针对社会反映强烈的App以强制、诱导、欺诈等恶意方式违法违规处理个人信息行为,2022年11月3日,中华人民共和国国家互联网信息办公室(以下简称“网信办”)依据《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规规定,依法查处“超凡清理管家”等135款违法违规App,其中55款App被依法予以下架处置,80款App被依法责令限期1个月完成整改,逾期未完成整改的,依法予以下架处置。
通过对本次查处的App所涉违法违规行为的梳理,可以看出,当前监管部门针对App合规审查仍主要集中于必要权限和非必要权限的获取等个人信息收集行为环节,以及隐私政策的展示与访问、个人信息处理规则的告知、注销账号等个人信息主体权利保障方面。根据违法严重程度及性质,监管部门将App违法收集个人信息行为区分为一般违法行为以及严重违法行为,对于一般违法行为,采取限期整改,如App运营者未完成整改再依法予以下架处置;对于严重违法行为,则直接将存在违法违规收集个人信息的App予以下架处置。
具体梳理如下:
序号
严重违法行为
涉及App数量
处罚措施
1
频繁索要非必要权限
45
责令限期1个月完成整改,逾期未完成整改的,依法予以下架处置
2
18
3
首次启动未明示隐私政策
6
4
捆绑注销
5
调用非必要权限
默认勾选隐私政策
7
频繁索要非必要个人信息
8
强制索要非必要权限
17
依法予以下架处置
隐私政策无法访问
12
未经单独同意向第三方共享精确位置信息
11
无隐私政策
10
超范围收集个人信息
强制收集非必要个人信息
9
未同意隐私政策情况下读取应用列表
13
超范围收集非必要个人信息
14
隐私政策无个人信息处理者姓名或名称
自2021年11月1日《个人信息保护法》正式实施以来,中国进入个人信息保护强监管时代,并以《个人信息保护法》为基础,在服务类型、算法、个人信息收集、SDK、预装应用、应用商店审核等各细分领域制定并发布了更加细致的部门规章、推荐性国家标准、行业标准等规定以及征求意见稿,其中部分规定现已施行。
中国对于个人信息处理者数据业务的合规要求呈现体系化、全方位、强监管的态势。在经济活动与日常生活中最频繁使用的App,更是个人信息保护的重要领域,对于App规范对象、规范主体以及规范范围也在逐步扩大和细化完善,以便适应技术快速更迭的App应用场景。
1.App合规的规范对象已从App逐步扩大至“类App程序”
工业和信息化部信息通信管理局自2020年5月14日起组织进行的《关于侵害用户权益行为的App通报》《关于下架侵害用户权益App名单的通报》以及网信办组织的《关于App违法违规收集使用个人信息情况的通报》《侵犯个人信息合法权益的违法违规App》等专项整治活动,针对App个人信息保护的规范对象从App本身已经逐步扩展至预装应用、小程序、SDK等类似产品形态,以确保全方位、无死角地保护公民个人信息安全。
2.App合规的规范主体已从App运营者逐步扩大至SDK运营者、App分发平台等覆盖全产业链
根据已经施行的《移动互联网应用程序信息服务管理规定》《信息安全技术移动互联网应用程序(App)收集个人信息基本要求》《互联网信息服务算法推荐管理规定》以及尚处征求意见过程中的《移动互联网应用程序SDK安全规范》《应用商店App个人信息收集使用上架审核和管理规范》等规定,针对App的规范主体从单一的App运营者已经扩大至分发平台、第三方服务提供者等全产业链范围,以确保在App从审核上架至提供服务的全过程均能实现个人信息保护。
3.App合规的规范范围已从个人信息的收集行为延伸至个人信息的全生命周期
从规范范围上,随着《信息安全技术移动互联网应用程序(App)收集个人信息基本要求》《移动互联网应用程序(App)收集使用个人信息最小必要评估规范第1部分:总则》《信息安全技术移动互联网应用程序(App)生命周期安全管理指南》(征求意见稿)的发布与施行,App在运行过程中的个人信息处理行为规范范围也从主要针对收集行为逐步延伸至存储行为、使用行为、传输行为、删除行为等个人信息全生命周期。
根据国家标准化管理委员会2020年10月1日实施的推荐性国家标准《信息安全技术个人信息安全规范》(GB/T35273-2020)以及2022年11月1日最新实施的推荐性国家标准《信息安全技术移动互联网应用程序(App)收集个人信息基本要求》(GB/T41391-2022),App应当在系统权限获取以及个人信息收集、存储、使用、传输、删除等各环节依法采取相应的合规措施。应尤其注意个人信息的委托处理、共享等环节,列明已收集个人信息和与第三方共享个人信息的“双清单”,并做好SDK等第三方个人信息处理环节的合规准入管理以及过程监督。
软件开发包(SoftwareDevelopmentKit),即被我们所熟知的“SDK”,因其可以使App运营者/开发者缩短开发周期、节省开发成本,已基本被集成在每一款App中。根据中国信息通信研究院安全研究所2021年12月发布的《软件开发包(SDK)安全研究报告》显示,目前国内一款App平均集成了超过20款SDK,且随着监管部门工作的深入,SDK合规将成为个人信息合规监管工作下一阶段的重点方向。
除前述法律规范侧的数据合规要点外,App运营者进行合规差距分析、整改或合规自评估时,有时还需要结合业务场景甚至是技术实现方式等因素来综合判断。下面以App收集地理位置信息频次的检测方式对遵守“最小必要原则”合规评判的影响为例进行说明。
从技术上讲,基站定位功能会执行扫描当前用户周围的所有基站信息,并获取基站坐标信息,如果当前用户周围有3个或以上的基站信息,则会轮询获取各个基站坐标数据,通过算法实现对手机的定位。这将导致,App获取基站坐标数据也被研判成一次定位行为,Android操作系统本身对获取基站坐标信息的行为也判定为一次定位。
因此,由于技术验证手段的不同,会出现业务场景下手机地理位置信息频次的合规评判存在差异的情况。从App开发者角度来说,这个业务场景多次收集地理位置信息属于技术方式导致,并非App对用户手机定位信息进行主观地多次获取。
监管部门的合规要求是一个不断清晰的过程,相应地,作为个人信息处理者的App运营者、第三方SDK运营者等合规义务主体,其数据合规也是一个不断完善的、动态的过程,是一个长期的工作。前述个人信息处理者在建立适用法律体系基准和坐标认知时,需要在《个人信息保护法》等基本法律框架下,将法律规范“翻译”成标准化要求,并融合法律、技术、管理等多个维度,针对合规差距形成有效的控制措施适应数据合规的具体需求,搭建动态符合监管要求的数据合规体系。
北京
北京市朝阳区东三环中路5号财富金融中心35-36层
上海
上海市长宁区遵义路150号虹桥南丰城C栋2006室
深圳
广东省深圳市福田区金田路荣超经贸中心4801
天津
天津市河西区郁江道14号观塘大厦1号楼17层
南京
江苏省南京市江宁区庄排路159号2号楼601室
郑州
河南省郑州市金水区金融岛华仕中心B座2楼
呼和浩特
内蒙古呼和浩特市赛罕区绿地腾飞大厦B座15层
昆明
云南省昆明市盘龙区恒隆广场11楼1106室
西安
陕西省西安市高新区锦业路11号绿地中心B座39层
杭州
浙江省杭州市西湖区学院路77号黄龙国际中心B座11层
重庆
地址:重庆市江北区庆云路江2号国金中心T6写字楼8层8-8
海口
海南省海口市龙华区玉沙路5号国贸中心11楼
东京
日本国东京都港区虎之门一丁目1番18号HULICTORANOMONBLDG.