2019年12月30日,國家網信辦、工信部、公安部、國家市場監管總局等四部門聯合發布《APP違法違規收集使用個人信息行為認定方法》(以下簡稱《方法》),旨在為監督管理部門認定APP違法違規收集使用個人信息行為提供參考,為APP運營者自查自糾和網民社會監督提供指引。

APP普遍涉嫌過度收集個人信息

近年來,各類APP的出現給廣大消費者的工作、生活帶來諸多便捷。但與此同時,一些APP過度收集用戶個人信息、隱私條款不完善或缺失情況嚴重等問題也一直困擾消費者。記者從2019年12月30日在京舉行的APP個人信息保護工作研討會上獲悉,自2019年3月建立APP舉報平臺至今,APP違法違規收集使用個人信息專項治理工作組共收到網民舉報信息1.23萬條,涉及2300余款APP。

2018年11月,中國消費者協會發布的100款APP個人信息收集與隱私政策測評情況顯示,APP普遍涉嫌過度收集個人信息。

“授權”是消費者使用一個新APP的第一步。但在收集個人信息方面,APP普遍存在涉嫌過度收集個人信息的情況:59款APP涉嫌過度收集“位置信息”,28款APP涉嫌過度收集“通訊錄信息”,23款APP涉嫌過度收集“身份信息”,22款APP涉嫌過度收集“手機號碼”等。

中消協商品和服務監督部主任皮小林表示,此前,由于有關部門出臺的相關管理規定缺乏相關細則,可操作性不強,各類APP落實隱私條款要求方面存在較大差異。

“主要問題包括未明確告知收集個人信息類型,且收集敏感信息時未明確告知用戶信息的用途;未明確告知用戶個人信息使用方式等。”皮小林說。

新規為APP收集個人信息設紅線

針對上述問題,北京市法學會電子商務法治研究會會長邱寶昌律師在接受《工人日報》記者采訪時表示,此次出臺的《方法》采用羅列的方式,明確了6大類31種行為屬APP違法違規收集使用個人信息,這為APP經營者設定了收集使用個人信息的紅線,同時也為政府職能部門執法提供了操作指南。

《方法》明確了6大類31種行為屬APP違法違規收集使用個人信息,分別為可被認定為“未公開收集使用規則”的行為;可被認定為“未明示收集使用個人信息的目的、方式和范圍”的行為;可被認定為“未經用戶同意收集使用個人信息”的行為;可被認定為“違反必要原則,收集與其提供的服務無關的個人信息”的行為等。

具體來看,隱私政策等收集使用規則難以訪問,APP首次運行時未通過彈窗等明顯方式提示用戶閱讀隱私政策等行為,可被認定為“未公開收集使用規則”;收集的個人信息類型或打開的可收集個人信息權限與現有業務功能無關等行為,可被認定為“違反必要原則,收集與其提供的服務無關的個人信息”。

邱寶昌指出,此前《消費者權益保護法》《網絡安全法》均規定,經營者收集、使用消費者個人信息,應當遵循合法、正當、必要的原則。2019年施行的國家標準《信息安全技術個人信息安全規范》提到,個人信息控制者開展個人信息處理活動時,應遵循最少夠用原則。但究竟何為“正當、必要”“最少夠用”,缺少細則規定。此次出臺的《方法》相當于對相關法律和國家標準進行了細化,也為APP經營者過度收集使用個人信息敲響了警鐘。