保護個人隱私,拒絕霸王收集
上海市信息網(wǎng)絡(luò)安全管理協(xié)會
2019-03-22 15:53:30
1月25日,四部門聯(lián)手共同拉開了APP專項治理工作的序幕:中央網(wǎng)信辦���、工業(yè)和信息化部��、公安部��、市場監(jiān)管總局四個部門聯(lián)合發(fā)布了《關(guān)于開展APP違法違規(guī)收集使用個人信息專項治理的公告》����。這一《公告》無疑對魚龍混雜的APP市場是一劑猛藥,對APP中肆意獲取�����、濫用個人隱私信息等行為是一記重錘打擊����。專項整治中還要求APP運營者針對APP違法違規(guī)收集使用個人信息����,依照國家相關(guān)的法律法規(guī)開展自查自糾工作,并制定了《APP違法違規(guī)收集使用個人信息自評估指南》等文件�����。
本次APP專項治理工作中首先對獲取隱私政策提出要求�,每個APP必須有相應(yīng)的隱私政策,而且必須是獨立的形式以彈出框����、文本鏈接等形式在顯著位置予以展示,特別是用戶首次注冊或應(yīng)用APP時�,應(yīng)主動提示用戶閱讀�,不可因排版����、遮擋或需多次點擊后才能看到等原因,影響用戶正常閱讀��,以確保用戶第一時間內(nèi)明確��、清晰�����、順暢地了解到相關(guān)隱私政策����。
其次,APP運營者必須對APP中所收集的個人信息的類型進行了明確的限定和規(guī)范�����,并在隱私政策中向用戶告知��。打開系統(tǒng)權(quán)限時��,應(yīng)說明收集個人信息的目的、方式���、范圍���,還包括對收集個人信息的技術(shù)手段、包括第三方代碼����、插件等。要求對所收集的個人信息的業(yè)務(wù)功能必須一一對應(yīng)�、細(xì)化列舉、不可用“例如”��、“等”寬泛文字一概帶過�,對個人信息中的敏感信息類型必須進行顯著標(biāo)識�����。
再有�����,為保障用戶權(quán)益需在隱私政策中向用戶告知所收集的個人信息的相關(guān)處理細(xì)節(jié)����。其中包括:
◆APP的運營者的基本信息�����,必須讓用戶知道是誰在收集用戶個人息信�����;
◆收集到的個人信息的存儲方式�����、地域���、期限,特別是出境信息類需進行顯著標(biāo)識�;
◆對收集到的個人信息的使用規(guī)則,若用于個性化展示或用戶畫像的�����,應(yīng)向用戶說明應(yīng)用場景和對用戶可能帶來的影響�����;
◆APP運營者不僅為確保用戶個人信息安全采取比如:數(shù)據(jù)加密、訪問控制���、身份鑒別����、惡意代碼防范����、安全審計等各項安全保護措施,還必須在隱私政策中向用戶予以說明�;
◆對于個人信息的共享、公開����、轉(zhuǎn)讓必須明確其目的、類型和接收方的信息���;
◆對用戶必須提供相應(yīng)權(quán)利保障機制,包括個人信息的查詢�����、更正��、刪除、注銷和對已同意的授權(quán)撤回功能(特別是銷戶和授權(quán)撤回這兩項�����,經(jīng)常容易被忽視)����;
◆此外還包括建立用戶投訴渠道、明確隱私有效日期��、隱私政策更新及時告知等�。
本次專項治理中還明確要求,APP運營者不得在隱私條款中出現(xiàn)的免除自身責(zé)任���、加重用戶責(zé)任��、排除用戶主要權(quán)利的不合理條款����。APP運營者必須按照國家相關(guān)法律法規(guī)履行和承擔(dān)相關(guān)法律義務(wù)����,以維護用戶合法權(quán)益。
之前大量APP在收集個人信息時存在強制捆綁授權(quán)的霸王行為��,若用戶不同意則無法使用APP。本次專項治理中對征得用戶同意這一項明確要求���,即便用戶選擇“不同意”應(yīng)僅影響一拒絕提供個人信息相關(guān)部分的功能�����。在以前APP中往往存在捆綁多項功能一次性授權(quán)就會同意多項權(quán)限請求�,現(xiàn)在明確要求應(yīng)根據(jù)用戶自主行為開啟或收集個人信息����。
曾有多篇報導(dǎo)提到大量APP收集的個人隱私超出其范圍、與隱私政策描述不一致����,或未經(jīng)用戶選擇同意,擅自獲取超出必要范圍的個人信息?����,F(xiàn)明確APP不應(yīng)收集與業(yè)務(wù)功能無任何關(guān)系的個人信息�,在用戶明確拒絕相關(guān)功能后,不應(yīng)反復(fù)要求打開�����,也不得在系統(tǒng)更新后擅自更改權(quán)限設(shè)置�。
在本次專項治理中明確了一個概念“自主選擇同意”:指個人信息主體通過書面聲明或主動做出肯定性動作,對其個人信息進行特定處理做出明確授權(quán)的行為����。肯定性動作包括個人信息主體主動作出聲明(電子或紙質(zhì)形式)��、主動勾選�、主動點擊“同意”、“注冊”��、“發(fā)送”�����、“撥打”�����、主動填寫或提供等����。換言之,對用戶所提供的相關(guān)個人信息必須是自主�����、自愿的情況下才可獲取。
總體來看�,本次專項治理目的非常明確,就是要建立一個安全�、規(guī)范、有效的APP應(yīng)用環(huán)境��,切實保護好人民群眾的合法權(quán)益����,凈化APP市場,將那些對個人隱私的踐踏行為驅(qū)逐出去�,依法依規(guī)進一步推動全社會對個人信息安全保護意識、能力和責(zé)任的進步����。
為保障APP開發(fā)者及用戶的權(quán)益,加強網(wǎng)絡(luò)安全建設(shè)�,保護公民信息,上海市信息網(wǎng)絡(luò)安全管理協(xié)會APP安全專業(yè)委員會呼吁APP運營者及時通過“上?����;ヂ?lián)網(wǎng)安全綜合服務(wù)網(wǎng)”進行注冊登記�����。
(來源:上海市信息網(wǎng)絡(luò)安全管理協(xié)會APP安全專委會上海眾人信息技術(shù)有限公司)��。
