App隐私政策避雷指南

2020年04月20日10:52 作者:和昶律所

　　文/意见领袖专栏机构北京和昶律师事务所

　　本文作者：朱一博

　　总而言之，APP隐私政策的合规，说到底就是运营商站在用户的角度考虑，如何更明白、清晰地告知用户收集和使用个人信息规则，如何设置程序，让用户的同意更真实、自愿，且收集和使用的信息是为满足APP功能而言必不可少的。当你对用户越诚信和友好，法律风险就离你越远。

　　2019年伊始，围绕App如何收集、使用个人信息的规范性文件相继出台，违法违规专项治理行动（如图1所示）拉开序幕，众多为人熟知的App悉数“触雷”（如图2所示），或被责令限期整改，或被处以警告、罚款，部分app因涉嫌侵犯公民个人信息罪已被公安机关立案侦查。由此可见，APP已经成为个人信息保护执法的“重灾区”。

（图2：部分App所涉隐私问题）

　　App隐私政策（或称“隐私协议”、“隐私条款”等）是应用软件运营商关于如何收集与使用用户个人信息的声明，是企业践行个人信息保护制度的表征，也是公众探知企业个人信息保护机制与实践的窗口。隐私政策与企业的运营风险息息相关，企业制定和完善隐私政策时，需要避开哪些常见的雷区？这是本文关注的问题。

　　一、正本清源——隐私政策应注入个人信息保护之魂

　　通过梳理行政监管机关执法情况，结合社会公众、媒体的反馈（例如南都个人信息保护研究中心发布的《个人信息安全年度报告》），App隐私政策当前存在的违法违规情形主要包括：无隐私政策、未明示收集使用个人信息的范围、用途、超范围收集个人信息、过度索取权限、强制用户使用定向推送功能、私自向第三方共享用户信息、账号注销难等。

　　以上种种情形违反了我国法律规范确立的网络运营者（经营者）收集、使用个人信息必须遵循的“告知同意原则”与“必要性原则”，企业个人信息保护机制的缺位的背后，揭示出部分企业对隐私政策存在误读。最典型的就是以隐私政策之名，行免责条款之实。执法显现出来千差万别的问题，本质都是没有真正理解和践行隐私政策的性质与功能。

　　隐私政策的实质是企业个人信息保护政策，主要功能为公开个人信息控制者收集、使用个人信息范围和规则。个人信息承载信息主体的人格利益，体现人的自由与尊严，违法的收集和使用都会严重侵犯公民的基本权利，所以我国法律规范明确任何组织和个人应当依法获取他人个人信息，最核心的原则是“告知同意原则”与“必要性原则”，即：公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并征得被收集者同意，简单来说就是在告知的前提下征得信息主体的同意；同时，对同意范围进行限制，只能收集与提供的服务有关且必要的个人信息。

　　关于隐私政策有三点误区需要澄清：其一，隐私政策并非免责条款，应以个人信息保护制度为内核；其二，隐私政策保护的对象为个人信息而不限于隐私信息；其三，隐私政策并非束之高阁的宣示性文件，它呈现的个人信息保护制度及实践均是行政监管的对象。诚然，构建个人信息保护制度、制定隐私政策需要耗费一定的成本，但利用信息原本就以获取用户的自愿让渡、保障用户信息安全为前提，在“流量为王”的大数据时代，隐私政策既是风险又是机遇，完善的隐私政策不仅能及时堵塞漏洞，还能彰显企业责任，赢得用户信任，为企业持续健康发展铺平道路。

　　二、守住底线——“告知同意”、“有必要”

　　2019年11月28日，国家互联网信息办公室、工业和信息化部、公安部、市场监管总局四部门联合制定了《App违法违规收集使用个人信息行为认定方法》（以下简称《认定方法》），通过罗列违法行为的方式对“告知同意原则”与“必要性原则”予以细化，为监管部门专项治理行动指明方向，也为当前App运营者自查自纠、公众监督圈定“雷区”。

　　结合《认定方法》，App隐私政策应避免以下情形：

　　1．“遮遮掩掩”、“闪烁其词”，违反“告知”原则

　　在笔者接触的案例中，大部分App在注册/登录界面能找到隐私政策，但部分App在登录界面采用默认勾选同意，或者“注册即同意”，即输入手机号码接收验证码后立刻进入主界面（如图3所示），导致用户容易忽视、略过隐私政策，难以保障用户的知情权。

（图3：登录/注册即同意）

　　“未完整列举说明App实际业务功能收集、使用个人信息的范围、目的、方式”当前较为普遍，在制定隐私政策时应当针对App每一项业务功能说清3个问题（What\Why\How），即需要收集哪些类型的信息、为何需要收集此类信息以及将如何使用，只有说清了以上三个问题，才是充分“告知”，在此基础上的“同意”才是合法有效的。

　　2．“得寸进尺”，违反“必要性”

　　App“超范围收集信息”、“过度索取权限”（如图4所示）屡见不鲜，例如，金融类App要求打开通讯录和位置权限，地图类App要求打开短信权限，否则拒绝提供所有业务功能。以上情形因存在数据恶意滥用风险，广受诟病，是专项行动惩治的重点。

（图4：要求用户一次性打开多种权限）

　　（注：图片源于App治理工作组《基于<App违法违规收集使用个人信息行为认定方法>的评估案例分析》）

　　收集、使用个人信息应当遵循必要性原则，仅收集使用业务功能必须的最少类型和最少数量的个人信息。关于何为必要信息，2019 年6 月发布的《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》与2020年1月发布的《移动互联网应用程序（App）收集个人信息基本规范》（征求意见稿）针对不同业务功能做出了清晰的界定，APP运营商可以作为收集信息的类型和数量的参考。

　　3．“自作主张”，违反“同意”

　　“强制定推”与“私自共享给第三方”是App违法违规中的典型代表。“强制定推”即App未向用户告知，或未以显著方式标示，将收集到的用户搜索、浏览记录、使用习惯等个人信息，用于定向推送或精准营销，且未提供关闭该功能的选项，如QQ（版本号8.2.0）、QQ阅读（版本号7.1.1.888）。“私自共享给第三方”是指App未经用户同意与其他公司共享、使用用户个人信息，如闪送（版本号5.2.20）、36氦（版本号8.6.7）等。

　　当前，根据用户兴趣爱好等特征为其提供个性化展示已成App主流运营模式，需要注意的是，应当在隐私政策中明确用户可以自主选择关闭定向推送以及关闭的路径。合作伙伴、关联公司在用户眼里都属于“第三方”，共享信息均应当经用户授权或做匿名化处理，向小程序、公众号、应用提供个人信息也应当经用户同意，否则可能涉嫌“私自共享第三方”。

　　4．“有始无终”，欠缺维权机制

　　“设置不必要、不合理条件”注销账户，例如，注册仅需手机号，注销时却要求用户提供身份证号、地址、照片等个人敏感信息，且未明确对收集个人敏感信息后的处理措施。

　　在笔者审核的隐私政策中，大部分App向用户提供了撤回同意、更正、删除及注销账号功能，但只有少数App向用户承诺了响应请求的时限。因“未及时响应请求”也在违法违规行为之列，建议明确更正、删除、注销账号的操作时限以及投诉、举报的受理时限，以15个工作日为上限。

　　三、未雨绸缪——合规宜先行

　　除《认定方法》之外，近期公布的《儿童个人信息网络保护规定》、《App违法违规收集使用个人信息自评估指南》、《个人信息安全规范》（GB/T 35273—2020）、《网络安全标准实践指南——移动互联网应用程序（App）收集使用个人信息自评估指南》（征求意见稿）等规范性文件对用户个人信息保护提出了更高的要求，不排除成为未来监管的重要依据。鉴于此，北京和昶律师事务所合规团队总结合规审查经验，对隐私政策的制定与完善提出如下合规建议。

　　1．区分基本业务功能和拓展业务功能。若产品或服务提供多项业务功能，建议在隐私政策中区分基本业务功能和拓展业务功能，对基本业务功能和拓展业务功能逐项列举，不宜使用“等、例如”字样，明确各业务功能所必要收集的个人信息，允许用户对拓展业务功能逐项选择同意，且不因用户拒绝拓展业务功能而降低基本业务功能的服务质量。

　　2．对个人敏感信息突出标注。隐私政策应对涉及的个人敏感信息（如图5所示）明确标识或突出显示（如字体加粗、标星号、下划线、斜体、颜色等），对个人生物识别信息单独向用户告知收集、使用个人生物识别信息的目的、方式、范围、存储时间等规则。

（图5：源于《个人信息安全规范》（GB/T 35273—2020））

　　3．个人信息出境需明示。如果存在个人信息出境情况，隐私政策中应将出境个人信息类型逐项列出并显著标识。

　　4．明确个人信息存储期限、超期处理方式与安全保护措施。个人信息的存储应遵循“存储时间最小化”的要求，明示存储期限。安全保护措施包括：去标识化处理、对个人敏感信息加密、个人生物识别信息与其他个人信息分开存储、原则上不存储原始个人生物识别信息等。

　　5．设置专门的儿童个人信息保护规则。建议在隐私政策中以显著、清晰的方式告知儿童监护人相关事项，且征得儿童监护人同意后才收集、使用、转移、披露儿童个人信息，同时明确对儿童个人信息采取的安全保障措施，为儿童或监护人提供删除、更正个人信息的渠道。

　　6．关注各行各业相关的个人信息保护规范与行业标准。例如，健康医疗领域的《国家健康医疗大数据标准、安全和服务管理办法（试行）》、快递行业的《寄递服务用户个人信息安全管理规定》、出租车行业《网络预约出租汽车经营服务管理暂行办法》、金融行业的《个人金融信息保护技术规范》等，均对特定行业如何收集、使用、存储个人信息提出了更细致和具体的要求，特定行业的企业一定要以此作为具体标准。

　　另外，隐私政策冗长的文字在一定程度上会增加用户的阅读难度，随着个人信息保护要求的不断提高，增加隐私政策核心条款已成必然趋势，因此，创新隐私政策的表现形式也越来越成为一种趋势，已有部分App做出了尝试，比如加入可跳转目录、制作表格、解说视频、动画等，值得借鉴。