App违法违规收集使用个人信息有了认定方法,数字广告没法做了?

对于数字广告的具体影响关键在于如何执行,但红线不能触碰。

记者 | 马越

编辑 | 牙韩翔

一个关于个人隐私保护的国家级通知赶在2020年到来之前发布,引来了行业关注。

2019年12月30日,国家互联网信息办公室、工信部、公安部和国家市场监督管理总局四部门联合印发了《App违法违规收集使用个人信息行为认定方法》,明确了6大类31种行为属于APP违法违规收集使用个人信息。

以上《认定方法》对不少APP“打擦边球”式的用户信息收集方式作出了详细规定。

比如说“隐私政策等收集使用规则难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等”,会被认定为“未公开收集使用规则”; “有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等”,会被认定为“未明示收集使用个人信息的目的、方式和范围”; “未经用户同意更改其设置的可收集个人信息权限状态,如App更新时自动将用户设置的权限恢复到默认状态”,会被认定为“未经用户同意收集使用个人信息”;而之前曾经困扰很多用户的某些平台账号无法注销的问题,也有了明确规定,如“未提供有效的更正、删除个人信息及注销用户账号功能”“为更正、删除个人信息或注销用户账号设置不必要或不合理条件”等行为也是违规的。

值得关注的是,APP对用户的个人信息不能再随意收集和使用,对于依赖大数据和技术的数字营销行业来说,可能会带来影响。

数字营销通常会依靠数据进行“用户画像”—— 即通过收集、汇聚、分析个人信息,对某特定自然人个人特征,如其职业、经济、健康、教育、个人喜好、信用、行为等方面做出分析或预测,形成其个人特征模型的过程。而接下来就是针对特定人群的“精准营销”,你一定会有类似的体验,比如在浏览器中搜索了某些信息,打开另外的网页或应用,就会收到你之前搜索过的相关产品的广告推送。

从事数字营销行业的技术人士方微告诉界面新闻,APP收集个人信息威力主要在于SDK(软件开发工具包)一旦嵌入,如果你注册登录了这个APP,并默认授权,所有的行为数据都能记录,它会在不知不觉中爬取手机通讯详单、聊天记录、银行账号的密码口令等等。

“不公开数据和公开数据都有可能被SDK收集,但造成的结果就是数据常常会被滥采或滥用。因此APP对于个人信息收集确实需要被规范。”方微说。

事实上,不是所有的APP都需要收集用户的电话号码、身份证、银行账号这样敏感的个人信息,但几乎所有的APP都需要收集设备ID及其他数字化的ID。

某资讯类APP的产品经理张嘉对界面新闻解释称,通常APP为了监测日活跃用户数量,会接入第三方的监测平台,通过安卓端可以收集用户的IMEI和MAC信息。

IMEI和MAC信息就是设备ID的一种。IMEI指的是“国际移动设备识别码(International Mobile Equipment Identity)”,即通常所说的手机序列号、手机“串号”,用于在移动电话网络中识别每一部独立的手机等移动通信设备,相当于移动电话的身份证。而MAC是手机的网卡地址,如果假设一位用户只有一部手机的话,每一个MAC地址对应了一位用户。

“根据整改通知,上述信息的收集和使用,必须要先经过用户同意。”张嘉说。

不过在纷析数据创始人、大数据分析专家宋星看来,12月30日发布的《认定办法》没有谈的最关键问题,是如何界定“个人信息”。

他认为,按照目前国家已经生效的法律法规来看,IMEI、OpenID、cookie等设备ID及其他数字化的ID,都还不能明确被认定为个人信息。而国标35273(《信息安全技术个人信息安全规范》),则认为上面的这些ID都算个人信息。

“应该听谁的?”他表示,广告主和APP们最要谨慎的,还是手机号码和身份证这类很实名的信息。至于各种ID的问题,则没有答案,“保持一定的灰色,既不完全禁止,也不完全放开”。

上述《认定方法》到底会对广告行业带来哪些具体的影响,关键还取决于执行力度。“对广告行业的具体影响业内还在谨慎观察中,但是一定会促进APP开发者和行业合规地获取数据,在一定程度上也对SDK获取数据和使用数据起到了管束效果。”方微告诉界面新闻。

(根据采访对象要求,文中“方微”“张嘉”为化名)

附:《App违法违规收集使用个人信息行为认定方法》

根据《关于开展App违法违规收集使用个人信息专项治理的公告》,为监督管理部门认定App违法违规收集使用个人信息行为提供参考,为App运营者自查自纠和网民社会监督提供指引,落实《网络安全法》等法律法规,制定本方法。

一、以下行为可被认定为“未公开收集使用规则”

1.在App中没有隐私政策,或者隐私政策中没有收集使用个人信息规则;

2.在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;

3.隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到;

4.隐私政策等收集使用规则难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等。

二、以下行为可被认定为“未明示收集使用个人信息的目的、方式和范围”

1.未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;

2.收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等;

3.在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解;

4.有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等。

三、以下行为可被认定为“未经用户同意收集使用个人信息”

1.征得用户同意前就开始收集个人信息或打开可收集个人信息的权限;

2.用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用;

3.实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围;

4.以默认选择同意隐私政策等非明示方式征求用户同意;

5.未经用户同意更改其设置的可收集个人信息权限状态,如App更新时自动将用户设置的权限恢复到默认状态;

6.利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项;

7.以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的;

8.未向用户提供撤回同意收集个人信息的途径、方式;

9.违反其所声明的收集使用规则,收集使用个人信息。

四、以下行为可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”

1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;

2.因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;

3.App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;

4.收集个人信息的频度等超出业务功能实际需要;

5.仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;

6.要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。

五、以下行为可被认定为“未经同意向他人提供个人信息”

1.既未经用户同意,也未做匿名化处理,App客户端直接向第三方提供个人信息,包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息;

2.既未经用户同意,也未做匿名化处理,数据传输至App后台服务器后,向第三方提供其收集的个人信息;

3.App接入第三方应用,未经用户同意,向第三方应用提供个人信息。

六、以下行为可被认定为“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”

1.未提供有效的更正、删除个人信息及注销用户账号功能;

2.为更正、删除个人信息或注销用户账号设置不必要或不合理条件;

3.虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理;

4.更正、删除个人信息或注销用户账号等用户操作已执行完毕,但App后台并未完成的;

5.未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理的。

来源:界面新闻

广告等商务合作,请点击这里

未经正式授权严禁转载本文,侵权必究。

打开界面新闻APP,查看原文
界面新闻
打开界面新闻,查看更多专业报道

热门评论

打开APP,查看全部评论,抢神评席位

热门推荐

    下载界面APP 订阅更多品牌栏目
      界面新闻
      界面新闻
      只服务于独立思考的人群
      打开