新闻活动 / News
>
从Zoom事件看APP数据合规审查之重点问题
2020-04-10       昌言(上海)律师事务所

2020年3月27日,Zoom在其博客发出关于Facebook的SDK收集与其服务不相关的用户设备信息的声明,并决定在iOS版App上移除Facebook的SDK,但用户仍能在浏览器上以Facebook账号登录Zoom[1]。Zoom系统信息收集问题造成了Zoom股票下跌,NASA、SpaceX等公司和机构也禁止了员工使用Zoom[2]。


image.png

近年来,App收集、使用个人信息已成监管部门关注的热点。2018年,中国人民银行杭州中心支行对支付宝做出罚款18万元的行政处罚,其中,个人信息保护方面的违法行为被处罚5万元,主要涉及个人金融信息收集不符合最少、必需原则和个人金融信息使用不当两项违法行为[3]。因此,做好App信息收集、使用合规工作,对App运营者尤为重要。本文旨在对近年来各部门出台的与App收集、使用个人信息的文件进行梳理,并提示App运营者应当注意的问题点。

01

近年来App收集、使用个人信息监管的法律依据和相关文件

(一)个人信息保护相关法律法规、司法解释和部门规章

《网络安全法》《消费者权益保护法》等法律法规为行政机关监管运营者收集、使用个人信息提供了法律依据,最高人民法院、最高人民检察院等部门也发布了相关司法解释和部门规章。主要包括:


微信图片_20200413131407.png


据有关实务界人士分析,《网络安全法》第41条和《消费者权益保护法》第29条是2019年600例个人信息相关行政处罚的主要处罚依据[4]。即:

1586755158358368.png

(二)与App收集、使用个人信息监管相关的文件、规范

专门针对App收集、使用个人信息的文件及其制定背景主要总结如下:


微信图片_20200413131420.jpg


在以上四个文件中,《App违法违规收集使用个人信息自评估指南》共有9个评估项目,细分为32个评估点;《App违法违规收集使用个人信息行为认定方法》则划定了“未公开收集使用规则”“未明示收集使用个人信息的目的、方式和范围”“未经用户同意收集使用个人信息”“违反必要原则,收集与其提供的服务无关的个人信息”“未经同意向他人提供个人信息”和“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”六条红线。2020年3月19日全国信息安全标准化技术委员会秘书处公布的《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南(征求意见稿)》则在《App违法违规收集使用个人信息行为认定方法》的基础上进行了细化。而2020年3月19日发布的《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南(征求意见稿)》则提出了10个常见问题及相应的防范策略。本文主要对该10个常见问题进行介绍、总结和合规要点提示。

02

App收集、使用个人信息十大问题点

1586755974100070.png

问题1:超范围收集

情形一:收集无关信息。

情形二:强制收集非必要信息。

情形三:收集频率不合理。

【防范策略总结】

· 遵循最小必要原则,不收集与 App 所提供服务无关的个人信息,不申请与 App 所提供服务无关的系统权限;

· App 收集个人信息前向用户明示收集信息的目的、方式和范围,并征得用户同意,告知同意方式应符合相关法律法规、政策和标准的要求;

· 收集个人信息的频率应在 App 实现业务功能所必需的合理范围内;

· App 尽量避免收集不可变更的设备唯一标识(如 IMEI 号、MAC 地址等),用于保障网络安全和运营安全的除外。

【定达提示】

据分析,Android 平台的不少 App 普遍存在违反 Android 开发规范、绕过google play审查,通过滥用 ID 来追踪用户,以此达到为广告流量、营销分析等商业利益服务的目的。然而,MAC 地址虽然精准,但在较高级别的Android系统限制了第三方 API 获取MAC 地址,因此 IMEI号成为了用于广告跟踪的首选 ID[5]。但现在,除了保障网络安全和运营安全的考虑外收集IMEI 号、MAC 地址等设备唯一标识的,可能属于“超范围收集”,存在违规风险。

 

问题2:无法注销或设置不合理注销条件

情形一:无法注销或注销机制无效。

情形二:设置不合理注销条件。

【防范策略总结】

· 注销功能要简便易操作,不设置不合理的注销条件;及时响应用户注销请求,需要人工处理的,应在承诺时限内完成核查和处理;

· 用户注销后停止对用户个人信息的收集和使用,并按照相关要求和约定删除其个人信息或匿名化处理,因法律法规规定需要留存个人信息的,不再将其用于日常业务活动中;

· 用户采用同一账号注册登录多个 App 时,可提供解除单个App 用户账号使用关系的渠道。

【定达提示】

“无法注销或设置不合理注销条件”的情形,包括了注销成功后,未按相关要求或约定对其个人信息进行删除或匿名化处理等情形,因此对APP运营者而言,在建立注销机制时,不仅要考虑到注销条件、注销方式,也要考虑注销后个人信息和数据的处理。即使因法律法规规定需要留存个人信息的,也应当注意不能再将个人信息和数据用于日常业务。

 

问题3:强制捆绑授权

情形一:必须同意开启 App 申请的所有权限,否则无法安装或使用。

情形二:必须同意开启所有服务类型,否则无法使用。

情形三:频繁索权。

【防范策略总结】

· Android 版 App 设置 targetSdkVersion 值应不小于 23,建议设置 targetSdkVersion 值不小于 26;

· 尽量避免强制索取权限等强制收集行为;当用户同意 App 收集某服务类型的最小必要信息时,不因用户拒绝提供最小必要信息之外的个人信息而拒绝提供该类型服务;

· 用户不授权同意使用、关闭或退出特定业务功能的,不影响用户自主选择使用的其他业务功能的正常使用;

· 合理设置系统权限的申请时机和频率,不应干扰用户正常使用。

【定达提示】

这一问题点主要针对的是强制用户授权其不需要的功能及其相应权限。TargetSdkVersion值对应着App开发时设置的API等级,API等级23对应的是安卓系统6.0版本,低于6.0版本安卓系统允许App一次性申请所有可能用到的权限,同时安装App后权限便是默认开启状态。而API等级大于23的,并不会一次性申请所有权限,而会在用户使用过程中确需用到某项权限时,实时向用户申请。因此TargetSdkVersion值如果小于23,对用户隐私将是较大威胁。当然,2018年7月18日,电信终端产业协会(TAF)发布《移动应用软件高API等级预置与分发自律公约》规定,自2019年5月1日起,新上架和预置应用应基于Android 8.0 (API等级26)及以上开发,自2019年8月1日起,现有应用的更新应基于Android 8.0 (API等级26)及以上开发[6]。因此,Android 版 App 设置 targetSdkVersion 值应不小于 23,建议设置 targetSdkVersion 值不小于 26。

 

问题4:无隐私政策

情形一:未制定个人信息收集使用规则。

情形二:未在 App 中公开隐私政策。

【防范策略总结】

参考 GB/T 35273-2020《信息安全技术 个人信息安全规范》等标准,制定单独隐私政策,公开所收集个人信息的类型、收集目的、使用规则等,确保隐私政策链接正常有效。

【定达提示】

通过 App、网站小程序等收集使用个人信息的,要制定隐私政策,也要注意隐私政策应当包含收集使用个人信息规则,否则也可能构成“无隐私政策”而面临违规风险。

 

问题5:默认选择同意

情形一:默认勾选同意。

情形二:诱导用户略过隐私政策。

【防范策略总结】

· 为用户提供主动选择同意、或显著提醒用户阅读后同意隐私政策的选项,不默认勾选同意;

· 在首次运行 App 或用户注册时,主动提示用户阅读隐私政策,征得用户同意前,不收集个人信息行为或私自打开系统权限。

【定达提示】

某些App以缩小字号、减淡颜色、遮挡等方式诱导用户略过隐私政策链接,或者设置多次点击才能看到隐私政策,均可能构成“默认选择同意”。因此App运营者不应当仅审查隐私政策内容,也应当在App正式上线前确认隐私政策的呈现方式和用户阅读效果。

 

问题6:未充分明示个人敏感信息使用规则

包括但不限于:收集身份证件号码、银行账户、个人生物识别信息等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解。

【防范策略总结】

在收集个人敏感信息时,应单独向用户告知收集、使用信息的目的、方式和范围,以及存储时间等规则,并征得用户的明示同意,目的应明确且易于理解。

【定达提示】

将于2020年10月1日实施的《信息安全技术 个人信息安全规范》(GB/T 35273-2020)将“个人敏感信息”界定为:一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息,包括身份证件号码、个人生物识别信息、银行账户、14岁以下(含)儿童的个人信息等。个人信息控制者通过个人信息或其它信息加工处理后形成的信息,如一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的,也属于个人敏感信息。此外,《信息安全技术 个人信息安全规范》(GB/T 35273-2020)附录B还提供了个人敏感信息的判定规则,并对个人财产信息、个人健康生理信息、个人生物识别信息、个人身份信息和其它重要信息进行了不完全列举。App运营者在制定隐私规则时,应当确认所收集的信息是否包含个人敏感信息,谨慎选择所需收集的数据并对用户进行明确说明和公示。当然,也可以专门针对个人敏感信息,制定专门的隐私政策。下图即为腾讯的《儿童隐私保护声明》:

image.png


问题7:申请权限目的不明

情形一:未告知申请目的。

情形二:目的告知不明确。

【防范策略总结】

· Android 版 App 建议通过 App 弹窗提示等方式,向用户告知系统权限的申请目的,目的应明确且易于理解;

· iOS 版 App 可在系统提供的权限申请弹窗中编辑具体明确的申请目的。

【定达提示】

该条要求不仅要告知用户申请目的,更要求目的告知要清楚明确。因此,以“需要您开启存储权限,以保证存储相关功能的正常使用”这种模糊的方式说明目的,可能会被认定为“未具体明确地说明权限的使用目的”。

 

问题8:未提供删除、更正或投诉举报的功能或渠道

情形一:未按规定提供删除个人信息功能。

情形二:未按规定提供更正个人信息功能。

情形三:未提供个人信息安全投诉举报渠道。

【防范策略总结】

· 提供有效的更正、删除个人信息的途径,不设置不合理删除、更正、投诉举报条件;

· 用户无法通过在线操作方式及时响应个人信息请求的,App 运营者在承诺时限内完成核查和处理;

· 通过个人信息的大数据分析等自动化决策机制来判断用户个人健康状态的疫情防控 App,应提供反馈渠道及时处理因自动化决策机制而严重影响用户个人权益的问题。

【定达提示】

“按规定提供删除、更正个人信息功能”,不仅要求App 提供有效的功能,且要求App运营者不能设置不合理的条件,且在用户申请后要及时在后台完成相应的处理。

 

问题9:隐私政策内容与实际不符

情形一:实际收集个人信息超出隐私政策所述范围。

情形二:实际收集个人信息少于隐私政策所述范围。

情形三:隐私政策所述与实际情况存在明显偏差、错误。

【防范策略总结】

· 隐私政策中所述内容应与 App 实际业务相符,并逐一说明各业务功能收集个人信息的目的、类型、方式;

· 实际收集使用个人信息/系统权限的目的、方式、范围等不超出隐私政策等个人信息收集使用规则的用户授权范围;

· App 收集或使用个人信息的功能设计同隐私政策保持一致、同步调整,有变动时及时更新和通知用户。

【定达提示】

从所列举的三种情形看,实际收集个人信息的范围应当和隐私政策所述范围一致,即使实际收集个人信息少于隐私政策所述范围的,也可能被认定为隐私政策内容与实际不符。

 

问题10:未告知同意第三方 SDK 收集行为

情形一:未明示第三方 SDK 收集行为。

情形二:未经同意通过第三方 SDK 向第三方提供个人信息。

【防范策略总结】

· 对嵌入的收集用户个人信息的第三方 SDK 进行披露,告知第三方 SDK 类型,及收集使用的个人信息的目的、方式和范围,如需传输至境外的,也需说明跨境传输个人信息的目的、类型和接收方等;

· 如 App 以嵌入第三方代码和插件(如 SDK)等方式向第三方提供个人信息,应在发送前征得用户同意的,或对个人信息进行匿名化处理;

· 宜采取技术检测、安全审计等手段,确保第三方 SDK 收集、使用行为符合约定要求。

【定达提示】

近年来,SDK等技术收集个人信息问题受到了关注,2019年3月的《App违法违规收集使用个人信息自评估指南》中便提到,当使用Cookie等同类技术(包括脚本、Clickstream、Web信标、Flash Cookie、内嵌Web链接、SDK等)收集个人信息时,应向用户明示所收集个人信息的目的、类型。如果通过嵌入第三方代码、插件等方式将个人信息传输至第三方服务器,应通过弹窗提示等方式明确告知用户。


SDK即软件开发工具包(Software Development Kit),App开发者无需了解SDK内部实现细节,只需要调用程序接口,便可以通过SDK使App实现登陆分享、支付、广告、数据统计、地图、风控插件等一系列功能。但SDK本身就具备获取相当一部分设备信息和用户个人信息的能力,所以存在对应的违规收集和使用个人信息的风险,甚至存在连宿主App本身也无法监控SDK收集、使用用户数据行为的可能。


文章所提到的Zoom事件就是因为Zoom隐私政策内容不甚明确,特别是对于第三方SDK的描述部分。虽然Zoom的隐私政策有提及关于Facebook SDK的内容,但是,对于Facebook SDK收集和使用用户信息的规则和目的未进行明确描述。


正如《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南(征求意见稿)》所建议的,App运营者不仅要向用户告知第三方SDK的存在、手机使用信息的目的、方式,也应当采取技术检测、安全审计等手段,监控SDK收集和使用用户信息的行为,确保第三方SDK收集、使用用户信息的行为合规。

03

总结

尽管《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南(征求意见稿)》尚未定稿施行,但给App运营者提供了一定合规上的启示。App运营者在制定隐私政策时,要做好技术方和合规审查方的对接,确保隐私政策、个人信息收集使用规则与技术和功能相契合。技术方应当了解合规要求,避免在系统设置上出现风险和漏洞;合规审查方不仅要制定符合技术和功能的隐私政策,也要使得隐私政策在技术上的呈现符合法律规定。


[1] https://blog.zoom.us/wordpress/2020/03/27/zoom-use-of-facebook-sdk-in-ios-client/

[2] https://seekingalpha.com/news/3557756-zoom-use-banned-spacex-nasa

[3] 杭银处罚字〔2018〕23号,处罚时间:2018年3月22日。

[4] 刘新宇,宋海新. 新版App收集使用个人信息自评估指南(征求意见稿)逐条对比解读(上).《中伦视界》微信公众号. 2020.3.21. https://mp.weixin.qq.com/s/2ZpKufM5_C_NrjWiJW1OHA

[5] Noah_Choi. Android 10之后,国产应用这样对你进行广告追踪.《虎嗅》微信公众号.2020年1月14日. https://mp.weixin.qq.com/s/l7L8I4xkBidQ8mb1GEtwNQ

[6] 中国通信院. 电信终端产业协会(TAF)发布《移动应用软件高API等级预置与分发自律公约》.2018年7月20日.http://www.caict.ac.cn/xwdt/ynxw/201807/t20180720_180612.htm



李曼华  

李曼华目前在上海定达律师事务所实习,是同济大学上海国际知识产权学院法学硕士三年级学生,本科毕业于中南大学法学院。以优异的成绩完成了知识产权的全英文专业课,并参与了浦东新区人民法院、上海国际知识产权学院的多项课题。曾在浦东新区人民法院知识产权庭实习。


定达二维码.jpg

扫码关注我们

定达律所公众号


定达律所是一家成立于上海的精品律所,从著名高校和国内一流律师事务所引入了业界知名合伙人,在金融犯罪、白领犯罪、网络安全、区块链和数字货币、大数据合规、隐私保护、知识产权保护、反商业贿赂、企业危机管理、成长性企业投融资、建设工程和房地产、劳动争议、民商事争议解决等领域具有丰富的执业经验。更多内容,请访问:www.dingdalegal.com


沪ICP备20000639号 Copyright © 2019 . All rights reserved.