九部门严厉打击超范围收集个人信息行为
 2022-01-26 12:04

国家发展改革委等九部门1月19日发布《关于推动平台经济规范健康持续发展的若干意见》,明确提出:严厉打击平台企业超范围收集个人信息、超权限调用个人信息等违法行为;从严管控非必要采集数据行为,依法依规打击黑市数据交易、大数据杀熟等数据滥用行为;严肃查处利用算法进行信息内容造假、传播负面有害信息和低俗劣质内容、流量劫持以及虚假注册账号等违法违规行为。

15款APP存在隐私不合规行为

国家计算机病毒应急处理中心近期通过互联网监测发现15款移动应用存在隐私不合规行为,违反网络安全法、个人信息保护法相关规定,涉嫌超范围采集个人隐私信息。

互联网民商事审判年度报告指出依法认定侵权责任

1月13日,北京第四中级人民法院发布互联网民商事审判年度报告(2020-2021)。报告显示,在消费领域表现较为突出的是,个人信息被不当收集、使用和提供的场景越来越多,个人对于自身信息被处理的知情权、对于自身信息的控制力均难以得到保障,非法信息交易行为频发,在民事侵权领域,司法审判面临较大挑战。

比如,App服务治理方面,长期以来,App运营者强制要求用户进行个人信息授权、不授权即停止提供服务的现象普遍存在,对于运行App基本功能之外的非必要个人信息进行频繁、过度索取的现象也普遍存在,有些甚至采取欺骗性、误导性手段套取用户个人信息用作其他经营目的,App用户协议、隐私政策内容公示不清晰,个人信息处理逻辑不透明、处理依据不足的问题亟待解决。

报告指出,个人信息保护是当前的热点问题,随着《个人信息保护法》、《数据安全法》和《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》等相关法规的实施,我国的个人信息保护、数据安全保护工作在不断加强。

为此,北京四中院在审判中严格贯彻个人信息、一般人格保护的司法理念,对于非法收集、提供、泄露个人信息的,严格依照民法典和民事诉讼证据规则的规定,依法认定行为主体的侵权责任。

工信部明确2022年APP专项整治重点方向

1月20日,国新办举行2021年工业和信息化发展情况新闻发布会。工信部新闻发言人、信息通信管理局局长赵志国在国新办新闻发布会上介绍了APP专项整治工作情况。赵局长表示,随着移动互联网的快速发展,APP与广大用户的生产生活紧密相连,个人信息安全也成为亿万用户关心关注的热点问题。工业和信息化部坚持以人民为中心的发展思想,始终高度重视广大用户的切身权益保护,立足主责主业,重点聚焦违规调用手机权限、超范围收集个人信息等问题,大力推进APP专项整治。

2022年,工信部还将重点做好以下几个方面的工作:一是坚持综合治理,完善全链条监管。重点突出关键责任链监管,对应用商店、第三方软件开发工具包(SDK)、终端企业、重点互联网企业等实现监管全覆盖,打造更为安全的信息通信消费环境。 二是深化“524行动”,提升服务水平,稳步推进相关企业落实行动的各项任务要求。适时组织召开开展“回头看”,从而更好巩固各项工作的成效,提升用户的获得感。 三是推动协同共治,建立长效机制。加强与相关部门协同配合,形成监管合力,构建政府监管、企业自律、媒体监督、社会组织和用户共同参与的综合监管格局,从而营造更安全、更清朗的APP应用环境。

【律师建议】

严守最小必要原则,杜绝违规收集使用个人信息行为

《个人信息保护法》对个人信息违规处理行为规定了史上最严厉的行政处罚措施,未来千万罚单将不再罕见。为确保个人信息收集处理行为合法合规、严防行政处罚和法律纠纷,APP运营主体应严格遵守《常见类型移动互联网应用程序必要个人信息范围规定》《APP收集使用个人信息最小必要评估规范》等规定,严守最小必要原则,杜绝违规收集使用个人信息行为:

(一)遵守告知同意要求

a)告知同意应遵循最小必要原则,即APP所提供服务涵盖多项业务功能的,收集使用个人敏感信息时,宜按业务功能进行单项或分项征得用户同意,不宜要求用户一次性接受并授权同意其未申请或使用的业务功能收集个人信息的请求。b)告知同意的时机及频率应遵循最小必要原则,宜在收集使用之前或收集使用之际的适当时机告知,增进用户对告知与所收集的个人信息之间关联性的理解;并以必要最小限度的频率告知,确保用户的服务体验质量。

(二)遵守权限要求

a)权限的申请应遵循最小必要原则,即只申请与业务功能相关的权限,不应过度申请权限。对于第三方SDK等外部代码的引用,APP应确认其相关权限的申请同样满足最小化原则,限制SDK过度申请权限。如APP的业务场景中,不包含位置相关场景,则不应申请位置权限。b)APP宜优先采用系统自身功能,代替调用相关敏感权限。在存在替代功能实现方式的情况下,不应以提升用户体验为由,强迫用户授予权限。c)权限的使用应遵循最小必要原则,即应合理使用申请的权限,不应滥用权限,且实际使用的权限不应超出告知同意的范围。

(三)遵守收集要求

a)收集个人信息的类型应遵循最小必要原则,即在收集个人信息的类型,不应超出业务场景的实际需要,法律法规要求的除外。b)收集个人信息的数量应遵循最小必要原则,即在收集个人信息的数量,不应超出业务场景的实际需要。c)收集个人信息的频率应遵循最小必要原则,即收集个人信息的频率,不应超出业务场景的实际需要。

(四)遵守使用要求

a)使用个人信息的类型、数量及频率应遵循最小必要原则,不应超出业务场景的实际需要,法律法规要求的除外。b)使用个人信息时,除目的所必需外,应消除明确身份指向性,避免精确定位到特定个人。c) 使用个人信息进行定向推送应遵循最小必要原则,即对用户进行用户画像的个人信息不应超出业务场景的实际需要。d)使用个人信息进行定向推送应告知用户使用的个人信息来源,是APP收集还是来源于其他第三方。e) 使用个人信息进行定向推送应显著区分个性化展示和非个性化展示。f)使用个人信息进行定向推送应当同时向该用户提供关闭个性化展示的选项。此外,APP宜建立用户对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障用户调控定向推送展示相关性程度的能力。

(五)遵守传输要求

a)传输个人信息的类型及数量应遵循最小必要原则,不应超出业务场景的实际需要,法律法规要求的除外。b)传输个人信息的频率应遵循最小必要原则,不应超出业务场景的实际需要。

(六)遵守存储要求

a) APP个人信息的存储包含本地存储和服务器远端存储,均应遵循最小必要原则。b)存储个人信息的类型及数量应遵循最小必要原则,不应超出业务场景的实际需要。c)存储个人信息的时间应遵循最小必要原则,即存储个人信息的时间,应当为实现处理目的所必要的最短时间,法律法规要求的除外。

(七)遵守第三方共享要求

个人信息的第三方共享均应遵循最小必要原则,即委托处理、共享、转让、公开披露的个人信息类型、数量及频率,不应超出业务场景的实际需要,法律法规要求的除外。其中,共享个人身份信息、网络身份标识等个人信息前,应征得用户的授权同意。

(八)遵守删除要求

超出存储期限后,应对个人信息进行删除或匿名化处理。

(九)杜绝超范围收集个人信息

1.杜绝超范围收集

APP在收集 IMEI、IMSI、设备 MAC 地址、软件安装列表、位置、联系人、通话记录、日历、短信、本机电话号码、图片、音视频等个人信息时,不应超出其所明示收集目的的合理关联范围。

2.杜绝超频次收集

a) APP 未向用户明示收集 IMEI、IMSI、设备 MAC 地址、软件安装列表、位置、联系人、通话记录、日历、短信、本机电话号码、图片、音视频等个人信息的频率,未经用户同意,不应以特定频率收集个人信息。b) APP 向用户明示收集 IMEI、IMSI、设备 MAC 地址、软件安装列表、位置、联系人、通话记录、日历、短信、本机电话号码、图片、音视频等个人信息的频率,收集个人信息的频率不应超出其实现产品或服务的业务功能所必需的最低频率。

3.杜绝SDK超范围收集

APP 向用户明示第三方 SDK 处理 IMEI、IMSI、设备 MAC 地址、软件安装列表、位置、联系人、通话 记录、日历、短信、本机电话号码、图片、音视频等个人信息的目的、方式和范围,第三方 SDK 收集相应个人信息时不应超出其所明示收集目的的合理关联范围。

4.杜绝SDK超频次收集

a) APP 未向用户明示第三方 SDK 收集 IMEI、IMSI、设备 MAC 地址、软件安装列表、位置、联系人、通话记录、日历、短信、本机电话号码、图片、音视频等个人信息的频率,未经用户同意,第三方 SDK 不应以特定频率收集个人信息。b) APP 向用户明示第三方 SDK 收集使用 IMEI、IMSI、设备 MAC 地址、软件安装列表、位置、联系人、通话记录、日历、短信、本机电话号码、图片、音视频等个人信息的频率,第三方 SDK 收集个人信息的频率不应超出其实现产品或服务的业务功能所必需的最低频率。

(十)确保第三方数据来源合法

从第三方机构获取个人信息的,应要求第三方机构出具能够证明其已经获得了个人信息主体同意的书面文件,如隐私政策、书面授权同意书等,并确保书面文件中提及个人信息主体已同意该第三方机构将其个人信息对外提供。

来源:青银e刊

原标题:《九部门严厉打击超范围收集个人信息行为》