《个人信息保护法》一周年观察——企业应用程序(APP)合规的现状、问题和完善
2022年11月1日,值此《中华人民共和国个人信息保护法》出台一周年之际,北京数安信信息科技研究院(下称“数安信研究院”)发布《企业应用程序(APP)隐私政策合规风险报告(2022)》。
过去一年,《个人信息保护法》在规范和加强个人信息保护方面起到了重要作用,特别是对与个人工作生活息息相关的应用程序(APP)收集使用个人信息规范方面,《个人信息保护法》同各类技术标准一起为用户提供了强有力的合规保障。
为了评估各大企业在过去一年落实《个人信息保护法》及相关技术标准对APP收集使用个人信息方面的合规情况,数安信研究院选取了部分行业龙头企业、部分独角兽企业共15家企业的APP隐私政策文本及实际处理活动进行合规评估,并形成此次《企业应用程序(APP)隐私政策合规风险报告(2022)》。该报告有以下四个特点:
1、全面梳理我国现行法律法规与相关技术标准对隐私政策的规范,总结出实践中常见的8大风险项以及26个风险点,从整体把握隐私政策的合规现状。
报告评估的8大风险项分别为隐私政策文本规范、个人信息收集使用规则、对外共享、转让、公开披露个人信息规则、存储个人信息规则、用户权利保障机制、未满十四周岁未成年人信息保护、个人信息的跨境流动、隐私政策更新等方面。报告结合实践情况将每个风险项下较常出现的不合规现象拆解出若干个风险点,并对该风险点进行风险说明,给出法律或技术标准依据。
摘自《企业应用程序(APP)隐私政策合规风险报告(2022)》表4部分页面
2、全面梳理选取的15款APP隐私政策文本对应的风险项及风险点,总结出实践中隐私政策文本风险频率出现较高的风险项及风险点,以问题为导向深挖问题根源。
报告梳理出15款APP出现的风险点数量,总结出现频率较高的风险点。其中与个人联系较紧密的“个人信息收集使用规则”以及“用户权利保障机制”是合规风险“重灾区”。“个人信息收集使用规则”合规风险表现为APP收集与其提供服务无关的个人信息、收集敏感个人信息未单独告知、使用概括性语言综述所收集个人信息;“用户权利保障机制”合规风险表现为撤回授权同意、获取个人信息副本以及关闭个性化推荐等功能界面设计不健全或不便捷。
摘自《企业应用程序(APP)隐私政策合规风险报告(2022)》图2页面
3、结合隐私政策文本风险频率较高的风险点,总结出15款APP在实际个人信息处理活动中是如何执行隐私政策文本规定,并在理论与实践相结合基础上进行综合评估。
报告重点分析了15款APP在“个人信息收集使用规则”与“用户权利保障机制”的合规情况。《个人信息保护法》强调收集使用个人信息时需遵循公开透明原则、最小必要原则、授权同意原则,部分APP收集与其提供服务无关的个人信息违反了公开透明原则,使用概括性语言综述所收集个人信息违反了公开透明原则,收集敏感个人信息而未告知违反了授权同意原则。例如在某公司的隐私政策中提及,为实现找回账号目的,在无法接收短信验证码的情况下,需要用户提供身份证号以及“手持身份证的照片”,此处为实现找回账号目的不涉及用户重大利益或特殊监管要求,所以要求用户提供“手持身份证照片”的行为不符合最小必要性原则。
摘自《企业应用程序(APP)隐私政策合规风险报告(2022)》图2页面
《个人信息保护法》赋予用户个人信息知情权、决定权、复制权、更正权、删除权、解释说明权、投诉权等权利,APP运营者应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人行使各项权利的方式和程序,同时在APP功能界面设计上应设置便捷的权利行使方式。以“获取个人信息副本”、“撤回授权同意”、“关闭个性化推荐”这三项与用户有重大利益的权利为例,15款APP在不同程度上都有未认真履行完保护用户权利的义务,即使设置了相关操作界面,其操作流程也不够便捷。
摘自《企业应用程序(APP)隐私政策合规风险报告(2022)》表5部分页面
4、结合法律、技术标准以及APP实际个人信息处理活动的情况,总结出隐私政策文本模板和“双清单”模板,给隐私政策的完善提出建议。
报告依据《个人信息保护法》、GB/T 35273-2020《信息安全技术 个人信息安全规范》以及各类APP技术标准规范总结出隐私政策文本模板,为各企业规范自身隐私政策文本提供参考。针对工业和信息化部要求各相关企业单独设置的“双清单”(“个人信息清单”和“与第三方共享个人信息清单”)要求,报告结合各类APP技术标准以及实践中常见问题总结出“双清单”模板为各企业提供参考。
摘自《企业应用程序(APP)隐私政策合规风险报告(2022)》表8隐私政策基本框架
摘自《企业应用程序(APP)隐私政策合规风险报告(2022)》“双清单”部分模板
课题组成员对外经济贸易大学法学院张欣副教授表示,随着大数据和人工智能技术快速发展,APP成为企业在互联网信息服务中为用户提供丰富使用体验的主要手段,与此同时APP也存在非法收集用户信息、侵犯用户权利、不规范使用敏感个人信息等问题。以APP自动化决策系统为例,日趋成熟的算法技术被嵌入逐利驱动的平台APP之中,滋生蔓延了一系列算法滥用行为,虽然在算法治理实践中已经通过诸如用户画像限制、提供不针对个人特征选项或便捷关闭算法推荐服务选项等制度设计,但在巨大利益面前部分企业仍然存在违规行为。在《个人信息保护法》出台一周年之际,我们以报告形式来总结部分企业APP隐私政策合规情况,更进一步凸显出APP隐私政策在保护个人信息实践方面的现实紧迫性。
课题组成员北京工商大学法学院张新宇副教授认为,隐私政策作为企业APP和网页端最常使用的个人信息授权文本,对企业在个人信息保护方面具有重要作用,一方面可以向用户说明企业收集使用个人信息的规则,保障用户权利的有效实现;另一方面可以构成对企业自身行为的约束,也是企业获取用户授权的重要依据。但从现实情况看,相当一部分企业的隐私政策仍然不够规范,主要体现在隐私政策文本不规范、APP实际收集使用个人信息行为不规范、APP运营者对用户权利保障不规范等方面。为了规范隐私政策的内容和功能界面设置,我们以报告形式总结隐私政策模板以及“双清单”模板,可以供各企业进行有益参考,同时也是我们将理论与实践相结合的一次有益探索。
对于本次报告的发布,各位专家对企业APP隐私政策在保护个人信息收集使用方面的规范也提出了自己的见解。
中国社会科学院国际法研究所何晶晶副研究员对于本报告表示高度认可,她认为企业隐私政策文本合规不代表企业在实际处理个人信息活动中就合规,我们需要从两个维度来看个人信息保护。以提供医疗产品服务的艾登科技为例,该企业利用强大的算法能力为多家医疗机构提供医疗质控服务,尽管其隐私政策相对规范,但其个人信息收集与授权、以算法为核心的定制化推荐服务等个人信息处理活动存在较大的合规问题。一方面企业需要规范隐私政策文本,从隐私政策的独立性和易读性、是否清晰说明各项业务功能及收集个人信息类型、是否清晰说明个人信息处理规则及保障用户权益、是否设置不合理条款等角度考察隐私政策文本的规范性;另一方面结合隐私政策文本,从APP运营者实际处理个人信息行为角度考察是否落实了隐私政策的个人信息保护规则。企业只有既规范了隐私政策文本,又在实际处理个人信息活动中落实了个人信息保护规则,才能真正实现个人信息保护活动的闭环。
长期从事信息与网络安全与互联网治理领域的北京航空航天大学法学院副教授赵精武表示,伴随着人脸识别、用户画像等商业实践的普及与创新,企业以APP所提供的信息服务为依托,向用户收集包括生物特征识别信息等在内的敏感个人信息时,相应的数据泄露、侵害用户个人隐私等安全风险也相伴而至。诚然,《民法典》《个人信息保护法》等法律法规确认了个人信息权利体系的基本框架,但在实施过程中,面对复杂多变的商业模式仍然存在诸多义务履行标准不明等问题。为了解决法律实施层面的已经或可能出现的适用问题,通过规范隐私政策的具体内容和制定过程达成自然人与个人信息处理者之间利益平衡,已经成为保护个人信息的“另类”有效机制。
北京理工大学法学院博士后张心宇对记者说,在移动互联网广泛普及、移动端网民人数不断增多的时代背景下,APP隐私政策不仅具备传统的合同属性,也是企业应对用户和社会公开的关于个人信息保护的自律性政策宣示。过去,各大平台企业不重视披露隐私政策,无法准确把握个人信息保护的实际情况是互联网时代面临的重大难题,随着各大平台企业将披露隐私政策作为必要手段后,隐私政策的披露成为解决这一难题的关键环节。隐私政策透明度越高,代表其关于企业如何收集、使用、存储和保护个人信息的描述越清晰和全面。目前隐私政策披露机制已经初步建立,但是相应机制并不成熟,仍可通过“隐私标签制定”“隐私政策内容可视化”等创新措施为用户提供更透明的隐私政策,从而保障APP隐私政策的民主性、规范性、公平性。
过去的一年不是结束,而是新的开始。在刚刚结束的中共二十大会议上,国家领导人强调要强化数据等安全保障体系建设,可以预见的是,在未来相当长的一段时间内,数据安全与个人信息保护仍然是国家安全体系建设的重点之一。
关于数安信研究院——
数安信研究院依托于数安信(北京)科技有限公司,聚焦数据共享与安全两大主题,致力于数据治理、数据合规和数字经济等议题,深度参与国家立法支撑工作,支撑参与了国家自然基金、国家社科基金、国家网信办、工信部、国家卫健委、国家市场监管总局相关项目课题研究,参与国家标准、行业标准和地方标准起草工作,参与组织国家数据治理和数据安全培训项目。
可关注数安信研究院公众号下载全文报告。在数安信研究院公众号后台回复“隐私报告”可获取报告全文,回复“隐私政策模板”可获取隐私政策模板,回复“双清单模板”可获取双清单模板。
