解析网络安全标准实践指南,谈App合规运营路径
吴丹君律师团队移动支付网2020/7/31 10:12:20

作者:吴丹君律师 张振君律师助理

随着我国对移动互联网应用程序(以下简称“App”)侵害用户合法权益现象的日益重视,不仅在立法上,与App治理相关的法律文件相继出台;而在执法上,“电信和互联网行业提升网络数据安全保护能力专项行动”“APP侵害用户权益专项整治工作”“纵深推进APP侵害用户权益专项整治行动”(工业和信息化部)、“净网2019”“净网2020”专项行动(公安部)、“‘守护消费’暨打击侵害消费者个人信息违法行为专项执法行动”(市场监督管理总局)等治理活动也在有力地推进中。

在此背景下,《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》(以下简称“《实践指南》”)应运而生。《网络安全标准实践指南—移动互联网应用程序(App)系统权限申请使用指引(征求意见稿)》(以下简称“《征求意见稿》”)也紧随其后,于2020年7月29日公开向社会征求意见,在《实践指南》引导移动互联网应用程序的提供者或管理者(以下简称“App运营者”)查找问题的基础上,进一步为App运营者如何改善问题提供指引。

一、《实践指南》是“集大成之作”

将《实践指南》与2019年11月发布的《App违法违规收集使用个人信息行为认定方法》(以下简称“《认定方法》”)进行对比,可发现,《实践指南》依然延续“告知-同意”的个人信息保护模式,其六个评估点与《认定方法》中的六类违法违规行为相互对应,而《实践指南》六个评估点下的细化内容也与《认定方法》的具体内容基本对应。《实践指南》在吸收《认定方法》基础上进一步细化,将六个评估点具体为71个条款,并以注的形式进行举例或引用《信息安全技术上个人信息安全规范》等法律文件内容,有利于App运营者理解立法本意,更好地把握App合规路径。

同时,本团队整理和分析了国家计算机病毒应急处理中心(以下简称“CVERC”)、工业和信息化部(以下简称“工信部”)及App违法违规收集使用个人信息专项治理工作组(以下简称“App专项治理工作组”)在开展监管活动中的违法App通报情况,发现《实践指南》的制定也呼应了实践的需求。

①2017年10月至2020年6月CVERC违法应用软件通报情况汇总[1]

②2014年第一季度至2020年第一季度工信部问题应用软件通报情况汇总[2]

③工信部关于侵害用户权益行为的应用软件通报情况汇总[3]

④App专项治理工作组2019年App通报情况汇总[4]

从上述数据整理中可发现,个人信息保护水平是相关监管部门在对App进行评估的重要考察内容。在CVERC的通报结果中,因个人信息保护不力而被通报的App占到了63.71%。监管部门在监管活动中所发现的App现存问题也基本在《实践指南》中得到了体现。2020年7月29日,工业和信息化部在京召开会议,部署开展纵深推进APP侵害用户权益专项整治行动[5],《实践指南》也将成为此次活动的重要参考。

可见,《实践指南》是在吸收先前法律文件的基础上,结合多项监管实践经验的“集大成之作”,因而在内容上并无突破性的新增或修改之处。我们可将《实践指南》比喻为地图,指引App运营者和监管者按图索骥地发现问题与查找依据。

二、《征求意见稿》是《实践指南》的进一步发展

为了正常使用App,用户通常会给予App一定的收集使用个人信息权限。App运营者只能在用户给予的权限范围内收集使用个人信息,一旦超出即需另行取得用户同意。而分析上文整理的各种App违规事由,可以发现无论是未公开个人信息收集使用规则,还是未经用户同意收集个人信息,抑或未提供删除或更正个人信息功能,皆为突破用户所希望给予App的权限的具体表现。换言之,要防止App侵害用户权益,即要防范因App系统权限不当利用造成的个人信息安全风险。

《网络安全标准实践指南—移动互联网应用程序(App)系统权限申请使用指引(征求意见稿)》从规范App权限申请和使用行为出发,针对App申请使用系统权限存在的强制、频繁、过度索权、及捆绑授权、私自调用权限上传个人信息、敏感权限滥用等典型问题,提出App申请使用系统权限的基本原则和安全要求,为App运营者在根据《实践指南》发现问题的基础上提供了一本切实解决问题的实用指南。同时,《征求意见稿》也可为App开发者、移动互联网应用分发平台运营者和移动智能终端厂商提供参考。

《征求意见稿》第一至四章提出了权限申请和使用的原则和要求。在权限申请方面,App运营者等网络运营者需遵循最小必要原则、用户可知原则、不强制不捆绑原则及动态申请原则;而在权限使用方面,则需遵循一致性原则、不扩散原则及访问显性原则。

在第五章,《征求意见稿》对安卓6.0及以上版本(含安卓Q)提出了安卓权限申请和使用要求,对日历、通话记录、相机等十项典型权限的申请和使用作出指引。在附录部分,《征求意见稿》提供了安卓和iOS系统的常见敏感系统权限、系统权限申请使用常见问题参考以及常见服务类型不建议申请的安卓系统权限。本团队建议,可将《征求意见稿》与2019年6月发布的《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》[6]及2019年10月发布的《信息安全技术移动互联网应用程序(App)收集个人信息基本规范(草案)》[7]等法律文件结合使用,在具体场景中确定系统权限的申请和使用范围。

结语

《实践指南》和《征求意见稿》依然遵循“告知-同意”的个人信息保护模式,在原有法律文件的基础上,提供更具可操作性的指引。在日常运营中,建议App运营者及相关运营者可将《实践指南》和《征求意见稿》结合使用,及时开展合规自查工作,以隐私政策等收集使用规则的合规性为出发点,对个人信息收集使用行为、向第三方提供个人信息行为、提供用户撤回同意功能以及建立投诉、举报渠道等各申请、使用系统权限行为进行审查,同时密切关注国家在App治理方面的立法动态与监管动向,以降低违法违规风险。

【参考资料】

[1]大数据法律研究:《团队原创丨APP应用软件合规要点,近期违规通报数据评析》.(2020-04-16)[2020-07-30].https://mp.weixin.qq.com/s/H88ewBpGuBZoubOoLEnKGQ.

新华网:《国家计算机病毒应急处理中心监测发现二十四款违法移动应用》.(2019-06-14)[2020-07-30].http://www.xinhuanet.com/2020-01/13/c_1125455263.htm.

新华网:《国家计算机病毒应急处理中心监测发现20余款违规移动应用》.(2020-04-11)[2020-07-30].http://www.xinhuanet.com/tech/2020-04/11/c_1125841166.htm.

新华网:《国家计算机病毒应急处理中心监测发现二十一款违法移动应用》.(2020-04-29)[2020-07-30].http://m.xinhuanet.com/2020-04/29/c_1125923798.htm.

新华网:《国家计算机病毒应急处理中心监测发现十五款违法移动应用》.(2020-06-05)[2020-07-30].http://www.xinhuanet.com/tech/2020-06/05/c_1126079316.htm.

[2]大数据法律研究:《团队原创丨APP应用软件合规要点,近期违规通报数据评析》.(2020-04-16)[2020-07-30].https://mp.weixin.qq.com/s/H88ewBpGuBZoubOoLEnKGQ.

工业和信息化部:《工业和信息化部关于电信服务质量的通告(2020年第2号)》.(2020-06-10)[2020-07-30].http://www.miit.gov.cn/n1146290/n1146402/c7958698/content.html.

工业和信息化部:《工业和信息化部关于电信服务质量的通告(2020年第1号)》.(2020-04-10)[2020-07-30].http://www.miit.gov.cn/n1146290/n1146402/c7845662/content.html.

[3]大数据法律研究:《团队原创丨APP应用软件合规要点,近期违规通报数据评析》.(2020-04-16)[2020-07-30].https://mp.weixin.qq.com/s/H88ewBpGuBZoubOoLEnKGQ.

工业和信息化部:《关于侵害用户权益行为的APP通报(2020年第一批)》.(2020-05-15)[2020-07-30].http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057709/n3057714/c7911907/content.html.

工业和信息化部:《关于侵害用户权益行为的APP通报(2020年第二批)》.(2020-07-03)[2020-07-30].http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057709/n3057714/c7993641/content.html.

工业和信息化部:《关于侵害用户权益行为的APP通报(2020年第三批)》.(2020-07-24)[2020-07-30].http://www.miit.gov.cn/n1146290/n1146402/c8026390/content.html.

[4]App治理工作组:《关于61款App存在收集使用个人信息问题的通告》.(2019-12-20)[2020-07-30].https://mp.weixin.qq.com/s/lwPtpaYfwB5dlEc7YffQnQ.

APP专项治理工作组:《关于10款App存在无隐私政策等问题的通报》.(2019-07-11)[2020-07-30].https://www.secrss.com/articles/12149.

App专项治理工作组还曾于2019年4月及2019年7月16日发布过两次App整改通知,但由于未列明具体的违规事项,未被纳入本次的统计,详情请参见:

App治理工作组:《关于督促40款存在收集使用个人信息问题的App运营者尽快整改的通知》.(2019-07-16)[2020-07-30].https://mp.weixin.qq.com/s/uF9rjyV4nwZ8vIqt2hymzA.

App专项治理工作组:《30款app整改进展和近期举报热点》.(2019-06-14)[2020-07-30].http://pip.tc260.org.cn/jbxt/privacy/detail/20190702135807260132.

[5]工信微报:《工信部部署纵深推进APP侵犯用户权益专项整治行动提出五点要求》.(2020-07-29)[2020-07-30].https://mp.weixin.qq.com/s/sdEvCHfiVXGtn3kBPzQNhA.

[6]全国信息安全标准化技术委员会秘书处:《关于发布〈网络安全实践指南—移动互联网应用基本业务功能必要信息规范〉的通知》.(2019-06-01)[2020-07-30].https://mp.weixin.qq.com/s/GtVkSpaaMpK-eXNAPq3Odg.

[7]App治理工作组:《〈信息安全技术移动互联网应用程序(App)收集个人信息基本规范〉最新版草案》.(2019-10-25)[2020-07-30].https://mp.weixin.qq.com/s/y8EUsg9-vDMMinVuHR2ZEA.

本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。

展开全文
相关阅读
资讯查询取消