APP认定方法评估的初步总结---2020/10/16
APP认定方法评估主要依据191号文《App违法违规收集使用个人信息行为认定方法》(规定了什么行为被认定为337中的违规)、337号文《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》(定义了某种违规的含义)。
其中,专业术语可以参考《个人信息安全规范》(规范个人信息控制者在收集、存储、使用、共享、转让、公开披露等信息处理环节中的相关行为)、APP权限问题可以参考《信息安全技术 移动互联网应用(App)收集个人信息基本规范-最新征求意见稿》(附录中规定了30种APP的最小必要权限及个人信息)、《网信办-个人信息相关权限26项》(说明了涉及个人信息权限的种类)。
191号文条例原文及评估注意事项
1、未公开收集使用个人信息规则
1.1在App中没有隐私政策,或者隐私政策中没有收集使用个人信息规则(检查APP所有地方,只要没有隐私政策的相关内容就算。隐私政策的存在不一定是单独一个文件,也可以是用户协议的一部分。合规条件一定是隐私政策+收集使用规则)
1.2在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则(现在较为通用的明显方式有弹窗、特殊字体和颜色等,明显不合规的方式有使用灰色字体、小字号、遮挡、与背景色相近等)
1.3隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到
1.4隐私政策等收集使用规则难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等
2.未明示收集使用个人信息的目的、方式和范围
2.1未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等(“逐一”很重要,《个人信息安全规范》的附录中给了隐私政策模板,很少有APP能达到此项要求。在已使用过APP的情况下,查看APP的动态行为过程,检查是否有第三方SDK等使用权限收集个人信息。隐私政策要与行为一致。)
2.2收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读(在隐私政策中必须写明什么方式,明显方式一般包括弹窗、邮件、公告。一般在评估过程中不会碰到更新的情况,此时报告需要写明,虽然合规但是无法验证通知方式)
2.3在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解
2.4有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等(一些能成为用户理解障碍的话)
3、未经用户同意收集使用个人信息
3.1征得用户同意前就开始收集个人信息或打开可收集个人信息的权限;(“征得用户同意”一般需要在首次打开APP不做任何操作的情况下,拉取APP行为数据。如果发现APP有采集用户个人信息的行为则不合规,或在权限全部关闭的情况下,私自打开也不合规。安卓系统会默认打开权限,应该在首次运行APP前在手机设置中关闭此APP的权限。个人信息的定义和范围参考《个人信息安全规范》)
3.2 用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用;(在拒绝某项权限或拒绝提供某个人信息后,APP在运行时仍然打开了缺陷或者收集了此项个人信息则不合规。如果频繁弹出此弹窗影响用户使用也不合规)
3.3 实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围(发生了3.1的情况,属不属于3.3?获取APP动态行为数据,查看收集情况在隐私政策中是否有说明,没有或内容不一致则不合规。打开的权限是否均是用户同意过的)
3.4以默认选择同意隐私政策等非明示方式征求用户同意;(一般存在的默认同意方式有:已阅的勾选框默认勾选,只有同意按钮,有登录注册则代表同意等类似表达)
3.5 未经用户同意更改其设置的可收集个人信息权限状态,如App更新时自动将用户设置的权限恢复到默认状态;(除了示例情况,还有选择关闭的权限,打开APP后自动开启了)
3.6 利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项(查看功能和隐私政策,只要能实现关闭定向推送,则合规。有些APP是没有定向推送功能的。如果APP内置文档中没有关于推送的描述,在使用APP过程中需要自行判断是否有此功能)
3.7以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的;(还没遇见过,可以着重关注推送的广告是否诱导打开权限,提现功能是否有欺诈等行为)
3.8未向用户提供撤回同意收集个人信息的途径、方式(隐私政策或功能中要有实现撤回的办法。撤回之后不能影响APP的使用)
3.9违反其所声明的收集使用规则,收集使用个人信息(行为要与隐私政策一致,根据隐私政策检查。与2.1的区别就是,2.1是根据APP功能检查)
4、违反必要原则,收集与其提供的服务无关的个人信息
4.1 收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关(需要评估人员自己衡量是否无关)
4.2因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能(非必要的判断一个可以参考所涉及的业务功能,一个可以参考《信息安全技术 移动互联网应用(App)收集个人信息基本规范-最新征求意见稿》中规定的最小权限和信息)
4.3 App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外(一般评估时期不会碰到这个问题,无法评估)
4.4 收集个人信息的频度等超出业务功能实际需要(频度是否超出的根据使用时间和其他收集行为的频度来判断。若只打开APP,则频度上百基本算超过。若使用了APP,频度上千基本算超过。如果3.1不合规,也属于4。4的不合规)
4.5 仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;(“强制”的情况一般是频繁弹窗影响使用,或不确定就不让用。还需要注意,此项是专门针对“改善服务、提升体验”等为目的的。与3.2区分开来)
4.6 要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。(官方文件明确表明targerSDKversion>23合规,23到底包不包含还需要去确定,已经此项代表什么含义也还需要学习,或存在此类弹窗,但这种情况比较少)
5、未经同意向他人提供个人信息
5.1 既未经用户同意,也未做匿名化处理,App客户端直接向第三方提供个人信息,包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息(需要向第三方提供个人信息时,应在隐私政策中写明,如果写了,抓包看看一些信息是否匿名化,例如IMEI\密码等。一般评估只能评估出是不是明文传输,无法评估是否匿名化,这里需要区分匿名化和去标志化的概念。《个人信息安全规范》中说匿名化是不能被复原的,匿名化处理后的信息不属于个人信息。去标志化的定义就属于我们日常理解的加密的范畴)(例如分享到QQ,抓包能看见QQ号,算不算违规呢?如果技术上非明文账号也能实现功能,那么Q号明文传输就不合规。但是这个怎么判断?)
5.2 既未经用户同意,也未做匿名化处理,数据传输至App后台服务器后,向第三方提供其收集的个人信息(不能访问服务器,这条如何评估呢)
5.3 App接入第三方应用,未经用户同意,向第三方应用提供个人信息。(第三方登录不算接入第三方。需要注册登录才能使用的第三方。需要抓包分析,这个从一大堆消息包中找到隐私政策中所没有的,有点难)
6、“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息
6.1未提供有效的更正、删除个人信息及注销用户账号功能(按照方法注销后,账户仍可以使用,不合规)
6.2 为更正、删除个人信息或注销用户账号设置不必要或不合理条件(需要额外信息才能注销、虚拟货币需要清空、非必要的人证合一要求等为不合理障碍,金融理财软件需要特殊的界限)
6.3虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理;(在《个人信息安全规范》中是30日内,移动端更注重时效)
6.4 更正、删除个人信息或注销用户账号等用户操作已执行完毕,但App后台并未完成的;(后台未完成如何判断,与6.1中注销后仍然能使用是否相同。我的观点是,不检查后台数据库是无法评估的)(还有一个现象。账号M在A,B设备登陆使用过,现在在A设备注销后,在A设备再次登陆时发现无法登录;但使用B设备,仍然可以以此账号M来使用应用,只要退出登录操作后才不能以M身份使用。我的观点是,这个情况属于不合规,在账号注销后,B设备上使用时应该直接踢出登录。如果是不合规,那属于哪一条?如果合规,为什么?)
6.5 未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理的
总结
- 首先仔细阅读条例原文,对实在不理解、不清楚的地方不要死磕,标注出问题。
- 再阅读评估步骤、报告模板/示例,了解评估的具体流程
- 动手去做,尝试完成整个评估,输出初稿
- 最后再阅读条例原文,特别是对判定结果模糊、表达方式不确定的地方进行修改
- 如果还有不确定的地方,再一起商讨
分清权限和个人信息的关系:
权限:应用通过这个权限来自动采集个人信息(通过位置信息权限,自动采集用户个人的位置信息的内容)
个人信息:应用所能收集的个人信息来源包括自动采集或者用户填写。
提升是一个学-做-分析-再学的过程