Travel Beach

个推为你解读APP个人信息保护要点,开发者必看!

在 2021-12-09 20:06 发布

针对App收集使用个人信息的合规监管一致是网信办、公安部、工信部以及国家计算机病毒应急处理中心等政府部门或者协会整治个人信息收集使用违规行为的前沿阵地。各部门也经常性公布APP违反个人信息保护的案例。


在此背景下,本文将结合最新的法律法规及行业标准要求 ,对App个人信息保护的要点进行梳理,帮助开发者们高效落实个人信息保护相关事宜。



一、有哪些合规问题要关注

近年来,为保障个人信息安全,监管力度日益加大、监管标准日益趋严,相关主管部门对个人信息收集使用违规行为更是下重拳治理。为帮助大家高效落实个人信息保护工作,我们梳理了监管部门近期关注的重点问题,供大家参考。


1.规范个人信息处理

个人信息的处理,是个人信息保护中最重要一环。在App处理个人信息过程中,如何更好地规范个人信息处理活动,促进个人信息合理利用,保障个人信息安全呢?


首先,App须在征得用户自主选择同意后,才能处理个人信息。App不应将多项业务功能和权限打包,要求用户一揽子接受并授权同意。


其次,在个人信息处理目的、处理方式、收集范围、保存期限等方面,App都需要满足"最小影响、最小范围、最短时间"的要求:


个人信息处理应当具有明确、合理的目的,并与处理目的直接相关,采取对个人信息影响权益最小的方式。收集个人信息, 应当限于实现处理目的的最小范围,不得过度收集个人信息。除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。此外,App还须对自身信息处理行为的目的正当性与处理必要性进行充分说明,明确提供基本功能服务所必须收集的个人信息范围,并与业务部门及时沟通调整实际收集个人信息的范围。


《个人信息保护法》强调对于个人信息主体权益的保护,个人除了具有对其个人信息的处理享有知情权、决定权外,还有权限制或者拒绝他人对其个人信息进行处理,包括知悉个人信息处理规则和处理事项、同意和撤回同意,以及个人信息的查询、复制、更正、删除、拒绝、携带、转移等。


App可通过以下方式,满足《个人信息保护法》下对个人信息主体权益的高保护要求:


提供"便捷"的拒绝方式,为用户提供退出或关闭个性化展示模式的选项


提供"便捷"的撤回同意方式,包括但不限于将撤回的按钮置于醒目的位置,与"同意"的选项相对应,给与对应撤回的选项等等,其困难程度不能高于"同意"的方式建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。




2.重申正当授权要求

《个人信息保护法》再次重申了授权正当性的要求。无论是工信部主导的“侵害用户权益行为App通报”系列, 还是网信办主导的“App违法违规使用个人信息”系列, 实际上都对App申请权限的正当性提出要求: 例如, “App强制、频繁、过度索取权限”作为一种违法行为, 几乎每次都会出现在各类通报之中。


在梳理监管经验的《网络安全标准实践指南-移动互联网应用程序(App)系统权限申请指南》中, “一揽子授权”“强迫授权”和“私自调用权限”等行为均已经被监管部门认定为违法违规收集使用个人信息的行为。而《个人信息保护法》在第5条提出的“处理个人信息应当遵循合法、正当、必要和诚信原则, 不得通过误导、欺诈、胁迫等方式处理个人信息”要求, 则将App运营者的“正当授权”要求上升为法律层面的要求。


考虑到《个人信息保护法》下近乎“严苛”的行政责任, 结合2021年4月发布的《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》(“《App个人信息保护规定(征)》”)和《App违法违规认定方法》中的规定, 我们建议App运营者应当尽快审核App调取权限存在“误导、欺诈、胁迫”的情形, 尤其是:


  • 是否在调用权限前, 明确告知用户权限申请目的;
  • 在用户同意前已经默认打开权限的情形;
  • 故意欺瞒、掩饰收集使用个人信息的真实目的, 向用户调取权限;
  • 用户不同意后, 仍然频繁征求用户同意;
  • 实际打开权限的范围大于声明的权限范围;
  • 是否存在“默认勾选”同意的情况;
  • 是否根据实际使用情况进行“动态申请”;
  •  是否存在版本更新后, 自动调整用户设置的权限设置状态的情况;
  • 是否要求用户必须一次性打开多个系统权限。


3.合规使用SDK

作为广大开发者信赖的伙伴,个推一直高度重视用户个人信息保护、数据合规及数据安全问题。为帮助 App 开发者更好地落实个人信息保护,我们梳理了App使用个推SDK时的要点,供大家参考:


a. 在使用个推SDK产品时,开发者需在App《隐私政策》的 "与授权合作伙伴共享"条款中,将个推用户隐私政策加入其中,并向终端用户逐一明示您嵌入的SDK处理个人信息的目的、方式和范围。


b.您应确保在App首次运行时通过明显方式提示终端用户阅读您的《隐私政策》并取得终端用户的合法授权后,再初始化SDK进行信息处理。同时,我们也建议您将接入的个推SDK版本更新至最新版。


c.如果您和您的用户请求访问、更正、补充其用户信息,或要求行使删除权、更改其授权同意的范围等,您可以查看《个推隐私政策》,或通过个推用户信息保护负责邮箱,向我们提出相关请求。



为了更及时高效地落实合规要求,我们建议各位开发者充分了解现有以及陆续将发布的有关个人信息保护的法律、法规、政策、标准等,并及时开展自查、规范调整,高效落实个人信息保护工作。


数字经济时代,做好个人信息保护,是国家政策法规和产业健康发展的要求,是全社会共同的期待,也是我们共同的责任。个推将以更加安全可靠的产品与服务,回馈开发者的信任与选择,积极与开发者一道共同推动个人信息保护工作,捍卫个人信息安全和数据安全,助力行业健康可持续发展!

关闭