2017年6月1日,《网络安全法》正式施行,其中第四十一、四十二、四十三条,对个人信息的收集使用规则、网络运营者的个人信息保护义务、个人信息的删除权和更正权进行了规定。
为App运营者能够切实遵守《网络安全法》,2019年1月25日,国家互联网信息办公室、工业和信息化部、公安部和国家市场监督总局等四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,决定自2019年1月至12月,在全国范围组织开展App违法违规收集使用个人信息专项治理。
为此成立的App专项治理工作组在这一年间制定、完善了一系列技术规范和标准文本,包括2019年3月编制并发布的《App违法违规收集使用个人信息自评估指南》、2019年5月编制并发布的《App违法违规收集使用个人信息行为认定方法(征求意见稿)》、2019年10月更新并公开的GB/T35273《信息安全技术个人信息安全规范(最新征求意见稿)》及《移动互联网应用程序(App)收集个人信息基本规范(最新草案)》。其中,《App违法违规收集使用个人信息行为认定方法》于2019年11月28日印发执行,GB/T35273-2020《信息安全技术个人信息安全规范》于2020年10月1日实施。《信息安全技术个人信息安全规范》虽是推荐性国标,但在实践中已成为执法的参考依据。
此外,《个人信息保护法(草案二次审议稿)》和工信部的《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》也已在征求意见阶段。
法律对个人信息保护政策文本有哪些要求
个人信息保护政策应独立、易读:
1.App中应建立个人信息保护政策,个人信息保护政策中应有收集使用个人信息规则,且个人信息保护政策独立成文(即不作为用户协议、用户说明等文件的一部分);
2.在App首次运行时/更新时,须通过“弹窗”等明显方式提示用户阅读个人信息保护政策,不得默认勾选;
3.进入App主功能界面后,通过4次以内点击,能够访问到个人信息保护政策,且个人信息保护政策链接位置突出、无遮挡;
4.个人信息保护政策文本无文字过小过密、颜色过淡、模糊不清、未提供简体中文版等造成用户阅读困难的情形。
个人信息保护政策应清晰说明各项业务功能及所收集的个人信息类型:
1.个人信息保护政策应逐项列举需要收集个人信息的业务功能,及该业务功能项下所收集的全部个人信息类型(包括委托的第三方或嵌入的第三方代码、插件收集的个人信息),确保业务功能与所收集的个人信息类型一一对应;
2.对于包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)未成年人的个人信息等个人敏感信息(参见GB/T35273-2020《信息安全技术个人信息安全规范》3.2节)进行如字体加粗、标星号、下划线、斜体、颜色等显著标识。
提示:除须在个人信息保护政策中显著标识个人敏感信息外,还须在收集个人敏感信息时以显著方式(如弹窗)同步告知收集使用该个人敏感信息的目的
个人信息保护政策应清晰说明个人信息处理规则及用户权益保障:
提示:关于用户投诉,App运营者应至少在收到用户投诉、举报后15个工作日内回复处理意见或结果。
3.个人信息保护政策应明确个人信息的存放地域(国内、国外)、存储期限(法律规定范围内最短期限或明确的期限)、超期处理方式(删除或匿名化)
提示:1)在技术可行且不影响终端和服务正常的情况下,App运营者应优先在个人信息主体的智能终端中存储、使用所收集的个人信息;2)App运营者应以实现服务所必需的最低合理频率向其后台服务器发送个人信息。
4.个人信息保护政策对外共享、转让、公开披露个人信息的规则,包括对外共享、转让、公开披露个人信息的目的,涉及的个人信息类型,接受方类型或身份,以及与接受方的责任划分。
提示:1)根据GB/T35273-2020《信息安全技术个人信息安全规范》9.2节,个人信息控制者共享、转让个人信息时,应事先开展个人信息安全影响评估;个人生物识别信息原则上不应共享、转让;2)存在共享、转让个人信息的,App运营者应向个人信息主体提供实时查询数据接收方身份的途径;查询结果应通过App开设独立界面的方式展示3)明确与接受方的责任划分,可避免承担因接受方引起的个人信息安全责任。
5.个人信息保护政策应明确个人信息出境情况,对于出境个人信息类型逐项列出并显著标识(如字体加粗、标星号、下划线、斜体、颜色等),并说明跨境传输遵守的标准、协议和法律机制;
6.个人信息保护政策应对App运营者在个人信息保护方面采取的措施和具备的能力进行说明,如身份鉴别、数据加密、访问控制、恶意代码防范、安全审计等;
7.个人信息保护政策中应说明用户画像、个性化展示的应用场景和可能对用户产生的影响
提示:1)须遵守GB/T35273-2020《信息安全技术个人信息安全规范》7.4、7.5节;2)《电子商务法》及GB/T35273-2020《信息安全技术个人信息安全规范》7.5节b)项均要求电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的,应当用时向该消费者提供不针对其个人特征的选项。
个人信息保护政策中不应设置不合理条款:
个人信息保护政策中不应出现免除自身责任、加重用户责任、排除用户主要权利的条款
免除自身责任是指App运营者免除其依照法律规定应当负有的强制性法定义务;
加重用户责任是指App运营者要求用户在法律规定的义务范围之外承担责任或损失,如要求用户承担黑客攻击、数据泄露等风险;
排除用户主要权利是指App运营者排除用户依照法律规定或者依照合同的性质通常应当享有的主要权利。
《App违法违规收集使用个人信息自评估指南》:
《App违法违规收集使用个人信息行为认定方法》:
GB/T35273-2020《信息安全技术个人信息安全规范》:
《信息安全技术移动互联网应用程序(App)收集个人信息基本规范》:
《常见类型移动互联网应用程序必要个人信息范围规定》:
《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》: