2018 年 5 月 25 日,欧盟新的《隐私和数据保护法》以及《通用数据保护条例(GDPR)》生效,取代了自 1995 年实施的欧盟现行数据保护法律框架(通常称为《数据保护指令》)。同时,不同于《数据保护指令》,GDPR 与全球性运营公司相关,不再仅仅针对欧盟范围之内的公司。根据 GDPR 的规定,如果公司符合下述条件,则在适用范围内:(i) 公司成立地点在欧盟范围内,或者 (ii) 公司成立地点不在欧盟范围内,但是数据处理活动与欧盟个人相关、与向其提供商品和服务相关或者与对其行为监控相关。这一欧盟关于个人数据保护的新规,也被业内人士称为世上最严数据保护法。同年5月,新华网公开批评“美团”、“饿了么”等多家企业泄露用户隐私。2021年3月11日,工信部向社会通报了136家存在侵害用户权益行为App企业的名单;4月6日,依据《网络安全法》和《移动智能终端应用软件预置和分发管理暂行规定》(工信部信管〔2016〕407号)等法律和规范性文件要求,工信部组织对上述名单中未进行及时整改的60款APP进行下架处理。2021年4月13日,市场监管总局会同中央网信办、税务总局召开了互联网平台企业行政指导会,明确要求包括百度、京东、美团、360、字节跳动等各互联网平台企业在一个月内全面自检自查,逐项彻底整改,并出具合规经营承诺书。在这些承诺书中,各企业所承诺的内容均包含了保障用户隐私权的部分。直到最近的“滴滴出行”App被下架整改,都不难看出,自2018年开始,国家对互联网企业在保障公民个人信息方面正在逐步加强管理。随着民众对个人隐私越来越重视,也同时为了使中国企业在这方面有可以和国际接轨的标准,国家在立法层面和部门规章具体管理方面也在积极做出响应。2020年10月21日,经第十三届全国人大常委会第二十二次会议审议后,《中华人民共和国个人信息保护法(草案)》正式在中国人大网公布,并向社会征求意见。2021年4月29日,《中华人民共和国个人信息保护法(草案二次审议稿)》在经全国人大常委会会议审议后再次面向社会公布并征求意见。同时,为了进一步向企业明确手机App手机客户个人信息时所应采取的标准。2019年3月1日,全国信息安全标准化技术委员会发布了《App违法违规收集使用个人信息自评估指南》以指导App运营者自查自纠;2019年12月,为监督管理部门认定App违法违规收集使用个人信息行为提供参考,又发布了《App违法违规收集使用个人信息行为认定方法》。最终,在2020年7月22日,在前述《App违法违规收集使用个人信息自评估指南》的基础上,依据《网络安全法》等法律法规要求,参照《App违法违规收集使用个人信息行为认定方法》和相关国家标准,全国信息安全标准化技术委员会结合检测评估工作经验,归纳总结出App收集使用个人信息具体评估点,形成《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》(以下简称“App自评指南”)。不论是大的互联网平台企业,抑或是小的App开发商,都应当在产品开发或者启动网络服务之前,依据“App自评指南”进行自查,以最大程度地避免在后续服务提供当中,触及到侵犯个人信息的红线。这份由官方出的自查手册“App自评指南”将关于App个人信息保护标准的自查方法主要分为了如下几个部分:在该部分中,自评指南要求企业对App是否对用户公开隐私政策等收集使用规则;以及是否提示用户阅读隐私政策等收集使用规则进行自查。其中,对于提示用户阅读隐私政策的方式也做了相应细化要求,例如:在App首次运行或用户注册时主动提示用户阅读隐私政策等。同时,自评指南也要求App开发者要检查隐私政策等收集使用规则是否易于访问、易于阅读,以及公开的收集使用规则是否完整。在如何向用户明示App收集个人信息的目的这一部分,指南明确指出了App中应当包含的明示内容以及细则要求,包括:App明示规章中是否逐一列出收集使用个人信息的目的、方式、范围等;企业收集使用个人信息的目的、方式、范围发生变化时是否通知用户;在告知范围中是否也同步告知申请打开权限和要求提供个人敏感信息的目的;以及告知收集使用规则本身是否易于理解。同意原则是最为重要原则,在这一部分,指南详细列明了如下10项自查内容:(1)收集个人信息或打开可收集个人信息权限前是否征得用户同意(3)用户明确表示不同意收集后是否频繁征求用户同意、干扰用户正常使用(5)是否以默认选择同意隐私政策等非明示方式征求用户同意(6)是否未经用户同意更改其设置的可收集个人信息权限状态(7)存在定向推送信息情形的,是否提供非定向推送信息的选项(9)是否向用户提供撤回同意收集个人信息的途径、方式 (四)是否遵循必要原则,仅收集与其提供的服务相关的个人信息“必要原则”要求企业不收集与业务功能无关的个人信息,同时也不申请打开与业务功能无关的可收集个人信息权限。因此,根据这一原则,企业应当自查是否在经营或App开发中存在收集与业务功能无关的个人信息的行为;而在App功能中是否允许用户可以拒绝收集非必要信息或打开非必要权限。为了进一步保护用户的个人信息,指南还要求企业自查是否以非正当方式强迫收集用户个人信息,以及收集个人信息的频度是否超出业务功能实际需要。这一部分实际上是对同意原则的延伸,进一步限制企业对于个人信息的任意使用。指南要求企业向他人提供个人信息前需要征得用户同意,并且向接入的第三方应用提供个人信息前也需要经用户同意。(六)是否提供删除或更正个人信息功能,或公布投诉、举报方式等信息对于用户个人信息已经被侵犯的情形,依照相关的法律法规,指南释明了企业对提供救济的要求标准,包括:是否提供有效的注销用户账号功能;是否提供有效的更正或删除个人信息途径;以及是否建立并公布个人信息安全投诉、举报渠道。《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》原文
Partner of Grandsoul Lawfirm邮箱:niumeng@guoshuanglaw.com
电话:010-65066586
地址:北京市朝阳区朝外大街乙六号朝外SOHO-A座915
2015年执业以来,牛蒙律师致力于知识产权保护和民商事纠纷争议解决领域的研究,为众多跨国企业、国内企业和个人提供精品法律服务,服务涉及的行业涵盖了制造业、能源、高新技术、汽车、教育、体育、餐饮等,曾代理诺华、霍尼韦尔、凯悦国际酒店集团、捷豹路虎公司等客户。
基于丰富的诉讼、仲裁以及和解谈判经验,牛蒙律师擅于为客户制定整体性纠纷解决方案,并在调查、取证、立案、庭审以及庭后跟进等环节把控案件细节,为客户争取最大化利益。此外,牛蒙律师作为企业及个人客户的法律顾问,为其在知识产权、合同、合规、劳动等方面把关,提供法律风险的分析和防控,为客户的日常经营活动保驾护航。
声明:本文内容仅供交流之用,不代表北京国双律师事务所的法律意见。读者依赖本文内容作出任何决策所产生的法律后果由行为人自行承担。如您需要专业意见,建议向具有相关资质的专业人士寻求帮助。
转载 投稿 合作丨请发送邮件至gs@guoshuanglaw.com
