App違法違規收集使用個人資訊行為怎麼認定?今日四部門聯合發文給出了答案。12月30日,由國家網際網路資訊辦公室、工業和資訊化部、公安部、市場監管總局四部門聯合印發的《App違法違規收集使用個人資訊行為認定方法》(以下簡稱《認定方法》)在中國網信網官網正式公佈。自此,31種App違法違規收集使用個人資訊行為有章可依。有分析人士指出,《認定方法》出爐後,下一步,司法部門和監管部門可對App違法違規收集個人資訊進行專項重錘整治,由此,App 資料收集也進入強監管時代。
6大類違規行為被認定
北京商報記者注意到,《認定方法》將共31種違法違規收集使用個人資訊行為進行了分類認定,共分為未公開收集使用規則、未明示收集使用個人資訊的目的方式和範圍、未經使用者同意收集使用個人資訊、違反必要原則收集與其提供的服務無關的個人資訊、未經同意向他人提供個人資訊、未按法律規定提供刪除或更正個人資訊功能或未公佈投訴舉報方式等資訊6大類。
《認定方法》明確,在App中沒有隱私政策,或者隱私政策中沒有收集使用個人資訊規則,以及在App首次執行時未通過彈窗等明顯方式提示使用者閱讀隱私政策等收集使用規則,隱私政策等收集使用規則難以閱讀,如文字過小過密、顏色過淡、模糊不清,或未提供簡體中文版等4種行為,可被認定為“未公開收集使用規則”。
而未逐一列出App收集使用個人資訊的目的、方式、範圍等,及有關收集使用規則的內容晦澀難懂、冗長繁瑣,使用者難以理解,如使用大量專業術語等4項行為則可被認定為“未明示收集使用個人資訊的目的、方式和範圍”。
此外,對於使用者明確表示不同意後,仍收集個人資訊或開啟可收集個人資訊的許可權,或頻繁徵求使用者同意、干擾使用者正常使用,以預設選擇同意隱私政策等非明示方式徵求使用者同意等行為,可被認定為“未經使用者同意收集使用個人資訊”。
對於本次《認定方法》明確的6大類違法違規行為,蘇寧金融研究院金融科技中心主任孫揚指出,“本次《認定方法》是經過反覆研究、調研嚴肅確認的,針對性非常強。細化要求了收集所有的資訊都要明確目的是什麼,且資訊的範圍也需要更具體。其中,‘未經使用者同意收集使用個人資訊’認定部分,對各種隱藏、誘騙、欺詐收集個人資訊定義得非常具體。尤其是定向推送資訊的操作,現在推送特別多,給使用者帶來很多困擾,如果提供關閉推送的選項,將對使用者非常方便。”
便於監管認定違規App
北京商報記者了解到,此次《認定辦法》,系根據此前《關於開展App違法違規收集使用個人資訊專項治理的公告》(以下簡稱“公告”),為落實《網路安全法》等法律法規而制定。主要為監管部門認定App違法違規收集使用個人資訊行為提供參考,也為App運營者自查自糾和網民社會監督提供指引。
事實上,自今年1月,四部門聯合開啟App違法違規收集使用個人資訊治理後,App專項整治工作便有序推進,且各個工作鏈條環環相扣。麻袋研究院高階研究員蘇筱芮指出,此次頒佈的《認定方法》,正是對前期專項治理的工作總結和經驗提煉;同時,在實際工作中,App違法違法收集個人資訊形式多樣,有的打“擦邊球”,也有的機構對個人資訊違規理解不到位,整改不積極,因此需要監管層面的細化管理。
蘇筱芮進一步指出,《認定辦法》一方面對各項違規形式進行了分類,便於監管層後續具有針對性地進行管理;另一方面則通過各類數字標準明確違法違規的認定,使條款更為細緻清晰,有利於機構嚴格對照標準展開整改工作。
值得關注的是,針對App違規行為整治,App專項治理工作組也告訴北京商報記者,臨近年關,監管對App違規情況將嚴抓狠打,違規App運營者應對相關問題進行整改。逾期未整改的,工作組將向相關部門反映,監管部門將依法予以處置,其中,對於問題嚴重且不及時整改的App運營者,不乏暫停相關業務、停業整頓、吊銷相關業務許可證或吊銷營業執照等處罰。
從業機構應儘快自查
值得注意的是,自App違法違規收集使用個人資訊專項治理開展近1年以來,相關部門已聯動展開對App違規行為的多輪整治。其中,來自監管人士、行業專家等多方人士均指出,金融類App已成為違法違規收集使用個人資訊的重災區。
據北京商報記者不完全統計,僅在今年下半年,已有超60餘家金融類App違法違規被點名整改。針對金融App違規亂象,有監管人士透露,相關部委將對軟體商店採取聯動措施,對於不符合規定、有重大風險隱患的App,會及時採取下架的措施。
另據中國資訊通訊研究院釋出的《2019年金融行業移動App安全觀測報告》,截至2019年9月11日,在超13萬款金融行業App中,70.22%的金融行業App存在高危漏洞。從App分類角度來看,網際網路第三方支付和信託類App的高危漏洞問題較為突出,保險、投資理財等分類的App高危漏洞問題也相對嚴重。
而此次《認定方法》出爐後,孫揚告訴北京商報記者,下一步,司法部門和監管部門可對App違法違規收集個人資訊進行專項重錘整治,由此,App 資料收集也進入強監管時代。從業機構必須要儘快執行個人資訊收集違法違規行為的自查和規範。
對於機構自查和規範,蘇筱芮稱,“App違法違規收集使用個人資訊行為有認定方法後,機構需重點釐清哪些收集屬於必要資訊,對於非必要資訊則需徵得使用者同意;同時,對於資訊共享、資訊接入等涉及外部機構的資訊處理,需充分做好使用者資訊保護工作。”
中國銀行法學研究會理事肖颯則進一步建議,App運營者要提供更正、刪除個人資訊及登出使用者賬戶的功能,且切勿給更正、刪除資訊製造不必要、不合理的條件;應防止“兩張皮”現象,避免雖表面上更正、刪除個人資訊或登出了賬戶,但實際上App後臺還保留著原資訊情況;且必須設立、公佈個人資訊投訴、舉報渠道,並在15個工作日之內受理和處理投訴和舉報。
有關監管人士則指出,App運營者在收集使用個人資訊時,應嚴格履行《網路安全法》規定的責任義務,對收集的個人資訊保安負責,採取有效措施加強個人資訊保護。App運營者可參照相關規定,對其收集使用個人資訊的情況進行自查自糾,主動提升個人資訊保護水平。