隐私合规:强监管时代下,APP运营者主动合规的意义与路径

随着《个人信息保护法》的出台、用户权益专项整治行动的推进,我国个人信息保护逐步进入强监管时代。移动互联网应用程序(简称“APP”)作为个人信息处理的重要载体,已成为监管重点,如不履行隐私合规义务,将会面临行政处罚与民事责任的双重后果。APP运营者需要主动合规、实质合规,以满足日益严格的监管要求。


一、国内隐私合规监管形势

· APP侵害用户权益专项整治行动纵深推进

2021年,工信部、网信办、各地通管局在APP侵权方面多次开展整治行动,发现多款产品存在违规问题,并进行了通报、下架。

2021年7月31日,工信部开展纵深推进APP侵害用户权益专项整治行动,对“APP、SDK违规处理用户个人信息”、“设置障碍、频繁骚扰用户”、“欺骗误导用户”、“应用分发平台责任落实不到位”等四方面10类问题进行集中排查,发现问题及时落实整改。

2021年前三季度,工信部开展10批次集中检测,累计通报了1494款违规APP,下架了408款拒不整改的APP;同时,建成并持续优化“全国APP技术检测平台”,已完成176万款APP技术检测,覆盖全国在架APP总量的60%以上。下一步,工信部将充分利用法律、行政、技术等监管手段,进一步加大整治力度。




· 监管范围扩大,含应用市场及媒体投放等渠道

根据工信部发布的历次通报情况,除常见的主流应用市场外,今年媒体投放渠道有所增加,违规APP来源含快手、抖音、企业官网。这意味着监管范围不断扩大,官网、媒体等渠道投放的产品也逐步纳入监管范围。


· 监管要求升级,从形式合规逐步迈入实质合规

随着整治行动的持续推进,缺乏隐私政策、无同意弹窗等形式合规问题已得到改善,监管重点也开始由形式合规转变为实质合规。自《常见类型移动互联网应用程序必要个人信息范围规定》2021年5月1日施行以来,网信办即对APP违反必要原则收集信息的情况进行了检查,累计通报355款APP;2021年8月, 工信部开展互联网专项整治行动,将个性化推荐、弹窗无法关闭等侵害用户权益的行为作为整治重点。这意味着监管要求已经升级,实质合规已逐渐成为隐私合规的必然要求。


二、APP运营者主动合规的必要性

· APP是隐私合规的监管重点

如上文所述,针对APP的专项整治行动正在增加。一方面,APP作为人们经常使用的工具,承载了大量的个人信息,如不做好隐私保护,将会侵害用户权益、导致个人信息泄露,进而引发相关民事、刑事风险;另一方面,大量的个人信息聚合后能够反映一定的经济等情况,如泄露则会影响国家安全。因此,APP目前是隐私合规的监管重点。


· 主动履行合规义务可以降低合规成本

相较于被动合规,主动合规能减少合规成本。APP运营者如果没有做好事前合规,可能会因隐私合规问题被监管通报、平台下架,此时的合规成本包括APP下架损失、罚款、用户流失和商誉受损等;如遇到权益保护意识较强的用户,则还会产生民事诉讼相关费用。而主动合规则在规避风险的同时,也能控制合规成本,避免因未能主动合规产生的损失。


· 隐私保护能力逐渐成为APP的必备能力

无论是监管部门的专项整治行动,还是逐渐严格的平台审核要求,这些都释放了一个信号,即APP运营需要符合隐私合规要求,APP运营者应当具备隐私保护能力。如果APP无法满足隐私合规要求,将会无法正常运营。此前,OPPO对软件商店内的5.8万款APP的隐私合规检测,发现了近1300款APP存在私自收集个人信息、过度索权等问题,并依照风险程度勒令开发者进行了整改、下架或冻结。


三、APP运营者主动合规的路径

· 准确理解隐私法规政策

主动合规需要准确理解相关法规。目前隐私相关的法规政策已较为明确,但在理解与适用上,企业的理解可能与监管部门存在差异。因此与监管部门保持一致理解是合规的前提。只有准确理解,才能主动合规、制定合规方案并执行。


· 提升隐私合规意识

对于APP运营者而言,隐私合规需要企业内多部门参与。法规的理解一般由企业法务人员进行,而其落地则有赖于技术等部门执行。即便法规理解准确,但相关人员缺乏隐私合规意识,其落地也无法全面、及时、准确,也会导致APP隐私违规。因此,需要加强企业内部相关人员的隐私合规意识培训,才能保证隐私合规方案落地的准确性,做到主动合规。


· 建立隐私合规体系

主动合规的实现,也需要APP运营者建立隐私合规体系,实现隐私合规线上化、自动化。隐私合规进入实质合规阶段,许多合规要求需要借助技术工具,才能判断是否合规。如果APP运营者缺乏相应的检测手段,则难免会存在错漏之处,引发违规问题。APP运营者可借助合规工具,提升合规效率、减少出错概率。


点击了解:WebEye隐私合规检测

从移动安全、隐私合规、数据安全、内容安全等方面帮您增强移动业务全生命周期的防护能力,一站式服务解决您的合规需求,帮助企业预防并规避产品因隐私保护不合规带来的财产损失、监管处罚、产品停止运营、强制下架等风险。

返回全部