专家解读|从最新发布的《移动互联网应用程序(App)收集使用个人信息自评估指南》
《指南》可以看做是细化和解读法律法规和标准规范的要求,以供App运营者自评估参考使用。此版本重点对之前版本添加了扩展说明,同时以“注”的方式引入运营者在个人信息上的最佳实践及App典型违规应用场景描述,增加了《指南》的实用性。
对需在“常规交互界面”展示隐私政策链接的要求,存在范围不明容易引起歧义的问题,新版《指南》1.3b)将“常规交互界面”改为“固定径”,并注明固定径即是指“我--设置--关于”或者“我的--设置--隐私”等用户熟悉的页面跳转径,精确表达了隐私政策易于查找的含义。
2019年专项治理工作中发现多款App有“频繁征求用户同意、干扰用户正常使用”的违规行为,运营者常常困惑于如何理解此要求的具体频次和应用场景,新版《指南》3.3a)、b)描述了App频繁征求用户意见的具体表现,同时通过标注举例说明“为支持App正常运行”等情形下,用户主动选择使用的某一具体功能触发征得同意的动作,不属于频繁干扰行为。
为进一步明确收集个人信息前告知同意的合规要求,在3.1b)注中增加“用户作出同意前”这一场景描述,更准确地阐释了《认定方法》第三类行为第一款的含义,即App收集个人信息的前提不仅需要履行目的告知的义务,还要征得用户授权同意。此外鉴于App频繁更新的现状,新版《指南》通过3.5b)注的补充说明,App更新时在何种情况下无需再次征求用户同意,了个人信息的实质应真正从用户角度出发,做到应披露尽披露,该简单就简单,不搞形式主义,不做无用功。
除新增评估点和引用实例外,新版《指南》还对部分评估点的要求和实例进行调整,一方面回应了用户,兼顾使用的便利性,另一方面关注产业发展,增强了企业实践的可操作性。
《网络安全法》第四十一条确定了网络运营者有“公开收集、使用规则”的义务,但未对具体的形式和要求作出,因此的隐私政策是否为合规化的必然要求,一直为业界争论的焦点,也受到运营者广泛的关注。1.3c)将原来“隐私政策以单独成文的形式发布”的要求,调整为“如果因展示条件等特殊原因使用用户协议、用户须知等文件描述个人信息收集使用规则,则尽可能显著标识并以连续篇幅呈现”,即隐私政策是否单独制定发布可由运营者根据实际情况来决定。这一要求的弱化,增强了用户个性化展示隐私政策的度,回应了用户因文本协议过多带来的不良用户体验的。
为确保运营者实践的可操作性和指南的普适性,6.2d)不再强调“同步”响应用户更正删除个人信息,而用后台“及时”执行操作即可。这种细节的修订既结合产业现状,降低了技术难度,又从实践角度提出了保障用户权益可行要求;同时3.1a)要求在收集个人信息前提供同意不同意选项时,以“自主作出”代替“主动选择”的用户授权行为描述,使得App在具体设置相应功能时有更多的灵活度和创新空间,提升了用户的使用体验。
个人信息安全相关事件频发,受到和强烈关注,监管部门高度重视。App专项治理工作着重要解决广大网民反应强烈的违法违规使用个人信息的问题,新版《指南》在分析热议问题违规行为本质基础上,对应《认定方法》六类行为提出评估点,为运营者收集使用个人信息合规化提出更全面的。针对近期热议,用户关注的App自启动和高频次访问用户通讯录、相册等问题,4.4b)中明确在用户主动关闭App后,未经用户同意不采用自启动、关联启动方式收集个人信息。这一补充,相较之前App专项治理工作组通报的“收集用户个人信息的频度超出业务功能实际需要”问题上更进一步明确了超出合理频率收集个人信息的典型场景;同时,2019年315晚会上的某款App私自截留用户个人信息的典型违规行为也被吸纳到4.4c)中。
原标题:《专家解读|从最新发布的《移动互联网应用程序(App)收集使用个人信息自评估指南》看个人信息着力点》梦见躲藏