蒲公英企服平台对话启天安全董事长张志——APP如何做到个人隐私合规?

启天安全董事长张志分享了APP合规的关键在于知情同意和最小必要原则,强调了合法收集个人信息的重要性。他指出,APP应避免私自收集、超范围收集、不合理索取用户权限以及设置账号注销障碍等违规行为,并提供了具体的解决方案。此外,他还提醒企业关注《App收集个人信息基本规范》和《App必要个人信息范围》,遵循‘必要原则’,并提到了境外SDK和GDPR的合规风险。企业应根据相关法律法规进行自查整改,避免违法违规收集使用个人信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

2021年蒲公英企服开放平台1024开发者活动日前在线举行,随着网络安全法及相关法规的发布,很多APP因为违法收集个人信息被约谈、通报、下架。怎么才能合法合规的获得可用信息成为很多公司产品经理、研发团队亟待解决的问题。

公安部、安全部、科技部专家,启天安全董事长、副研究员张志多年来一直从事科研开发工作,其在计算机软件开发与团队管理等方面积累了丰富的经验,曾主持并完成多项软件研发项目及科研课题。发表论文12篇,撰写了《国家机关工作人员信息安全手册》和《计算机信息系统安全培训教材》等书作。获省科技进步三等奖一项,河北省科学院科技进步一等奖三项、二等奖三项,市科技进步三等奖一项。在安全产品和服务方面为省内知名专家。

公安部、安全部、科技部专家,启天安全董事长、副研究员张志介绍,以知情同意和最小必要两项个人信息保护的是APP合规要掌握的两个基本原则,知情同意就是要求从事App个人信息处理活动,应当以清晰易懂的语言告知用户个人信息处理规则,由用户在充分支持的前提下做出自愿、明确的意思表示。最小必要的原则就是不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动。

TracupTalk 主持人:

很高兴能在蒲公英1024程序员节邀请到启天安全董事长张志先生。张总,近年来网信办等多部门联合版本《中华人民共和国网络安全法》、《App违法违规收集使用个人信息行为认定方法》等多部应用安全相关的法律。很多的App因违法违规收集使用个人信息被约谈、通报、下架,其中不乏以千万用户为单位的知名App,不少产品、研发团队对整改合规没有头绪,非常崩溃,怎样才能合规呢?

图片

启天安全董事长 张志:

一、APP违规常见的通报及解决办法

(一)违规收集用户个人信息

1、其中包括“私自收集个人信息”:即App未明确告知收集使用个人信息的目的、方式和范围并获得用户同意前,收集用户个人信息。

为解决“私自收集个人信息”问题,应当为App准备一份独立的《隐私政策》,向用户明示App收集使用个人信息的目的、方式和范围。如存在涉及收集使用儿童个人信息相关业务功能的,需制定针对儿童的个人信息保护规则。如果您APP中使用第三方SDK的,需在《隐私政策中》向用户说明SDK提供的服务及采集情况。

2、违规收集个人信息还包括“超范围收集个人信息”:即App收集个人信息,非服务所必需或无合理应用场景,超范围或超频次收集个人信息,如通讯录、位置、身份证、人脸等重要和敏感信息

为解决“超范围收集个人信息”问题,您应当确保您的采集均与App服务功能相关,所涉个人信息字段均已在《隐私政策》中公示,并得到用户授权

(二)违规使用用户个人信息

1、其中包括“私自共享个人信息给第三方”:即App未经用户同意与其他应用共享、使用用户个人信息,如设备识别信息、商品浏览记录、搜索使用习惯、常用软件应用列表等。

如果您未在隐私政策中披露使用第三方SDK,那么可能被认定为“私自共享个人信息给第三方”,为解决此问题,您可以在《隐私政策》附录中披露第三方SDK的具体情况,并附上第三方SDK隐私政策链接。如果您同时使用其他SDK,也请您按照同样的方式进行披露。如您集成的SDK较多,可在《隐私政策》附录中以表格的方式一一载明。

违规使用用户信息还包括“强制用户使用定向推送功能”:即App未向用户告知或未以显著方式标示,将收集到的用户搜索、浏览记录、使用习惯等个人信息,用于定向推送或精准营销,且未提供关闭该功能的选项。

为解决“强制用户使用定向推送功能”的问题,建议如提供定向推送功能,根据国标要求应显著区分个性化展示的内容和非个性化展示的内容,例如标明定推或者通过不同栏目或板块进行展示。另外根据国标文件要求同时,应当向用户提供关闭定向推荐的选项,以保证用户的选择权,满足监管要求。

(三)不合理索取用户权限

1、其中包括“不给权限不让用”:即App安装和运行时,向用户索取与当前服务场景无关的权限,用户拒绝授权后,应用退出或关闭。

为解决“不给权限不让用”问题,您应当注意通过《隐私政策》等方式向用户详细说明App需要调取的权限及目的,并保证权限调取均与服务功能相关。当用户拒绝无关权限时,仍可以正常使用App其他功能。

2、不合理索取用户权限还包括“频繁申请权限”:即App在用户明确拒绝权限申请后,频繁申请开启通讯录、定位、短信、录音、相机等与当前服务场景无关的权限,骚扰用户。为解决“频繁申请权限”问题,您需要注意在用户拒绝授权后,不宜频繁(如48小时内)反复申请权限。

3、不合理索取用户权限还包括“过度索取权限”:即App在用户未使用相关功能或服务时,提前申请开启通讯录、定位、短信、录音、相机等权限,或超出其业务功能或服务外,申请通讯录、定位、短信、录音、相机等权限。为解决“过度索取权限”问题,您应当确保App所需权限均与所提供的业务功能相关。对于短信、通讯录、麦克风等高敏感权限,应当谨慎索取,并向用户明确告知,取得用户授权。

(四)用户账号注销设置障碍

“账号注销难”:即App未向用户提供账号注销服务,或为注销服务设置不合理的障碍。

为解决“账号注销难”问题,您需要:1、为用户提供账号注销入口;2、账号注销时需要用户提供的信息,不得超过用户注册及使用App期间所提供的信息;3、账号注销后,应及时删除用户信息,或在实现日常业务功能所涉及的系统中去除用户个人信息,使其保持不可被检索、访问的状态;4、用户账号注销的响应时间最多不超过15个工作日。

此外,两个重要提示和建议:

(1)尽量不要使用境外SDK安全部、公安部、网信办正在开展境外SDK专项。这些SDK在往境外传输数据涉及到了国家安全的大家一定要注意。

(2)有出海需求的,一定需要关注欧盟的《通用数据保护条例》GDPR以及各国的安全法。GDPR被称为人类史上最严格的数据隐私法律,要求很高,起步最高额度就是1000万欧元或企业上一财年全球营业总额2%,并以较高者为准。

二、各类App收集使用个人信息的必要范围

尚在征求意见中的《App收集个人信息基本规范》和《App必要个人信息范围》对各类App能够收集的个人信息的范围作出了具体限制。《App收集个人信息基本规范》对App收集个人信息时应满足的基本要求,例如最小必要信息5、最小必要权限范围6和使用要求作出了详细规定。《App必要个人信息范围》则以“正面清单”的形式列举了各种类型的App能够收集的必要个人信息7范围,并明确只要用户同意收集必要个人信息,App不得拒绝用户安装使用。

下表归纳了《App必要个人信息范围》中提出的几类常见App的基本功能服务和其能够收集的必要个人信息。这些具体的规定旨在落实《民法典》、《网络安全法》等法律法规关于收集使用个人信息合法、正当、必要的原则,规范App的个人信息收集使用行为,保障公民个人信息安全。

图片

其中,网络直播类、在线影音类、短视频类、新闻资讯类、运动健身类、浏览器类、输入法类、安全管理类、电子图书类、拍摄美化类、应用商店类、实用工具类App无须个人信息即可使用基本功能服务,也就是说这些类型的App对于基本功能服务不应当收集用户个人信息。

《App收集个人信息基本规范》和《App必要个人信息范围》一旦生效,对于企业通过App收集个人信息的行为会产生较大的影响,需要企业提前予以关注。企业应当严格遵循“必要原则”,收集个人信息的内容应满足该法规的合规要求和范围限制,根据自身运营的App的类别对目前收集个人信息的行为予以规制。

目前,仍然存在大量App因违法违规收集使用个人信息的行为而被通报批评、要求整改的情况。例如,2020年App违法违规收集使用个人信息治理工作组曾通过上述公众号和网站通告了177款App违法违规收集使用个人信息,建议相关App运营者及时对存在的问题进行整改,并将对整改情况进行核验,向相关部门提交复核结果,对不能有效整改的建议依法予以处置。其中,我们注意到大量App因违反“必要原则”收集使用个人信息而被通报,不乏人们日常常用的下载量较大的App。我们选取了部分此类通报案例归纳整理如下表:

图片

三、循道不违——“必要原则”的基本规范和要求

(一)“必要原则”的内涵

《网络安全法》第四十一条与《民法典》第一千零三十五条均规定,处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理。

《个人信息安全规范》提出了个人信息安全基本原则之一为“最小必要”,即只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后,应及时删除个人信息。针对这一原则,该国家标准要求个人信息控制者做到以下几点:

(1) 收集的个人信息的类型应与实现产品或服务的业务功能有直接关联;直接关联是指没有上述个人信息的参与,产品或服务的功能无法实现;

(2) 自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率;

(3) 间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。

(二)“必要原则”的具体要求

针对App收集使用个人信息,《认定方法》、《自评估指南》和《安全防范指引》等法律法规对“必要原则”做出了进一步的细化规定。根据《安全防范指引》,超过“必要原则”的收集使用行为包括但不限于以下这三种情形:

(1)收集无关信息。收集的个人信息类型或申请的系统权限与App提供的业务功能无关。

(2) 强制收集非必要信息。因用户不同意收集非必要个人信息或打开非必要权限,App拒绝提供业务功能。

(3) 收集频率不合理。收集个人信息的频率超出App业务功能实际需要。

根据《认定方法》和《自评估指南》等法律法规,我们对企业通过App收集使用个人信息的“必要原则”的相关规范和具体要求进行了如下梳理。

图片

企业违反“必要原则”收集个人信息,属于违法违规收集个人信息,可能面临监管部门的公开通报、敦促整改、约谈、警告、下架、罚款等监管措施。如果进一步涉及非法滥用个人信息或者倒卖个人信息等情况,则可能触及非法提供公民个人信息罪、非法获取公民个人信息罪、拒不履行信息网络安全管理义务罪等刑事责任。

目前启天安全已为多家省级网信办提供从数据传输安全(向境外势力传输数据监管,安徽网信办)到内容监管安全(涉政方向监管为主,河北、辽宁、山东网信办)的全面服务,并与国家移动互联网安全管理中心共同成立移动安全实验室,进行APP基础信息采集、隐私权限、安全检测、安全评估、敏感词监测等方面的标准制定、技术研究、技术支持及技术推广等内容。移动安全实验室提供的“一站式检测服务平台”,为用户提供一站式安全服务,服务内容包括但不限于APP安全检测、APP权限检测、APP隐私检测、APP内容检测等。移动安全实验室提供的APP监管工作平台,为辖区APP的备案、检测、通报,提供一站式服务。

四、对于企业通过App收集使用个人信息的合规建议

目前政府部门对于使用App过程中的个人信息保护问题高度重视。面对目前较为严格的监管动态,企业可采取以下措施进行应对:

(一)根据上述相关法律法规和国家标准,对照检查自身App有无违法违规收集使用个人信息的情形,如果存在应当积极进行规范整改。

(二)避免出现目前被广泛投诉的超过“必要原则”的收集使用行为,例如超范围收集与功能无关的个人信息、强制或频繁索要无关权限、默认捆绑功能并一揽子同意、设置“不同意采集个人信息就无法安装使用App”的条款、滥用录音、拍照等敏感权限等。

(三)积极参加App安全认证工作,获取明确标识和合规认证。如为教育类、金融类等特殊行业的App,则应当根据相应的备案要求进行备案。认证和备案的相关要求请详见本系列的上一篇文章《App合规系列——企业如何上线App》。

(四)持续关注App方面的法律法规出台情况和监管动态,根据政府部门的监管动向随时调整App收集使用个人信息的规则和相应的程序操作处理规则。

蒲公英企服开放平台

就像张总提到的为了国家安全和个人信息安全,四部委对App的数据收集提出了更高的要求,而App合规又牵扯到多达二三十条的法律规定,如果需要类似启天安全这样App合规的专业服务机构,小编建议可以在蒲公英企服企服开放平台(https://open.pgyer.com)进行选择,蒲公英企服平台汇集了4000+ToB软件,更多的选择和横向对比帮助您更快找到适合您需求的软件产品。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值