● 《合规那些事儿》系列文章,主要通过对监管单位通报的违规点进行分析,以便开发者能通过文章内的分析内容,尽可能降低违规风险。
1 。
2021年3月12日,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合制定了《常见类型移动互联网应用程序必要个人信息范围规定》,明确移动互联网应用程序(App)运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用App基本功能服务。
2021年6月,国家互联网信息办公室针对人民群众反映强烈的App非法获取、超范围收集、过度索权限等侵害个人信息的现象,依据相关法律和有关规定,组织了对运动健身、新闻资讯、网络直播、应用商店、女性健康等常见类型中的部分App个人信息收集使用情况的检测。
*来源:http://www.cac.gov.cn/2021-06/11/c_1624994586637626.htm
类似情况屡见不鲜,如运动健身、新闻资讯、网络直播、女性健康等常见类型App在规范规定中认定“无须个人信息”,因此违反必要原则和《常见类型移动互联网应用程序必要个人信息范围规定》,收集与其提供的服务无关的个人信息的问题更易发生。
2。
聊了这么久,问题中的“必要原则”是什么呢?
必要原则是个人信息保护相关法律法规中的一项重要的基本原则。
为何重要?
因为个人信息的收集、存储、加工、使用等处理行为于自然人的人格尊严、隐私权和人身财产安全意义重大。为了保护自然人的权益,法律上要求对个人信息的收集、使用等行为必须遵循必要原则,换言之是将对个人信息的处理限制在为了实现处理目的必要范围内,采取对个人权益影响最小的方式进行。
3。
为了让大家更好的理解违反必要原则和《常见类型移动互联网应用程序必要个人信息范围规定》,收集与其提供的服务无关的个人信息问题,下面将结合《App违法违规收集使用个人信息行为认定方法》中的违规行为判定一一解读:
1)收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;可以看出重点在于“现有”二字,将适用范围限定于现有的业务功能,过去或未来准备开发的功能均不可。
2)因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;换言之,App使用过程中,通过拒绝提供业务功能的方式,变相强迫用户同意收集非必要个人信息,或开启非必要权限的行为不可取,亦不可因用户的拒绝而降低业务功能的服务质量。
3)App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;本条行为认定是对新增业务超出用户原有同意范围的处理。即App有新增业务功能时,涉及超出原有个人信息或权限同意范围收集个人信息或权限的,若用户不同意,只影响对应新增业务功能的使用,原有业务功能需正常提供服务。这样一来,把个人信息或权限与实际场景一一对应,规避了业务功能或服务上线时间不同带来的信息差。
4)收集个人信息的频度等超出业务功能实际需要;此条行为认定是对收集个人信息的频度的限制。建议在收集个人信息时,按照实际产品或服务的业务功能所必须的最低频率进行收集。
5)仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;明确收集使用个人信息需要符合必要性原则的要求。更加强调了向用户收集个人信息的合理性与征集用户同意的必要性。
6)要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用;这里要求App不可以“一揽子”授权,不可以通过捆绑多项业务功能的方式,要求用户一次性授权多个权限。建议基本功能必要权限逐一申请,并以合适的方式告知用户该权限的使用目的与场景。特殊业务功能所需的权限,当用户首次触发该功能时,再向用户索取授权,如用户拒绝授权,不可影响其他功能的正常使用。
以上常见的违规行为,开发者可作为自查项来规避违法必要原则和《常见类型移动互联网应用程序必要个人信息范围规定》,收集与其提供的服务无关的个人信息问题,确保把保护用户权益行为落到实处、见到实效。
附。
《常见类型移动互联网应用程序必要个人信息范围规定》
//存在必要信息的App类型共计26类:
//无须个人信息,即可使用基本功能的App共计13类:
需要注意的是:
规定中明确描述“位置信息”为必要信息的只有3类,即地图导航类,网络约车类,用车服务类。除此3类之外的其他App类型,位置信息都不作为必要信息,不可强制索取,且需要关注在集成某些第三方的SDK时,由于SDK引入的获取位置信息的权限不可作为必要权限强制用户授权。
关于银行卡号,只有网络支付类,网络借贷类,投资理财类,手机银行类这4类App作为必要信息,而常见的涉及支付行为的App例如:网上购物类,餐饮外卖类,二手车交易类,房屋租售类等,不可将银行卡号作为必要信息,不可强制索取。
无须提供个人信息,即可使用的共计13类。包含热门类型例如网络直播类,短视频类,新闻资讯类等。若因为产品获客、促活用户等产品运营需求,强制用户进行注册登录收集用户移动电话号码,此时会因违反本规定而通报整改甚至强制下架。
WebEye增长合规服务一站式解决您的App安全合规需求,帮助企业预防并规避产品因隐私保护不合规带来的财产损失、监管处罚、产品停止运营、强制下架等风险。
WebEye整合全球资源,打造全球数字化营销体系,为企业提供营销增长服务、营销增长引擎以及企业上云三大板块业务,涵盖数字营销、数字创意、游戏发行、流量变现、程序化广告、数据洞察、云计算等一站式全链条增长产品矩阵,是中国互联网出海领军企业。