新规即将实施,App相关企业要注意这几点!
5月1日,国家四部委联合制定的《常见类型移动互联网应用程序必要个人信息范围规定》(简称《规定》)将正式实施。
《规定》明确移动互联网应用程序(App)运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用App基本功能服务。《规定》要求各地各相关单位督促App运营者抓紧落实,并加强监督检查,及时调查、处理违法违规收集使用个人信息行为,切实维护公民在网络空间的合法权益。
新规有哪些特点?对App相关企业而言,要特别注意在哪些方面做技术、法务、规程的调整和优化?
樊华:中国网络安全审查技术与认证中心 高级工程师 为我们进行相关专业解答
1问:新规有哪些突出特点呢?
答:
一是《规定》第二条规定“App包括移动智能终端预置、下载安装的应用软件,基于应用软件开放平台接口开发的、用户无需安装即可使用的小程序”,首次将小程序明确纳入App收集个人信息的监管范围。《规定》中所说的“小程序”不仅仅指代微信小程序,还包括所有无需下载和安装的轻应用、H5页面等收集个人信息的软件形态。这类小程序在提供服务时与App一样收集了用户个人信息,因此将其纳入《规定》规范范围。
二是《规定》按照基本功能服务分类以列举的方式写明39类App的必要信息,更加简明、清楚直观。采用描述性的语言概括基本功能服务,而非采用简单的应用市场归类形式,更便于App定位自身的功能服务。同时通过App基本功能服务的确认,为解决App功能捆绑的问题提供了思路。
《规定》中没有对App申请的权限进行规制,一方面是由于同一权限可能对应多类个人信息,一旦用户授权,无法对细粒度的个人信息进行控制;另一方面使用信息清单的形式,普通用户更能清楚了解App收集了何种个人信息,对照《规定》能判断是否存在违规情况,进而提高举报准确率。
三是《规定》第三条明确必要个人信息范围,即“具体是指消费侧用户个人信息,不包括服务供给侧用户个人信息。”此处首次根据App服务对象,将个人信息分为消费侧个人信息和服务侧个人信息。以网络约车类App为例,按照此处说明,《规定》只涵盖了打车用户使用的App,而驾车司机使用的App则不受此《规定》的约束。
四是《规定》明确12类App无须个人信息,即可使用基本功能服务。一方面,此类App在使用基本功能服务时,无需区分用户的身份,所以无须个人信息;另一方面,因“不打开与个人信息相关权限”是确保“不收集个人信息”的前提,且移动智能终端系统允许App申请的系统资源足够大,故App无需因运行需要再申请额外公用系统资源。即不存在不打开相关权限就无法运行的说法。由此可见,无须个人信息,相关App也是可运行的。
2问:针对《规定》,相关企业要从法务上做哪些应对、调整?
答:
《规定》第二条第一款明确“移动智能终端上运行的App存在收集用户个人信息行为的,应当遵守本规定。法律、行政法规、部门规章和规范性文件另有规定的,依照其规定”,即不适用《规定》的特殊情形为“法律、行政法规、部门规章和规范性文件另有规定的”。对此,法务人员首先要梳理适用于本企业的法律、行政法规、部门规章和规范性文件,同时了解行业协会发布的各类要求是否具有与上述文件相同的效力,如果不具备,则不能作为此条的例外情形予以考虑。
除此之外,还应对照法律、行政法规、部门规章和规范性文件的要求,确认收集个人信息业务场景,根据App的业务,确认自身的基本功能服务及其对应的必要信息范围,与业务人员沟通App的收集个人信息的必要时机,评估和调整业务逻辑、隐私政策、界面和弹窗设计等。例如,在某些与用户个人经济利益关系重大的特殊场景中,国家监管要求确认用户真实身份,而此类个人信息只有用户主动触发此场景时才能申请,不能在用户刚开始注册时要求用户提供。
同时,《规定》以一一列举的形式明确了必要信息,法务工作者还需考虑本公司App产品的《隐私政策》是否需要调整;是否需要以对照《规定》的形式,对必要信息和非必要信息的收集和处理进行分别说明;是否有必要在相关条款中引入“等”、“可能”等模糊文字进行概括性描述。
3问:企业要符合新规从应用程序技术层面采取哪些必要措施?
答:
对于开发人员,在编写申请与个人信息相关权限,通过系统函数接口自动收集用户个人信息代码时,只能访问《规定》里允许的信息,而不能收集该权限对应的其它个人信息;从代码库复制的代码需审计其个人信息收集的情况,采用cookie技术时,所收集的个人信息也应遵循《规定》的要求。
对于安全合规人员,应重视出厂检测工作。检测基本功能服务收集的个人信息是否在《规定》范围内,重点关注嵌入的第三方插件、代码是否也遵循了《规定》的要求。
对于上层管理人员,要及早结合业务布局研究功能的去标识化、匿名化及隐私计算等个人信息保护技术,深挖数据潜能的同时,完善企业个人信息保护体系。
4问:理解新规,一般可能出现哪些方面的误解或者曲解?
答:
误解一:《规定》只规制了App的基本功能服务,只要保证App不因为用户不同意提供非必要个人信息,而拒绝用户使用其基本功能服务,即合规。
对于功能服务单一的App是可以这么理解。对于提供了多种功能服务App,此时这种理解就过于片面。因为必要信息是根据功能服务需求、遵循合法、正当、必要的原则来确定的。对应于基本功能服务的必要信息,非基本功能服务也有其必要信息。即App亦不得因用户不同意提供非基本功能服务的非必要个人信息,而拒绝用户使用其非基本功能服务。
误解二:《规定》仅列明了39种常见类型App的基本功能服务和必要个人信息范围,对相对非常见的提供其他类功能服务的App暂无约束力。
39种常见类型App可能无法涵盖所有App,并且随着需求变化和技术发展可能会出现新的服务类型,可能会出现新的App类型。尽管如此,“合法、正当、必要”的收集原则是通用的,同时新服务类型App应参照39类中相近类型,审视现有功能服务收集的个人信息是否属于必要个人信息。此外,具有新的基本功能服务的App,如其非基本功能服务属于已规制的39类App范围内,也必须遵守《规定》。
误解三:确定了基本功能服务的App只能收集《规定》中明确的个人信息。
《规定》第三条明确“本规定所称必要个人信息,是指保障App基本功能服务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务。”按照此定义,必要个人信息是基本功能服务对应的最小集。《规定》并不禁止App收集所列举的必要个人信息之外个人信息。我们知道,即使划分为同类型的App,在实现其功能时也会有所差别,因此在功能确有需求时,在现行以同意为主要合法性基础的法律框架下,可通过明示告知,征得用户同意收集非必要的个人信息。
误解四:《规定》里已列明的必要个人信息,无需征得用户同意即可收集。
《网络安全法》第四十一条,提出了“合法、正当、必要”收集原则,“明示规则、征得同意”的要求。因此即使完全符合《规定》要求,在收集前也需要告知用户,取得用户授权同意。
5问:企业依照《规定》进行优化、整改会遇到哪些需要解决的问题?
答:
一是App基本服务功能和非基本服务功能的切分,需根据功能逐项征求用户同意收集个人信息。对于提供单一功能服务的App,这种切分相对较容易,可以通过修订隐私政策、信息收集的同意弹框设定等方式来达到上述要求。而对于提供多类功能服务的App,可能需重新设计其业务逻辑,整合各条业务线,调整界面和弹窗等,对企业内部而言是一项不小的挑战。
二是对于同时拥有两个或多个主要功能服务的App而言,确定哪个功能服务为基本功能服务有一定的难度。事实上,市场上也存在大部分用户会同时使用某App两个以上的功能服务,这就涉及企业战略定位等更上层的问题。《规定》实施在即,是否备出足够的时间,进行优化调整,企业需要下功夫。
6问:企业怎样理解个人信息保护的企业主体责任?
答:
技术层面看,企业是收集个人信息的主体,是个人信息的控制者,在收集某类个人信息前,应确认是否遵循“合法、正当、必要”的原则。企业在存储、传输、委托处理等个人信息处理的全生命周期里负有安全管理的主要责任,未经个人信息主体同意不得收集其个人信息,不得向他人提供其个人信息;同时企业是用户个人信息主体权益的主要履责人,应向个人信息主体明示个人信息处理规则,保障其选择同意的权利,及时响应个人信息主体对其个人信息相关的查阅、复制、删除、更正、补充等的请求,并提供撤回同意、注销账户、投诉的途径。
其次,企业是保障用户个人信息安全的直接负责人,应具备与所面临的安全风险相匹配的安全能力,并采取足够的管理措施和技术手段,保护个人信息的机密性、完整性、可用性,并对其个人信息活动对个人信息主体合法权益造成的损害承担责任。
7问:针对个人信息保护的强监管,企业应该有怎样的意识;在机制设置和业务流程上,怎样做才能确保合规?
答:
2018年欧盟GDPR开始生效以来,加强个人信息保护的呼声越来越高。我国除国家层面已发布的法律法规、标准规范,多个行业部门也提出了适用于本行业要求。过去,在信息技术飞速发展的过程中,个人信息监管始终处于空白状态,如今国家对个人信息监管日渐加强,企业难免会有不适应感,这是一个必经的过程。在数字经济时代,大数据是资源、能源的观点越来越被更多人认可,究其原因,企业通过算法将数据资源充分挖掘,释放了其巨大的生产能力。但同时,企业应该意识到,数据的开发利用不仅带来了利润,同时带来了“大数据杀熟”“信息茧房”等用户反映强烈,甚至影响国家安全的问题。在发展与安全之间找到平衡之道,是现在互联网信息服务行业首要且必须严肃思考的问题。为了获取高额利益而疯狂榨取用户个人信息价值,甚至侵犯隐私,最终一定会带给产品和用户重度伤害;对个人信息的保护不仅不会为业务增长带来困扰,还会成为用户评价服务优劣的重要参数。广大企业只有深切认识并认同上述理念,个人信息保护之路才会走得好,业务发展才走得远。
个人信息保护与传统网络安全有所不同,它是跨专业的一门学科。要做到合规,企业既需法律背景的法务人员,还需要了解业务的安全人员,要找到一条适合企业个人信息保护的最佳实践之路关键是二者要充分沟通、合作。而现在大部分企业中,法律、安全、业务分属于不同部门,企业应着力让个人信息工作链上所有的员工深刻意识到这项工作的互补性和依赖性,打通部门之间的壁垒,搭建沟通交流渠道,建立效果评价机制,设置专门保障岗位,通力合作架构内部个人信息合规体系。
具体来说,一是要重视法律法规和标准规范要求。法律法规的要求是个人信息收集使用的基线,标准规范为个人信息保护指明了实践的方向。App运营者可积极探索落实法律法规要求与企业产品实现相结合的最佳实践。
二是关注监管重点和媒体热议问题。监管部门重点关注、媒体热议问题通常也是网民关心和与网民利益关系密切的问题,App运营者应掌握监管动向,了解监管真实意图,有的放矢、实质性地推进企业收集使用个人信息的合规化。
三是加强宣传教育和制度建设工作。App运营者需明确组织内部个人信息保护职责和岗位,加强宣传交流,强化合规意识,规范企业个人信息收集使用流程,建立企业内部的个人信息保护机制,从产品设计、流程开发各环节贯彻个人信息保护的要求,形成能促进产品和服务不断优化、提升的长效和良性机制。
四是布局和推进与业务相结合的隐私计算。App运营者应大力研究隐私计算技术,不断引入新的业务场景、新的法规要求,以达成隐私数据“可用不可见”等,既实现业务目标,又能更好保障用户个人信息。(文章来源:APP个人信息举报)