本次APP专项治理工作中首先对获取隐私政策提出要求,每个APP必须有相应的隐私政策,而且必须是独立的形式以弹出框、文本链接等形式在显著位置予以展示,特别是用户首次注册或应用APP时,应主动提示用户阅读,不可因排版、遮挡或需多次点击后才能看到等原因,影响用户正常阅读,以确保用户第一时间内明确、清晰、顺畅地了解到相关隐私政策。
其次,APP运营者必须对APP中所收集的个人信息的类型进行了明确的限定和规范,并在隐私政策中向用户告知。打开系统权限时,应说明收集个人信息的目的、方式、范围,还包括对收集个人信息的技术手段、包括第三方代码、插件等。要求对所收集的个人信息的业务功能必须一一对应、细化列举、不可用“例如”、“等”宽泛文字一概带过,对个人信息中的敏感信息类型必须进行显著标识。
再有,为保障用户权益需在隐私政策中向用户告知所收集的个人信息的相关处理细节。其中包括:
·APP的运营者的基本信息,必须让用户知道是谁在收集用户个人息信;
·收集到的个人信息的存储方式、地域、期限,特别是出境信息类需进行显著标识;
·对收集到的个人信息的使用规则,若用于个性化展示或用户画像的,应向用户说明应用场景和对用户可能带来的影响;
·APP运营者不仅为确保用户个人信息安全采取比如:数据加密、访问控制、身份鉴别、恶意代码防范、安全审计等各项安全保护措施,还必须在隐私政策中向用户予以说明;
·对于个人信息的共享、公开、转让必须明确其目的、类型和接收方的信息;
·对用户必须提供相应权利保障机制,包括个人信息的查询、更正、删除、注销和对已同意的授权撤回功能(特别是销户和授权撤回这两项,经常容易被忽视);
·此外还包括建立用户投诉渠道、明确隐私有效日期、隐私政策更新及时告知等。
本次专项治理中还明确要求,APP运营者不得在隐私条款中出现的免除自身责任、加重用户责任、排除用户主要权利的不合理条款。APP运营者必须按照国家相关法律法规履行和承担相关法律义务,以维护用户合法权益。
之前大量APP在收集个人信息时存在强制捆绑授权的霸王行为,若用户不同意则无法使用APP。本次专项治理中对征得用户同意这一项明确要求,即便用户选择“不同意”应仅影响一拒绝提供个人信息相关部分的功能。在以前APP中往往存在捆绑多项功能一次性授权就会同意多项权限请求,现在明确要求应根据用户自主行为开启或收集个人信息。
曾有多篇报导提到大量APP收集的个人隐私超出其范围、与隐私政策描述不一致,或未经用户选择同意,擅自获取超出必要范围的个人信息。现明确APP不应收集与业务功能无任何关系的个人信息,在用户明确拒绝相关功能后,不应反复要求打开,也不得在系统更新后擅自更改权限设置。
在本次专项治理中明确了一个概念“自主选择同意”:指个人信息主体通过书面声明或主动做出肯定性动作,对其个人信息进行特定处理做出明确授权的行为。肯定性动作包括个人信息主体主动作出声明(电子或纸质形式)、主动勾选、主动点击“同意”、“注册”、“发送”、“拨打”、主动填写或提供等。换言之,对用户所提供的相关个人信息必须是自主、自愿的情况下才可获取。
总体来看,本次专项治理目的非常明确,就是要建立一个安全、规范、有效的APP应用环境,切实保护好人民群众的合法权益,净化APP市场,将那些对个人隐私的践踏行为驱逐出去,依法依规进一步推动全社会对个人信息安全保护意识、能力和责任的进步。
为保障APP开发者及用户的权益,加强网络安全建设,保护公民信息,上海市信息网络安全管理协会APP安全专业委员会呼吁APP运营者及时通过“上海互联网安全综合服务网”进行注册登记。
共和国声音日历|2月26日
