App違法違規收集使用個人信息行為怎么認定?對此,四部門聯合發文給出了答案。12月30日,國家互聯網信息辦公室、工信部、公安部、市場監管總局四部門聯合印發的《App違法違規收集使用個人信息行為認定方法》(以下簡稱《認定方法》)在中國網信網官網正式公布。自此,31種App違法違規收集使用個人信息行為有章可依。分析人士指出,《認定方法》出爐后,下一步,司法部門和監管部門可對App違法違規收集個人信息進行專項重錘整治,由此,App數據收集也進入強監管時代。

明確六大類違規行為

北京商報記者注意到,《認定方法》將共31種違法違規收集使用個人信息行為進行了分類認定,共分為未公開收集使用規則、未明示收集使用個人信息的目的方式和范圍、未經用戶同意收集使用個人信息、違反必要原則收集與其提供的服務無關的個人信息、未經同意向他人提供個人信息、未按法律規定提供刪除或更正個人信息功能或未公布投訴舉報方式等信息六大類。

《認定方法》明確,“未公開收集使用規則”包括在App中沒有隱私政策,或者隱私政策中沒有收集使用個人信息規則,以及在App首次運行時未通過彈窗等明顯方式提示用戶閱讀隱私政策等收集使用規則,隱私政策等收集使用規則難以閱讀,如文字過小過密、顏色過淡、模糊不清,或未提供簡體中文版等4種行為。

而未逐一列出App收集使用個人信息的目的、方式、范圍等,及有關收集使用規則的內容晦澀難懂、冗長繁瑣,用戶難以理解,如使用大量專業術語等4項行為則可被認定為“未明示收集使用個人信息的目的、方式和范圍”。

此外,對于用戶明確表示不同意后,仍收集個人信息或打開可收集個人信息的權限,或頻繁征求用戶同意、干擾用戶正常使用,以默認選擇同意隱私政策等非明示方式征求用戶同意等行為,可被認定為“未經用戶同意收集使用個人信息”。

對于本次《認定方法》明確的六大類違法違規行為,蘇寧金融研究院金融科技中心主任孫揚指出,“本次《認定方法》是經過反復研究、調研嚴肅確認的,針對性非常強。細化要求了收集所有的信息都要明確目的是什么,且信息的范圍也需要更具體。其中,‘未經用戶同意收集使用個人信息’認定部分,對各種隱藏、誘騙、欺詐收集個人信息定義得非常具體。尤其是定向推送信息的操作,現在推送特別多,給用戶帶來很多困擾,如果提供關閉推送的選項,將對用戶非常方便”。

便于監管認定違規App

北京商報記者了解到,此次《認定辦法》系根據此前《關于開展App違法違規收集使用個人信息專項治理的公告》(以下簡稱“公告”),為落實《網絡安全法》等法律法規而制定。主要為監管部門認定App違法違規收集使用個人信息行為提供參考,也為App運營者自查自糾和網民社會監督提供指引。

事實上,自今年1月,4部門聯合開啟App違法違規收集使用個人信息治理后,App專項整治工作便有序推進,且各個工作鏈條環環相扣。麻袋研究院高級研究員蘇筱芮指出,此次頒布的《認定方法》,正是對前期專項治理的工作總結和經驗提煉;同時,在實際工作中,App違法違規收集個人信息形式多樣,有的打“擦邊球”,也有的機構對個人信息違規理解不到位,整改不積極,因此需要監管層面的細化管理。

蘇筱芮進一步指出,《認定辦法》一方面對各項違規形式進行了分類,便于監管層后續具有針對性地進行管理;另一方面則通過各類數字標準明確違法違規的認定,使條款更為細致清晰,有利于機構嚴格對照標準展開整改工作。

值得關注的是,針對App違規行為整治,App專項治理工作組也告訴北京商報記者,臨近年關,監管對App違規情況將嚴抓狠打,違規App運營者應對相關問題進行整改。逾期未整改的,工作組將向相關部門反映,監管部門將依法予以處置,其中,對于問題嚴重且不及時整改的App運營者,不乏暫停相關業務、停業整頓、吊銷相關業務許可證或吊銷營業執照等處罰。

從業機構應盡快自查

值得注意的是,自App違法違規收集使用個人信息專項治理開展近一年以來,相關部門已聯動展開對App違規行為的多輪整治。其中,來自監管人士、行業專家等多方人士均指出,金融類App已成為違法違規收集使用個人信息的重災區。

據北京商報記者不完全統計,僅在今年下半年,已有超60余家金融類App違法違規被點名整改。針對金融App違規亂象,有監管人士透露,相關部委將對軟件商店采取聯動措施,對于不符合規定、有重大風險隱患的App,會及時采取下架的措施。

另據中國信息通信研究院發布的《2019年金融行業移動App安全觀測報告》,截至2019年9月11日,在超13萬款金融行業App中,70.22%的金融行業App存在高危漏洞。從App分類角度來看,互聯網第三方支付和信托類App的高危漏洞問題較為突出,保險、投資理財等分類的App高危漏洞問題也相對嚴重。

而此次《認定方法》出爐后,孫揚告訴北京商報記者,下一步,司法部門和監管部門可對App違法違規收集個人信息進行專項重錘整治,由此,App數據收集也進入強監管時代。從業機構必須要盡快執行個人信息收集違法違規行為的自查和規范。

對于機構自查和規范,蘇筱芮稱,“App違法違規收集使用個人信息行為有認定方法后,機構需重點厘清哪些收集屬于必要信息,對于非必要信息則需征得用戶同意;同時,對于信息共享、信息接入等涉及外部機構的信息處理,需充分做好用戶信息保護工作”。

中國銀行法學研究會理事肖颯則進一步建議,App運營者要提供更正、刪除個人信息及注銷用戶賬戶的功能,且切勿給更正、刪除信息制造不必要、不合理的條件;應防止“兩張皮”現象,避免雖表面上更正、刪除個人信息或注銷了賬戶,但實際上App后臺還保留著原信息情況;且必須設立、公布個人信息投訴、舉報渠道,并在15個工作日之內受理和處理投訴和舉報。

有關監管人士則指出,App運營者在收集使用個人信息時,應嚴格履行《網絡安全法》規定的責任義務,對收集的個人信息安全負責,采取有效措施加強個人信息保護。App運營者可參照相關規定,對其收集使用個人信息的情況進行自查自糾,主動提升個人信息保護水平。