请输入关键字
一、背景简介
二、相关法律法规
三、专项治理中被保护对象——个人信息的认定
四、专项治理中被监管对象——App的认定
五、违法违规行为的具体认定
六、专项治理处置措施——违法后果
2019年起,中央网信办、工信部、公安部和市场监管总局针对App违法违规收集使用个人信息开始进行严格的专项治理。
2019年12月19日、2020年1月8日,工信部信息通信管理局分别通报了第一、二批关于侵害用户权益行为的App,要求相关App进行整改,并将未按要求整改的App予以下架通知。两次通报之中,可以看到被要求整改的不乏有 “新浪体育”、“搜狐新闻”、“闪送”、“luckin coffee”等知名企业或热门App,还有因未按时整改而被要求下架的“人人视频”等。1
2020年1月20日,全国信息安全标准化技术委员会秘书处进一步发布了《信息安全技术移动互联网应用程序(App)收集个人信息基本规范(征求意见稿)》,对App收集使用个人信息的合规性提出了更高的要求,体现了专项治理工作仍将继续深入开展的趋向。
本文中,笔者拟结合专项治理活动的最新情况,以及有关App收集个人信息的新规,就App违法违规收集使用个人信息的法律实务问题,包括对“个人信息”的认定(例如什么是个人敏感信息)、“App”的认定(微信小程序是否属于被监管范围)、专项治理中违法违规行为的具体认定,以及专项治理截至目前的处置措施(包括App及运营者违法后的其他法律后果等)进行实务方面的讨论。
2019年1月23日,中央网信办、工信部、公安部和市场监管总局联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,决定自2019年1月至12月在全国范围组织开展App违法违规收集使用个人信息专项治理。
2019年3月3日,由此成立的App违法违规收集使用个人信息专项治理工作组发布《App违法违规收集使用个人信息自评估指南》,用于App运营者对其他收集使用个人信息的情况进行自查自纠。
2019年11月16日,工信部发布《关于开展App侵害用户权益专项整治工作的通知》(工信部信管函〔2019〕337号),重点对App违规收集使用个人信息、不合理索取用户权限、为用户账号注销设置障碍等方面侵害用户权益的行为开展规范整治工作。
2019年11月28日,网信办、工信部、公安部和市场监管总局再次联合发布《App违法违规收集使用个人信息行为认定方法》(简称“《认定方法》”),公布了六类App违法违规收集使用个人信息的行为,为认定App违法违规收集使用个人信息行为提供参考,也是此次专项治理中相关部门认定违法违规行为的主要依据。
2019年12月19日、2020年1月8日,工信部信息通信管理局分别通报了第一、二批关于侵害用户权益行为的App,要求相关App进行整改。
2020年1月6日,基于治理情况,App治理工作组在其微信公众号发布《基于<App违法违规收集使用个人信息行为认定办法>的评估案例分析》,对照《认定方法》,结合近千款App评估中发现的典型问题进行具体分析解读,为实务认定提供参考。2
此次App违法违规收集使用个人信息专项治理主要法律依据包括《网络安全法》《电信条例》、《规范互联网信息服务市场秩序若干规定》(工业和信息化部令第20号)《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号)和《移动智能终端应用软件预置和分发管理暂行规定》(工信部信管〔2016〕407号)等法律法规和规范性文件3;以及App违法违规收集使用个人信息专项工作组针对此次治理发布的《App违法违规收集使用个人信息自评估指南》《认定方法》。
除上述外,针对个人信息保护、规范App收集和使用个人信息的相关法律法规还应包括:涉及个人信息保护一般性规范的《民法总则》《消费者权益保护法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《互联网个人信息安全保护指南》;涉及电子/网络交易的《电子商务法》《网络交易管理办法》;涉及儿童个人信息保护的《儿童个人信息网络保护规定》;以及司法实践中对于侵犯个人信息构成刑事案件的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,等。上述法律法规虽未明确作为此次专项治理行为的法律依据,但我们认为仍适用于App及相应企业在日常运营过程中对个人信息收集的使用,也需App及相应企业的关注和遵守。
另外,截至目前,全国信息安全标准化技术委员会秘书处正在起草关于APP收集使用个人信息、个人信息安全规范的相关规范,并已发布相应的征求意见稿,包括: GB/T 35273《信息安全技术个人信息安全规范(征求意见稿)》(2019年10月24日发布)《信息安全技术移动互联网应用程序(App)收集个人信息基本规范(征求意见稿)》(2020年1月20日发布),虽然相关规范还未正式发布,但可能代表着未来的监管和规范方向,也需适当关注。
在此次专项治理中,虽然《认定方法》被用于认定具体的违法违规行为,但并未为对被保护的对象——“个人信息”的具体范围进行明确定义,仅在第二条第3款中以列举方式表述为“在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时……”。那么在App安装、使用过程中,用户的哪些信息将被认定为“个人信息”呢?即用户的哪些信息是法律法规中被保护的对象呢?
我们认为,根据《网络安全法》4、《电信和互联网用户个人信息保护规定》、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》5等现行法律及司法实践6,个人信息指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份、使用服务的时间、地点等各种信息,包括但不限于:
自然人的姓名、出生日期、身份证件号码、个人生物识别信息、通信通讯联系方式、住址、电话号码、账号和密码、财产状况、行踪轨迹等 |
而根据《信息安全技术个人信息安全规范(征求意见稿)》7(以下简称“《规范》”),在判定信息是否属于个人信息时,只符合“识别”(即从信息到个人,由信息本身的特殊性识别出特定自然人)或“关联”(即从个人到信息,如已知特定自然人,由该特定自然人在其活动中产生的信息)任一种情况的,即应被认定为个人信息。据此,该《规范》对个人信息进行了详细、严格的描述和列举。其中认为,除上述列举信息外,个人信息还应包括:
网络身份标志信息(包括IP地址、个人信息主体个人数字证书等)、常用设备信息(包括硬件序列号、设备 MAC 地址、软件列表、 唯一设备识别码等)、个人健康生理信息、教育工作信息、婚史、宗教信仰、 性取向、未公开的违法犯罪记录等 |
用户画像或特征标签等,个人信息控制者(有权决定个人信息处理目的、方式等的组织或个人)通过个人信息或其他信息加工处理后形成的信息, 能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的 |
另外,对于《认定方法》中提及的“个人敏感信息”,该《规范》将其定义为“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息”, 因此对个人敏感信息的收集使用提出了更高程度的保护要求。例如:
个人财产信息,例如银行账号、存款信息、交易和消费记录、虚拟财产信息等 |
个人健康生理信息,例如个人因生病医治等产生的相关记录,如病症、生育信息、以往病史,以及与个人身体健康状况产生的相关信息等 |
个人生物识别信息,例如个人基因、指纹、虹膜等 |
身份信息,例如身份证、护照等 |
网络身份标识信息,例如个人信息主体账号、口令等 |
14 岁以下(含)儿童的个人信息 |
性取向、婚史、宗教信仰、未公开的违法犯罪记录、通信记录和内容、通讯录、好友列表、群组列表、行踪轨迹、网页浏览记录、住宿信息、精准定位信息等 |
需要注意的是,结合《规范》的上述规定,现行法律法规中认定的、受保护的个人信息大部分属于个人敏感信息,因此,App在收集、使用相关信息时,也应格外注意,避免违法违规。
综上,一般而言,只要App收集和使用的信息能够单独或者与其他信息结合识别特定个人身份或者反映特定个人活动情况的,均可能被认定为个人信息。其中,对于个人生物识别信息、个人身份信息、电话号码、通信通讯联系方式、账号和密码、银行信息、财产状况、行踪轨迹等个人敏感信息的,是目前法律法规主要被保护的对象,该等信息的收集使用情况,也是此次治理行动的主要被监管情况。除此之外,由于个人在互联网中的交互行为的频繁,一些通过网络、电子数据记录的信息,例如网络身份标识信息、个人常用设备信息、用户画像、个人标签等,也能识别个人身份或反映个人活动情况,同样可能会被认定为个人信息而被纳入被保护范围内,因此App在收集和使用该等信息时,也应适当注意。
在确定个人信息之后,还需要明确的是,收集、使用个人信息的主体、在此次专项治理中被监管的对象——App的具体范围是什么?是否包括游戏或微信小程序?
《认定方法》并未明确App的定义,但根据《移动智能终端应用软件预置和分发管理暂行规定》,App,即移动智能终端应用软件,包括移动智能终端预置应用软件,以及互联网信息服务提供者提供的可以通过网站、应用商店等移动应用分发平台下载、安装、升级的应用软件。其中,移动智能终端是指接入公众移动通信网络、具有操作系统、可由用户自行安装和卸载应用软件的移动通信终端产品8,例如手机、笔记本、平板电脑等。具体而言,实践中App应包括通过上述产品或网站中下载、安装、升级的应用软件。
因此,一般而言,App指安装、运行在手机、笔记本、平板电脑等上的应用程序,可在前述产品中安装、运行的游戏,应当属于App,也属于此次治理的被监管对象;而微信小程序依托于微信App,程序上不需要下载、安装,并不完全属于应用软件,在《认定方法》中也未明确将其纳入监管范围内(实践中,工信部目前的审查工作也尚未涉及微信小程序)。尽管如此,鉴于微信小程序在运行方面与App有相似性,在提供服务的过程中,也可能发生与App类似的对用户个人信息的收集、存储和使用。从监管角度而言,针对微信小程序和App的规范程度也是一致的,且《认定方法》中也将“未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等”列为违法违规行为。因此在个人信息保护方面,微信小程序及其运营者也应对相关行为的合法合规性负责。
根据《网络安全法》等的原则性要求,另根据《关于开展App侵害用户权益专项整治工作的通知》和相关解读9、《App违法违规收集使用个人信息自评估指南》及《认定方法》等详细规定,对App违法违规收集使用个人信息进行了详细的列举和说明。结合上述法律法规,从行为性质和实操方面,主要可分为以下四个方面:
1. 违规收集个人信息——“未告知”
具体可体现为:
(1)未公开收集使用规则:没有隐私政策、或者隐私政策中没有收集使用个人信息规则;首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;隐私政策等收集使用规则难以访问(如进入App主界面后,需多于4次点击等操作才能访问到)、难以阅读(如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等)、难以理解(有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等)。
(2)未明示收集使用个人信息的目的、方式和范围:未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等,收集使用个人信息的目的、方式、范围发生变化时,未以适当方式(包括更新隐私政策等收集使用规则并提醒用户阅读等)通知用户;在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解等。
2. 违规使用个人信息——“未经同意”
具体可体现为:
(1)未经用户同意收集使用个人信息:征得用户同意前就开始收集个人信息或打开可收集个人信息的权限;以默认选择同意隐私政策等非明示方式征求用户同意;未经用户同意更改其设置的可收集个人信息权限状态,如App更新时自动将用户设置的权限恢复到默认状态;利用用户个人信息和算法定向推送信息,未提供非定向推送信息或关闭该功能的选项;以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的;未向用户提供撤回同意收集个人信息的途径、方式;违反其所声明的收集使用规则,收集使用个人信息。
(2)未经同意向他人提供个人信息:既未经用户同意,也未做匿名化处理,App客户端直接向第三方提供个人信息,包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息,或数据传输至App后台服务器后,向第三方提供其收集的个人信息;App接入第三方应用,未经用户同意,向第三方应用提供个人信息。
3. 不合理索取用户权限——“非必要”
具体可体现为:
(1)过度索取权限:实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围;收集的个人信息类型或打开的可收集个人信息权限(例如通讯录、定位、短信、录音、相机等权限)与现有业务功能无关;收集个人信息的频度等超出业务功能实际需要;仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息等。
(2)不给权限不让用:因用户不同意收集非必要个人信息或打开非必要权限、或一次性打开多个可收集个人信息的权限,拒绝提供业务功能(App关闭或退出);App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能(新增业务功能取代原有业务功能的除外)等。
(3)频繁申请权限:在用户明确拒绝权限申请后,频繁申请开启通讯录、定位、短信、录音、相机等与当前服务场景无关的权限,或频繁征求用户同意、干扰用户正常使用。
4. 对删除或更正个人信息、注销用户账号或投诉、举报设置障碍——“注销难”
具体可体现为:
(1)未提供更正、删除个人信息或注销用户账号有效的功能,或为上述功能设置不必要或不合理条件;虽提供了上述功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理,或用户操作已执行完毕,但App后台并未完成的。
(2)未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理的。
1. 此次治理行动的处置措施
根据《关于开展App违法违规收集使用个人信息专项治理的公告》10,对强制、过度收集个人信息,未经消费者同意、违反法律法规规定和双方约定收集、使用个人信息,发生或可能发生信息泄露、丢失而未采取补救措施,非法出售、非法向他人提供个人信息等行为,主管部门将按照《网络安全法》《消费者权益保护法》等依法予以处罚,情节严重的,依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。针对和利用个人信息的违法犯罪行为,由公安机关处理。另一方面,开展App个人信息安全认证,鼓励App运营者自愿通过App个人信息安全认证,鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的App。
另外,根据工信部《关于开展APP侵害用户权益专项整治工作的通知》和相关解读11,具体的处置措施还包括:针对存在问题的APP,将依法依规予以处理,具体措施包括责令整改、向社会公告、组织APP下架、停止APP接入服务,以及将受到行政处罚的违规主体纳入电信业务经营不良名单或失信名单等。
实践中,针对此次整改,工信部已于2019年12月19日、1月3日、1月8日分别通报了第一、二批关于侵害用户权益行为的App,要求相关App进行整改,并将未按要求整改的App予以下架。至此,有8000多款App进行了自行整改,100多个企业被督促整改,并先后有56个企业因未完成整改而被通报,3款App因未按要求整改而被通报下架。12
2. 根据法律法规需承担的其他责任
除上述针对此次治理行动的处置措施外,如App及运营者违法违规收集使用个人信息,同时还可能违反其他关于个人信息保护的其他法律法规,从而也需承担一定的民事、行政、甚至刑事责任。
(1)民事责任
根据《网络安全法》《消费者权益保护法》等,如App运营者收集、使用用户个人信息侵害用户权利的,应承担相应的侵权责任,包括停止侵害、恢复名誉、消除影响、赔礼道歉,并赔偿损失13。
(2)行政责任
除治理行动中提及的行政责任外,根据《网络安全法》14《消费者权益保护法》15《电信和互联网用户个人信息保护规定》16《全国人民代表大会常务委员会关于加强网络信息保护的决定》17等法律法规,网络运营者、网络产品或者服务的提供者(即包括App运营者)侵害个人信息依法得到保护的权利的,还可能承担的行政责任包括:由有关主管部门根据情节单处或者并处警告,没收违法所得,对运营者(或直接负责的主管人员和其他直接责任人)罚款,依照有关法律、行政法规的规定记入信用档案并予以公示等。
(3)刑事责任
App运营者非法收集使用个人信息构成犯罪的,还需承担相应的刑事责任。根据《刑法》和《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号),违反法律、行政法规、部门规章有关公民个人信息保护的规定而向他人提供或出售公民个人信息的,或未经被收集者同意,将合法收集的公民个人信息向他人提供的(但是经过处理无法识别特定个人且不能复原的除外),或窃取或以非法方式获取公民个人信息(例如违反国家有关规定,在履行职责、提供服务过程中收集公民个人信息)的,情节严重者,均可能构成《刑法》第二二百五十三条之一所规定的“侵犯公民个人信息罪”18,而被处以有期徒刑、拘役、并处或者单处罚金。单位构成前述刑事犯罪的,除罚金外,其直接负责的主管人员和其他直接责任人员也需依照前款承担相应的刑事责任。
【注】
【1】《关于侵害用户权益行为的APP(第一批)通报》(工业和信息化部信息通信管理局 2019年12月19日)、《关于下架第一批侵害用户权益APP名单的通报》(工业和信息化部信息通信管理局 2019年1月3日)、《关于侵害用户权益行为的APP(第二批)通报》(工业和信息化部信息通信管理局 2020年1月8日)
【2】“App个人信息举报”微信公众号,2020年1月6日
【3】《关于开展APP侵害用户权益专项整治工作的通知》(工信部信管函〔2019〕337号)
【4】《网络安全法》第七十六条第(五)款
【5】《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号)第一条
【6】《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号)第四条
【7】《信息安全技术 个人信息安全规范(征求意见稿)》(2019年10月24日)第3.1条、第3.2条、附录A、附录B
【8】《移动智能终端应用软件预置和分发管理暂行规定》(工信部信管〔2016〕407号)第十二条
【9】《关于开展APP侵害用户权益专项整治工作的解读》(信息通信管理局 2019年11月6日)
【10】《关于开展App违法违规收集使用个人信息专项治理的公告》第三项
【11】同尾注9。
【12】同尾注1。
【13】《消费者权益保护法》第五十条、《网络安全法》第四十三条
【14】《网络安全法》第六十四条
【15】《消费者权益保护法》 第五十六条
【16】《电信和互联网用户个人信息保护规定》第二十二条
【17】《全国人民代表大会常务委员会关于加强网络信息保护的决定》第十一项
【18】《刑法》第二百五十三条之一【侵犯公民个人信息罪】
手机扫一扫
分享给我的朋友
