2021年5月1日起,中央網信辦集中對APP違法違規收集使用個人信息進行4次集中檢查,執法力度大,取得明顯整治效果。通過分析相關檢查通報所依據的法律法規以及執行過程中的發展趨勢,可以對后續APP違法違規收集使用個人信息的發展趨勢進行展望。
通報情況概述
2021年5月1日、5月10日、5月21日以及6月11日,中央網信辦共分4批,對17類291款APP進行通報。從所涉及類別來看,已經通報了《常見類型移動互聯網應用程序必要個人信息范圍規定》39類中的44%的,仍有22類將在后續檢查中被體現。
綜合通報檢查結果,我們發現與違法違規收集使用的認定類別,主要涉及:
“違反必要原則,收集與其提供的服務無關的個人信息”141款,占比48%,加上同時違反《常見類型移動互聯網應用程序必要個人信息范圍規定》的103款,該項占比84%,是目前檢查工作的重中之重;
“未經用戶同意收集使用個人信息”146款,占比50%,也是主要的檢查重點;
“未按法律規定提供刪除或更正個人信息功能”28款,占比9.6%;
“未公開收集使用規則”11款,占比3.7%;
其他“未明示收集使用個人信息的目的、方式和范圍”“未經同意向他人提供個人信息”“未公布投訴、舉報方式等信息”等違法違規模式僅有零星案例涉及。
法律法規簡析
2019年11月28日,國家互聯網信息辦公室、工業和信息化部、公安部、國家市場監督管理總局聯合制定了《App違法違規收集使用個人信息行為認定方法》對主要應用的個人信息收集使用行為判斷依據進行公示,包括:“未公開收集使用規則”、“未明示收集使用個人信息的目的、方式和范圍”、“未經用戶同意收集使用個人信息”、“違反必要原則,收集與其提供的服務無關的個人信息”、“未經同意向他人提供個人信息”、“未按法律規定提供刪除或更正個人信息功能”或“未公布投訴、舉報方式等信息”。
2021年3月22日,國家互聯網信息辦公室、工業和信息化部、公安部、國家市場監督管理總局聯合制定了《常見類型移動互聯網應用程序必要個人信息范圍規定》(以下簡稱“《規定》”),對地圖導航、網絡約車、即時通信、網絡社區、網絡支付、網上購物、短視頻等共計39類APP個人信息范圍進行規定,并于5月1日起實行。
相關App運營者應當按照《規定》要求,對照App基本功能及必要個人信息范圍,在5月1日前,對運營的App收集使用個人信息行為開展自查,對不符合《規定》要求的及時進行改正。
《規定》正式實施后,應用商店等分發平臺應當按照《規定》對申請上架的App進行審核,不符合《規定》要求的不予上架;對已上架的App進行復核,不符合《規定》要求的應當予以下架。有關部門應當按照《規定》要求,加強對App運營者和應用商店等分發平臺的監督檢查,及時調查、處理違法違規收集使用個人信息行為,切實維護公民在網絡空間的合法權益。
未來趨勢展望
圖:違法違規類別趨勢
從通報批次的違法違規類別趨勢來看,違反必要原則結合《常見類型移動互聯網應用程序必要個人信息范圍規定》最小化的規定,仍是APP違法違規采集使用的焦點問題。用戶同意收集使用的知情同意條款自第二批逐漸上升,成為關鍵問題。收集使用規則的透明化以及刪除更正的用戶權力保障占比在10%之下,涉及到監測評價標準規范進一步細化的問題,預計在完成第一輪次的檢查通報后,會作為未來第二輪次的檢查通報重點。
對于未經同意向他人提供信息,涉及到更復雜的業務流程的細化分析以及涉及后臺系統交互層面的復雜性,四批次均未涉及通報。但第三方SDK后臺服務收集和使用用戶信息是否定性為未經同意向他人提供信息,仍需細化認定標準或獨立監管。目前第三方SDK采集用戶信息現象仍比較嚴重,或將是下一步檢查和整改的重點。
目前,行業主管機構對APP運營相關主體的違規行為已經給出了責令整改公告、APP下架甚至斷開接入的處罰措施。對多次違規并情節嚴重APP運營者將采取禁入措施,進一步加大處罰力度。現在,行業都在等待《移動互聯網應用程序個人信息保護管理暫行規定》正式發布執行,對APP運營企業的個人信息采集安全合規能力將有更大的考驗。