原标题:违规收集个人隐私信息认定方法出炉 App数据使用进入强监管时代
App违法违规收集使用个人隐私信息行为怎么认定?对此,四部门联合发文给出了答案。12月30日,国家互联网信息办公室、工信部、公安部、市场监管总局四部门联合印发的《App违法违规收集使用个人隐私信息行为认定方法》(以下简称《认定方法》)在中国网信网官网正式公布。自此,31种App违法违规收集使用个人隐私信息行为有章可依。分析人士指出,《认定方法》出炉后,下一步,司法部门和监管部门可对App违法违规收集个人隐私信息进行专项重锤整治,由此,App数据收集也进入强监管时代。
明确六大类违规行为
北京商报记者注意到,《认定方法》将共31种违法违规收集使用个人隐私信息行为进行了分类认定,共分为未公开收集使用规则、未明示收集使用个人隐私信息的目的方式和范围、未经用户同意收集使用个人隐私信息、违反必要原则收集与其提供的服务无关的个人隐私信息、未经同意向他人提供个人隐私信息、未按法律规定提供删除或更正个人隐私信息功能或未公布投诉举报方式等信息六大类。
《认定方法》明确,“未公开收集使用规则”包括在App中没有隐私政策,或者隐私政策中没有收集使用个人隐私信息规则,以及在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则,隐私政策等收集使用规则难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等4种行为。
而未逐一列出App收集使用个人隐私信息的目的、方式、范围等,及有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等4项行为则可被认定为“未明示收集使用个人隐私信息的目的、方式和范围”。
此外,对于用户明确表示不同意后,仍收集个人隐私信息或打开可收集个人隐私信息的权限,或频繁征求用户同意、干扰用户正常使用,以默认选择同意隐私政策等非明示方式征求用户同意等行为,可被认定为“未经用户同意收集使用个人隐私信息”。
对于本次《认定方法》明确的六大类违法违规行为,苏宁金融研究院金融科技中心主任孙扬指出,“本次《认定方法》是经过反复研究、调研严肃确认的,针对性非常强。细化要求了收集所有的信息都要明确目的是什么,且信息的范围也需要更具体。其中,‘未经用户同意收集使用个人隐私信息’认定部分,对各种隐藏、诱骗、欺诈收集个人隐私信息定义得非常具体。尤其是定向推送信息的操作,现在推送特别多,给用户带来很多困扰,如果提供关闭推送的选项,将对用户非常方便”。
便于监管认定违规App
北京商报记者了解到,此次《认定办法》系根据此前《关于开展App违法违规收集使用个人隐私信息专项治理的公告》(以下简称“公告”),为落实《网络安全法》等法律和法规而制定。主要为监管部门认定App违法违规收集使用个人隐私信息行为提供参考,也为App运营者自查自纠和网民社会监督提供指引。
事实上,自今年1月,4部门联合开启App违法违规收集使用个人隐私信息治理后,App专项整治工作便有序推进,且各个工作链条环环相扣。麻袋研究院高级研究员苏筱芮指出,此次颁布的《认定方法》,正是对前期专项治理的工作总结和经验提炼;同时,在实际工作中,App违法违规收集个人隐私信息形式多样,有的打“擦边球”,也有的机构对个人隐私信息违规理解不到位,整改不积极,因此需要监管层面的细化管理。
苏筱芮进一步指出,《认定办法》一方面对各项违规形式进行了分类,便于监管层后续具有针对性地进行管理;另一方面则通过各类数字标准明确违法违规的认定,使条款更为细致清晰,有利于机构严格对照标准展开整改工作。
值得关注的是,针对App违规行为整治,App专项治理工作组也告诉北京商报记者,临近年关,监管对App违规情况将严抓狠打,违规App运营者应对相关问题进行整改。逾期未整改的,工作组将向有关部门反映,监管部门将依法予以处置,其中,对于问题严重且不及时整改的App运营者,不乏暂停相关业务、停业整顿、吊销相关业务许可证或吊销营业执照等处罚。
从业机构应尽快自查
值得注意的是,自App违法违规收集使用个人隐私信息专项治理开展近一年以来,有关部门已联动展开对App违规行为的多轮整治。其中,来自监管人士、行业专家等多方人士均指出,金融类App已成为违法违规收集使用个人隐私信息的重灾区。
据北京商报记者不完全统计,仅在今年下半年,已有超60余家金融类App违法违规被点名整改。针对金融App违规乱象,有监管人士透露,相关部委将对软件商店采取联动措施,对于不符合规定、有重大风险隐患的App,会及时采取下架的措施。
另据中国信息通信研究院发布的《2019年金融行业移动App安全观测报告》,截至2019年9月11日,在超13万款金融行业App中,70.22%的金融行业App存在高危漏洞。从App分类角度来看,互联网第三方支付和信托类App的高危漏洞问题较为突出,保险、投资理财等分类的App高危漏洞问题也相对严重。
而此次《认定方法》出炉后,孙扬告诉北京商报记者,下一步,司法部门和监管部门可对App违法违规收集个人隐私信息进行专项重锤整治,由此,App数据收集也进入强监管时代。从业机构必须要尽快执行个人隐私信息收集违法违规行为的自查和规范。
对于机构自查和规范,苏筱芮称,“App违法违规收集使用个人隐私信息行为有认定方法后,机构需重点厘清哪些收集属于必要信息,对于非必要信息则需征得用户同意;同时,对于信息共享、信息接入等涉及外部机构的信息处理,需充分做好用户个人信息保护工作”。
中国银行法学研究会理事肖飒则进一步建议,App运营者要提供更正、删除个人隐私信息及注销用户账户的功能,且切勿给更正、删除信息制造不必要、不合理的条件;应防止“两张皮”现象,避免虽表面上更正、删除个人隐私信息或注销了账户,但实际上App后台还保留着原信息情况;且必须设立、公布个人隐私信息投诉、举报渠道,并在15个工作日之内受理和处理投诉和举报。
有关监管人士则指出,App运营者在收集使用个人隐私信息时,应严格履行《网络安全法》规定的责任义务,对收集的个人隐私信息安全负责,采取有效措施加强个人隐私信息保护。App运营者可参照相关规定,对其收集使用个人信息的情况做自查自纠,主动提升个人隐私信息保护水平。
北京商报记者 孟凡霞 实习记者 刘四红