刚刚过去的11月,隐私焦点事件频发,对口监管法规紧锣密鼓,堪称2020年的“隐私月”。
本文我们整理了2020年11月国内隐私与安全合规方向的最新动态,并对监管动向进行对比分析,最后对11月所发生的焦点案例及事件进行了介绍和解析。
一、11月新发布规范
1. 《个人信息保护法》草案
第十三届全国人大常委会第二十二次会议对《中华人民共和国个人信息保护法(草案)》进行了审议。草案将进一步明确个人信息处理活动应遵循的原则,完善个人信息处理规则,保障个人在个人信息处理活动中的各项权利,强化个人信息处理者的义务,明确个人信息保护的监管职责,并设置严格的法律责任。个人信息保护法的制定,将进一步增强法律规范的系统性、针对性和可操作性,在个人信息保护方面形成更加完备的制度、提供更加有力的法律保障。
亮点分析:
- 赋予必要的域外适用效力;
- 健全的个人信息处理系列规则;
- 完善个人信息跨境规则,并要求境外个人信息处理者在境内设立专门机构或者指定代表,负责个人信息保护相关事务;
- 明确了个人信息处理者的合规管理和保障个人信息安全等义务。
企业合规建议:
- 按照规定制定内部管理制度和操作规程,采取相应的安全技术措施;
- 指定负责人对公司个人信息处理活动进行监督;
- 对处理敏感信息等高风险工作进行事前风险评估;
- 确需向境外提供个人信息的,应通过国家网信部门和专业机构的评估和认证。
新规政策链接:
http://www.npc.gov.cn/flcaw/flca/ff80808175265dd401754405c03f154c/attachm ent.pdf
2. 《未成年人保护法》
新修订的未成年人保护法10月17日经十三届全国人大常委会第二十二次会议表决通过,自2021年6月1日起施行。未成年人保护法专门增设“网络保护”一章。
亮点分析:
- 网络产品和服务提供者不得向未成年人提供诱导其沉迷的产品和服务;
- 网络服务提供者应设置相应的时间管理、权限管理、消费管理等功能;
- 收到未成年人及其父母或者其他监护人的通知后,网络服务提供者应及时采取必要的制止措施。
企业合规建议:
- 不提供诱导未成年沉迷的产品和服务;
- 若做网络游戏、网络直播、网络音视频、网络社交的网络服务提供者,应该针对未成年人使用其服务设置相应的时间管理、消费管理等功能;
- 设置未成年人在遭受网络欺凌行为时的安全措施,防止信息扩散。
新规政策链接:
http://www.npc.gov.cn/npc/c30834/202010/82a8f1b84350432cac03b1e382ee174 4.shtml
3. 《个人信息安全影响评估指南》
11月25日,全国信息安全标准化委员会正式发布《信息安全技术 个人信息安全影响评估指南》,并将于2021年6月1日正式实施。
亮点分析:
- 无法选择拒绝个性化广告、疾病信息泄露造成歧视等,都将纳入个人信息安全影响的评估因素;
- 规定了个人信息安全影响评估的基本概念、框架、方法和流程,并提出了特定场景下进行评估的具体方法;
- “引发差别性待遇”也将成为影响评估结果的因素之一,具体表现如:因疾病、婚史、学籍等信息泄露造成的针对个人权利的歧视等。
企业合规建议:
- 有助于个人信息处理的检验合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施的有效性,并对处理和评估情况进行记录;
- 对评估过程进行记录,建议企业保存至少3年;
- 编写《隐私政策》时重点关注以下几个原则:告知方式和内容是否友好可达、是否对用户画像机制进行限制,避免精确定位到特定个人、匿名化机制是否有效,去标识化后的个人信息是否能够被关联分析等。
新规政策链接:正式版本需家登陆国标委网站查询或购买。
二、监管纵横
11月两单位双管齐下,工信部下发了下架60款APP的告示,同时APP治理工作组也发布关于35款APP的通知。我们分别从违规原因分析和监管行业趋势来做下分析。
1. 违规原因统计
11月工信部下线60款APP违规原因方面,其中违规收集个人信息、过度频繁索取权限、违规使用个人信息、强制向用户定向推送、超业务范围收集个人信息分别占前五。
11月工作组通告35款APP违规原因方面,未同步告知收集目的、第三方SDK告知问题、因未授权非必要权限,拒绝提供基础服务、超业务范围收集个人信息、账号注销问题分别占前五。
2. 违规原因说明及应对建议
(1) APP收集个人信息不合规
过度频繁索取权限:在用户明确表示不同意打开非必要权限后,仍频繁征求用户同意,干扰用户正常使用。
收集业务无关信息:收集业务功能无关的个人信息、个人敏感信息。
应对建议:
- 收集类型:应与产品或服务的业务功能直接关联;
- 采集频率:应是业务功能所必需的最低频率;
- PS“最低频率”的定义:原则上以低于该频率相关产品或服务将无法实现或有重大缺陷为准来评估所需的最低频率。
- 从第三方获取:应是实现产品或服务的业务功能所必需的最少数。
(2) 有关及用户权益的PbD功能设计不合规
① 强制用户定向推送:强制用户使用定向推送功能;
② APP明文上传敏感信息:APP明文上传用户账户、密码;
③ 投诉举报渠道不合规:
Ⅰ未建立并公布投诉和举报渠道
Ⅱ未有效落实投诉、举报的功能:
- 未在15个工作日内完成核查处理
- 客服电话,提示“座席忙,请挂机”
- 在线反馈显示“客服不在线”
④ 账号注销问题:
- 未提供有效的注销用户账号功能
- 为注销账号设置不合理条件
⑤ 未同步告知收集目的:在申请打开如相机、通讯录、电话、存储、位置、麦克风等权限时,未同步告知用户其目的。
⑥ 因未授权非必要权限,拒绝提供基础服务:因用户不同意打开非必要权限,拒绝提供所有业务功能。
应对建议:
产品对隐私功能模块的设计,尤其注重如:系统权限管理、账号日志管理、第三方账号授权与解绑、账号注销、隐私协议等。
建立严格的SDLC+PbD安全开发流程,安全隐私角色,应渗透产品开发全生命周期,从需求介入,严格把持上线。
(3) 明示告知及第三方SDK不合规
未明示告知收集信息:未明示收集个人信息的目的、方式和范围。
第三方SDK告知问题:未逐一列出第三方SDK收集使用个人信息的目的、类型。
应对建议:
隐私协议中需清晰列明收集个人信息的目的、方式和范围。
其中,我们发现多数APP被要求告知的第三方SDK聚集特定类型,以下整理出了本次通告涉及的TOP5 SDK类型。
对于如果处理第三方SDK常见违规问题的建议举措,参考如下:
三、案例及事件复盘
1. “人脸识别第一案”
2020年11月20日,浙江人民法院对郭某诉杭州野生动物世界一案开庭宣判,法院认为被告“收集人脸识别信息,超出了必要原则要求,不具有正当性”,判决野生动物世界赔偿郭兵1038元,删除郭兵办理指纹年卡时提交的包括照片在内的面部特征信息等。
合规措施建议:
- 收集生物识别信息时告知的用途应当与实际使用一致,即与订立合同时约定的使用方式一致,超出告知目的的信息收集仍属于未获得有效同意;
- 属于用户个人信息和服务方经营信息的,在无证据证明对用户造成或可能造成损害的情况下,服务方有权拒绝删除;
- 通过收集新的个人信息触发服务方式更改并造成用户负担的,属于预期违约行为,应当承担合同法意义上的违约责任。故如果服务方升级需要使用到新的个人信息种类的,建议保留原始个人信息的使用方式直至合同期满,不应强制升级并造成用户负担。
2. “快递拍照案件”
“双十一”过后,上海一快递代收点推出新规:为防止偷窃和误拿,强制对所有前来取件人必须要拍照并存档才可取走快递,快递网点拍摄的照片的储存位置、传输方式、保障措施均无法确保其处理过程的安全性。
合规措施建议:
- 收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意;
- 对第三方在合同、实际业务的指导上加强管理,制定严格的准入标准。
3. “售楼处人脸识别案”
为了做大量营销宣传,吸引潜在客户,很多房地产售楼处在不告知本人,未经授权同意的情况下,使用人脸识别系统来定位目标客户。即使客户戴着基本的防护措施,依然可以被“无感”抓拍。系统可以识别并预测看房者的行动路径,框选其必经路线,设置摄像头进行抓拍。拍完后,系统还会自动选出一到两张“最优照片”。
合规措施建议:
- 企业在个人信息的收集时,一定要遵循「合法、正当、必要」的原则;
- 必须要征得当事人同意;
- 设置显著标识;
- 只做流量收集,不做任何存储,并做到及时删除。
4. 上外女生起诉某知名互联网平台侵犯隐私
某学生在使用某知名互联网公司开发的 App 时,发现其个性化推送广告、滥用地理位置信息已构成侵犯其隐私,故决定起诉该 App 的母公司。2019 年 11 月,该学生在使用某知名 App 时发现,其首页会通过电子信息的方式向用户推送商业广告,且这些商业广告可以准确定位到用户所在地区。用户在浏览该 App 对应的网站版本首页时无法拒绝接收这些频繁出现的商业广告。
合规措施建议:
- 用户有完全自主选择权限的权利,企业应该严格按照法律规定及《隐私政策》的规定执行用户的选择;
- 制定简约清晰的《隐私政策》。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
