新版App收集使用个人信息自评估指南(征求意见稿)逐条对比解读
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
在前面和两篇文章,我们为大家逐条对比解读了评估点一、评估点二、评估点三和评估点四。接下来,作为逐条对比解读系列的完结篇,我们将继续为大家解读评估点五“是否未经同意向他人提供个人信息”和评估点六“是否按法律规定提供删除或更正个人信息功能,或公布投诉、举报方式等信息”。
逐条对比解读
评估点五:是否未经同意向他人提供个人信息
5.1 向他人提供个人信息前是否征得用户同意
a) 如App存在从客户端直接向第三方发送个人信息的情形,包括通过App客户端嵌入第三方代码、插件(如SDK)等方式,应事先征得用户同意,经匿名化处理的除外。
b) 如个人信息传输至App服务器后,App运营者向第三方提供其收集的个人信息,应事先征
得用户同意,经匿名化处理的除外。
c) 如App接入第三方应用,当用户使用第三方应用时,应事先征得用户同意后,再向第三方
应用提供个人信息,用户获知应用为第三方且在知悉收集使用个人信息规则后,自行同意提
供给第三方的除外。
【解读】
相较于原《App自评估指南》评估点22,新版《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第5条“以下行为可被认定为‘未经同意向他人提供个人信息’……”的具体规定,旨在强调向第三方提供个人信息,均应获得用户的同意,这里宜根据本指南第1.6f)条和第2.1条的规定,通过隐私政策、个人信息查询使用授权书等授权文本告知用户对
外提供个人信息的目的、个人信息类型和接收方类型或身份。
相较于《App违法违规认定方法》第5条,本条新增了“用户获知应用为第三方且在知悉收集使用个人信息规则后,自行同意提供给第三方的除外”的例外情形。举例来说,微信某小程序通过弹窗方式,告知用户想要获得用户的昵称、头像、地区、性别、手机号码等个人信息用
于某目的,用户若点击允许,即代表用户自行同意微信将该等个人信息提供给该小程序。该
场景下是小程序征得用户的同意,而非微信征得用户的同意。
评估点六:是否按法律规定提供删除或更正个人信息功能,或公布投诉、举报方式等信息
6.1 是否提供有效的注销用户账号功能
a) App应提供有效的注销账号的途径(如在线操作、客服电话、电子邮件等),并在用户注
销账号后,及时删除其个人信息或进行匿名化处理,法律法规另有规定的除外。
b) 受理注销账号请求后,App运营者应在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理。
c) 注销账号的过程应简单易操作,不应设置不必要或不合理的注销条件,如提供额外的个人敏感信息用于身份验证,或未明确注销所需个人敏感信息在注销成功后是否会删除等。
注:相关内容可参考GB/T 35273《个人信息安全规范》。
【解读】
相较于原《App自评估指南》评估点30,新版《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第6.2条“为更正、删除个人信息或注销用户账号设置不必要或不合理条件”和第6.3条“虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理”的规定,新增前述两条的要求。
建议App运营者:首先,要提供账号注销的功能,并在隐私政策中明确说明用户注销账号的操作方法;其次,提供的用户账号注销功能应方便用户操作,且能切实保障用户账号注销的有效实现,避免故意设置操作障碍;最后,如果通过邮箱或客服的方式受理用户注销账号的请求,应及时响应,给予用户已经受理的答复,避免用户请求发出后石沉大海,再无音讯。需要人工处理的,应在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理。
6.2 是否提供有效的更正或删除个人信息
a) App应提供有效的查询、更正、删除个人信息的途径。
b) 用户无法通过在线操作方式及时响应个人信息查询、更正、删除请求的,App运营者应在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理。
c) 查询、更正和删除个人信息的过程应简单易操作,不应设置不必要或不合理的条件。
d) 用户更正、删除个人信息等操作完成时,App后台应同步执行完成相关操作。
【解读】
相较于原《App自评估指南》评估点31,新版《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第6.2条“为更正、删除个人信息或注销用户账号设置不必要或不合理条件”、第6.3条“虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理”和第6.4条“更正、删除个人信息或注销用户账号等用户操作已执行完毕,但App后台并未完成的”的规定,新增前述3条要求。
建议App运营者切实提供有效的、简单易操作的查询、更正、删除个人信息的途径,不设置操作障碍,如实告知用户更正、删除个人信息及注销账户的实际进展,在App后台完成相应操作后,再向用户提示相关操作已执行完毕。如在操作过程中出现突发情况导致暂时无法实现更正、删除或注销操作,应及时告知用户原因并如实告知操作进展,不得在未完成操作之前提示用户操作已完成。
6.3 是否建立并公布个人信息安全投诉、举报渠道
a) App运营者应建立并公布可受理个人信息安全问题相关的投诉、举报渠道,受理可采取在
线操作、客服电话、电子邮件等方式。
b) App运营者应妥善受理用户关于个人信息相关的投诉、举报,并在承诺时限内(承诺时限
不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理。
【解读】
相较于原《App自评估指南》评估点32,新版《App自评估指南(征求意见稿)》吸收了《App违法违规认定方法》第6.5条“未建立并公布个人信息安全投诉、举报渠道,或未在承
诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处
理的”的要求,将受理并处理个人信息安全投诉举报的时间从15天放宽至15个工作日,有助于App运营者更妥善地处理该等投诉举报。
结语
正如新版《App自评估指南(征求意见稿)》在其摘要部分指出的那样,其内容重点参照了《App违法违规收集使用个人信息行为认定方法》和《个人信息安全规范》等相关国家标准,并将检测评估工作经验融入其中,App违法违规使用个人信息行为的相关认定标准渐趋一致,对实务中出现的新问题能够及时地作出判断和回应。App运营者应高度关注新版《App自评
估指南(征求意见稿)》,参照其具体规定进行相应合规安排,并关注其正式稿出台进度和
内容变化。