第三方SDK采集用户信息或将成为APP检查整改重点
2021-07-25
来源:安全牛
2021年5月1日起,中央网信办集中对APP违法违规收集使用个人信息进行4次集中检查,执法力度大,取得明显整治效果。通过分析相关检查通报所依据的法律法规以及执行过程中的发展趋势,可以对后续APP违法违规收集使用个人信息的发展趋势进行展望。
通报情况概述
2021年5月1日、5月10日、5月21日以及6月11日,中央网信办共分4批,对17类291款APP进行通报。从所涉及类别来看,已经通报了《常见类型移动互联网应用程序必要个人信息范围规定》39类中的44%的,仍有22类将在后续检查中被体现。
综合通报检查结果,我们发现与违法违规收集使用的认定类别,主要涉及:
“违反必要原则,收集与其提供的服务无关的个人信息”141款,占比48%,加上同时违反《常见类型移动互联网应用程序必要个人信息范围规定》的103款,该项占比84%,是目前检查工作的重中之重;
“未经用户同意收集使用个人信息”146款,占比50%,也是主要的检查重点;
“未按法律规定提供删除或更正个人信息功能”28款,占比9.6%;
“未公开收集使用规则”11款,占比3.7%;
其他“未明示收集使用个人信息的目的、方式和范围”“未经同意向他人提供个人信息”“未公布投诉、举报方式等信息”等违法违规模式仅有零星案例涉及。
法律法规简析
2019年11月28日,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合制定了《App违法违规收集使用个人信息行为认定方法》对主要应用的个人信息收集使用行为判断依据进行公示,包括:“未公开收集使用规则”、“未明示收集使用个人信息的目的、方式和范围”、“未经用户同意收集使用个人信息”、“违反必要原则,收集与其提供的服务无关的个人信息”、“未经同意向他人提供个人信息”、“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”。
2021年3月22日,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合制定了《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称“《规定》”),对地图导航、网络约车、即时通信、网络社区、网络支付、网上购物、短视频等共计39类APP个人信息范围进行规定,并于5月1日起实行。
相关App运营者应当按照《规定》要求,对照App基本功能及必要个人信息范围,在5月1日前,对运营的App收集使用个人信息行为开展自查,对不符合《规定》要求的及时进行改正。
《规定》正式实施后,应用商店等分发平台应当按照《规定》对申请上架的App进行审核,不符合《规定》要求的不予上架;对已上架的App进行复核,不符合《规定》要求的应当予以下架。有关部门应当按照《规定》要求,加强对App运营者和应用商店等分发平台的监督检查,及时调查、处理违法违规收集使用个人信息行为,切实维护公民在网络空间的合法权益。
未来趋势展望
图:违法违规类别趋势
从通报批次的违法违规类别趋势来看,违反必要原则结合《常见类型移动互联网应用程序必要个人信息范围规定》最小化的规定,仍是APP违法违规采集使用的焦点问题。用户同意收集使用的知情同意条款自第二批逐渐上升,成为关键问题。收集使用规则的透明化以及删除更正的用户权力保障占比在10%之下,涉及到监测评价标准规范进一步细化的问题,预计在完成第一轮次的检查通报后,会作为未来第二轮次的检查通报重点。
对于未经同意向他人提供信息,涉及到更复杂的业务流程的细化分析以及涉及后台系统交互层面的复杂性,四批次均未涉及通报。但第三方SDK后台服务收集和使用用户信息是否定性为未经同意向他人提供信息,仍需细化认定标准或独立监管。目前第三方SDK采集用户信息现象仍比较严重,或将是下一步检查和整改的重点。
目前,行业主管机构对APP运营相关主体的违规行为已经给出了责令整改公告、APP下架甚至断开接入的处罚措施。对多次违规并情节严重APP运营者将采取禁入措施,进一步加大处罚力度。现在,行业都在等待《移动互联网应用程序个人信息保护管理暂行规定》正式发布执行,对APP运营企业的个人信息采集安全合规能力将有更大的考验。