知和日期标示看似是微小问题,但对运营者来说也潜藏合规风险。当用户主张信息收集使用规则不合规时,没有日期标示的隐私政策中展示的规则往往会对运营者造成不利影响。这也从另一个侧面反映出运营者未能充分保障用户的个人信息权利。
本网站之内容旨在提供有关华诚的一般信息。本网站之内容不得被视为与访问者建立律师-客户关系,也不视为是为任何具体事宜提供法律意见。网站访问者应向律师咨询以获得专业法律意见。 对于任何争议的特定事实和情况,在没有获得恰当的法律或其他专业意见之前,本所客户和其他网站访问者不能将华诚网站上的任何信息作为采取行动与否的依据。