2020-01-07
海問觀察:網絡安全及數據合規動態(2019年12月)
作者:
傅鵬
本動態涵蓋2019年12月網絡安全和數據合規領域的規定、規則及重大新聞。第一部分為我們理解值得關注的該領域的最新監管規則(部分監管規則,可能包含我們對其值得關注的要點或問題的簡評);第二部分為我們理解值得關注的該領域的重要事件或重大新聞(部分事件或新聞,可能包含我們對其值得關注的要點或問題的簡評)。
本動態僅作為本所對網絡安全及數據合規相關的近期話題的一般性探討,不構成本所正式法律咨詢意見。
一、監管規則
(一)《App違法違規收集使用個人信息行為認定方法》
公布時間:2019年12月30日
發布單位:國家互聯網信息辦公室、工業和信息化部、公安部以及國家市場監督管理總局
數據合規看點:
1、明確了特別突出的App違法違規收集使用個人信息的情形
近期,App專項治理工作組(以下簡稱“App治理工作組”)發布了在其審查評估過程中發現的57款App違法違規收集個人信息的問題(詳見本文第二部分第四節的評述),其中部分問題在App治理工作組的本次審查評估過程中出現在多款App上,本次《App違法違規收集使用個人信息行為認定方法》(以下簡稱“認定方法”)也體現了該等突出的違法違規收集使用個人信息的問題:
(1)接入第三方代碼或插件收集或提供個人信息的情形
認定方法明確提出,App利用第三方代碼、插件收集個人信息,但是未明確說明運用前述方式收集個人信息的方式、目的或范圍的,可被認定為“未明示收集使用個人信息的目的、方式和范圍”;既未經用戶同意,也未做匿名化處理,App通過客戶端嵌入的第三方代碼、插件等方式向第三方提供個人信息的,可被認定為“未經同意向他人提供個人信息”。
(2)隱私條款設置的常見問題
針對App隱私條款設置的常見問題,例如用戶首次運行時隱私條款未以彈窗等明顯方式提示用戶閱讀、條款難以訪問(需多于4次點擊才可訪問)、難以閱讀或難以理解以及以默認選擇同意方式出現隱私政策等,認定方法明確提出前述行為均可被認定為“未公開收集使用規則”或“未經用戶同意收集使用個人信息”。
(3)捆綁收集個人信息行為
針對App存在的要求用戶一次性同意開啟多個收集個人信息權限,用戶不同意則無法使用以及因用戶不同意收集非必要個人信息或打開非必要權限而拒絕提供業務功能等捆綁收集個人信息的行為,認定方法明確提出前述行為均可被認定為“違反必要原則,收集與其提供的服務無關的個人信息”。
2、隱私保護規則的新變化
正式發布的認定方法與此前于2019年5月5日發布的《App違法違規收集使用個人信息行為認定方法(征求意見稿)》(以下簡稱“認定方法的征求意見稿”)相比較,存在如下重要變化:
(1)調整隱私條款的設置要求
認定方法放寬了隱私條款的形式要求,即App中具有隱私政策或者在其他App相關協議或規則中設置收集個人信息規則即可;同時,提出了隱私條款可讀性要求,即隱私政策或收集個人信息規則不得出現文字過小過密、顏色過淡、模糊不清或者未提供簡體中文版,亦或使用大量專業術語等情形。
(2)明確App的承諾響應期限
對于用戶在申請更正、刪除個人信息及注銷用戶賬號功能時以及用戶在進行投訴和舉報時,App需要在多久時間內對上述需求有所響應這一問題,認定方法的征求意見稿沒有強制的時間要求,而認定方法要求App的響應期限不應超過15個工作日。
(3)個人信息收集使用規則變更后的用戶同意
認定方法規定收集使用個人信息的目的、方式、范圍發生變化時,應以適當方式通知用戶,包括更新隱私政策等收集使用規則并提醒用戶閱讀等,相較于認定方法的征求意見稿,刪去了“重新授權”的表述。
從該等規定的文義來看,個人信息收集使用規則變更后,App應更新收集使用規則并提醒用戶閱讀,不強制要求再度取得用戶的“同意”。但是,結合認定方法的其他條款來看,在特定場景下,App變更個人信息收集使用規則仍然需要取得用戶的同意。例如,認定方法的第三部分第1條以及第3條規定:“征得用戶同意前就開始收集個人信息或打開可收集個人信息的權限”以及“實際收集的個人信息或打開的可收集個人信息權限超出用戶授權范圍”均可被認定為“未經用戶同意收集使用個人信息”,因此,如果App擴大了收集用戶個人信息的范圍和權限,那么就該等擴大部分仍然需要取得用戶的同意和授權,此時App僅做到提醒用戶閱讀修改后的規則無法滿足“征得用戶同意”和“用戶授權”的要求。
(4)定向推送信息規定有待明確
對于目前市場上App中廣泛存在的“定向推送”信息的功能,在此前的認定方法的征求意見稿中要求App應當提供終止定向推送的選項,本次正式發布的認定方法修改為:利用用戶個人信息和算法定向推送信息,應當提供非定向推送信息的選項。
認定方法的征求意見稿中的要求較為明晰,即App應提供終止定向推送的選項,用戶可以選擇關閉App中的定向推送功能;但正式發布的認定方法中提及的“提供非定向推送信息的選項”可能有兩種理解的角度:一方面,可以解讀為用戶可以選擇開啟App中非定向推送信息的選項,實現的效果是App不可再定向推送任何信息;另一方面,可以解讀為App可以向用戶提供定向推送的信息,但同時需要保證其App不能僅有定向推送的內容,應當也含有非定向推送的信息。
就第一種角度而言,在認定方法修改前后實現的效果是一致的,即用戶可以通過選擇關閉或開啟特定選項后,實現App不能夠再利用個人信息和算法定向推送信息給用戶;而第二種角度,會存在一定差異,正式發布的認定方法僅要求App能夠做到其平臺上提供非定向推送的信息。
通過與其他個人信息保護規范進行橫向比較,發現對于定向推送的規則也有所不同:(i) 在《數據安全管理辦法(征求意見稿)》中規定應當向用戶提供終止定向推動功能的選項;(ii)在《信息安全技術 個人信息安全規范(征求意見稿)》(2019年10月22日版)中按照服務類型的不同,進行了區分規定:如果提供電子商務服務,應保證在提供定向推送信息時,也提供不針對個人特征的選項;如果提供新聞信息服務,應提供關閉個性化展示模式的選項;如果在提供業務功能的過程中使用個性化展示,應提供用戶的“自主控制機制”。
目前監管規則中對于“定向推送”的實施要求尚不明晰,有待監管機關在實際執法中進一步澄清。但是,對“定向推送”的相關要求被放置于“未經用戶同意收集使用個人信息”大框架下,其本質應當是為了實現收集或使用用戶個人信息的行為均應得到用戶的同意,意味著需要賦予用戶自主選擇的權利。前文中第一種理解,即賦予用戶能夠終止App利用個人信息進行推送可能更貼合這一本質要求;第二種理解則賦予了App更大的自由度和發展空間。
(5)刪去了未成年人個人信息權益保護的規定
認定方法刪去了認定方法的征求意見稿中對侵犯未成年人在網絡空間合法權益的情形進行認定的章節,因此未成年人個人信息權益的特殊保護仍有待具體監管細則的出臺。
簡評:總體而言《App違法違規收集使用個人信息行為認定方法》的規定具有較高的可操作性,能夠給App運營者在個人信息收集和使用的實踐中提供較為明確的指引,App運營者應當用認定方法中的情形比照其現有業務流程進行逐一確認,避免出現認定方法中列舉的違規行為。
(二)《中國人民銀行金融消費者權益保護實施辦法(征求意見稿)》
發布時間: 2019年12月27日
發布單位:中國人民銀行
數據合規看點:
1、法規涵蓋的主體范圍:《中國人民銀行金融消費者權益保護實施辦法(征求意見稿)》適用于在境內設立的銀行業金融機構、非銀行支付機構,商業銀行理財子公司、金融資產管理公司、信托公司、汽車金融公司、消費金融公司以及征信機構、特許貨幣兌換經營機構可以參照適用。其中,相較于2016年實施的《中國人民銀行金融消費者權益保護實施辦法》,商業銀行理財子公司、金融資產管理公司、信托公司、汽車金融公司、消費金融公司以及特許貨幣兌換經營機構為本次征求意見稿新增的主體范圍。
2、金融信息出境的要求:在境內收集的消費者金融信息的存儲、處理和分析應當在中國境內進行。但是因業務需要,確需向境外提供消費者金融信息的,且滿足以下條件可以向境外提供:(i) 為處理跨境業務所必需;(ii) 經金融消費者書面授權;(iii) 信息接收方為完成該業務所必需的關聯機構(含總公司、母公司或者分公司、子公司等);(iv) 通過簽訂協議、現場核查等有效措施,要求境外機構為所獲得的消費者金融信息保密;(v) 符合法律法規和其他相關監管部門的規定。
其中,就第(iii)條所列的條件,實務過程中可能出現向非關聯機構傳輸金融信息的需求,例如跨境匯款業務等跨境金融服務,境內金融機構如果需要向境外非關聯機構傳輸金融信息,如何處理該等情形下金融信息的跨境需求,有待實踐的檢驗。
3、金融信息安全事件應對的期限要求:在確認信息發生泄漏、毀損、丟失時,金融機構應當在72小時以內采取補救措施并告知金融消費者。
4、鼓勵金融機構協助消費者金融信息的轉移:鼓勵金融機構在技術可行的前提下,基于金融消費者的請求,將其金融信息轉移至金融消費者指定的其他金融機構。
簡評:消費者的金融信息作為特殊類別的個人信息,涉及個人的身份、財產以及征信的多重方面,因此,監管機關在規范金融機構對消費者金融信息的收集和使用上,除兼顧一般性個人信息的保護規則外,還提出了更加嚴格的要求。
(三)《網絡信息內容生態治理規定》
發布時間: 2019年12月15日(2020年3月1日起施行)
發布單位: 國家互聯網信息辦公室
數據合規看點:
1、網絡信息內容的分類規定:根據網絡信息內容生產者制作、復制和發布信息內容的不同,將網絡信息內容劃分為三類,即鼓勵類信息、禁止類信息和限制類信息。其中:(i) 鼓勵類信息指包含宣揚中國特色社會主義、弘揚社會主義核心價值觀及宣揚優秀道德文化和時代精神等內容的信息,鼓勵制作、復制和發布該等信息;(ii) 禁止類信息指包含違反憲法原則、危害國家安全和利益、侵犯他人合法權益等內容的信息,不得制作、復制和發布該等信息;(iii) 限制類信息指包含內容與標題不符、炒作緋聞、丑聞或劣跡、煽動人群或地域歧視等內容的信息,防范和抵制該等信息。
2、網絡信息內容服務平臺應當建立網絡信息內容生態治理機制,健全用戶管理和信息審查處置制度:網絡信息內容服務平臺應當健全用戶管理和平臺信息管理等制度。同時,網絡信息內容服務平臺應當設立網絡信息內容生態治理負責人,配備與業務范圍和服務規模相適應的專業人員。
3、網絡信息內容服務平臺對三類信息的傳播管理:(i) 不得傳播禁止類信息;(ii) 不得在平臺的“重點環節”呈現限制類信息。其中,“重點環節”指首頁、彈窗、熱門、熱搜、精選、榜單、推薦、熱搜詞、默認搜索、聯想詞、預置內容等處于產品或服務醒目位置、易引起使用者關注的環節;(iii) 鼓勵在“重點環節”呈現鼓勵類信息。
4、網絡信息內容服務平臺應加強對個性化算法推薦信息的管理:網絡信息內容服務平臺采用個性化算法推薦技術推送信息的,不得推送禁止類信息或限制類信息,鼓勵推送鼓勵類信息;同時,應當建立健全人工干預和用戶自主選擇機制。
5、熱點問題的規范治理:網絡信息內容生產者、網絡信息內容服務使用者和網絡信息內容服務平臺:(i) 不得通過發布、刪除信息以及其他干預信息呈現的手段侵害他人合法權益或者謀取非法利益;(ii) 不得利用深度學習、虛擬現實等新技術新應用從事法律、行政法規禁止的活動;(iii) 不得通過人工方式或者技術手段實施流量造假、流量劫持以及虛假注冊賬號、非法交易賬號、操縱用戶賬號等行為,破壞網絡生態秩序。
6、法規的部分規則和罰則仍有待進一步細化和明確:就規則層面而言,例如法規要求平臺建立用戶賬號信用管理制度,根據用戶賬號的信用情況提供相應服務,但是,對信用劃分和管理的規則均有待明確;又如法規要求平臺編制信息內容治理工作年度報告,但未明確該等報告的進一步處理;就罰則層面而言,對于網絡信息內容服務平臺的處罰形式主要是約談、警告、責令改正以及責令暫停信息更新,同時,罰則部分又設置了兜底性質的條款,即“按照有關法律、行政法規的規定予以處理”,使處罰的形式不局限于本法規。
簡評:《網絡信息內容生態治理規定》提出了對網絡信息內容服務平臺管理責任的具體化要求,并且對目前網絡信息服務的熱點問題予以了回應;但是,法規的部分規則和罰則仍有待進一步細化和明確。
(四)《工業互聯網企業網絡安全分類分級指南(試行)(征求意見稿)》
發布時間:2019年12月17日
發布單位:工業和信息化部
數據合規看點:
1、工業互聯網企業分類:依據企業屬性,工業互聯網企業劃分為應用工業互聯網的工業企業(“聯網工業企業”)、工業互聯網平臺企業以及工業互聯網基礎設施運營企業。本指南旨在對聯網工業企業網絡安全分級進行規范;工業互聯網平臺企業以及工業互聯網基礎設施運營企業應當按照《通信網絡安全防護管理辦法》的分級方式進行規范。
2、行業指導與地方監管相結合:工業和信息化部對主管行業領域的工業互聯網企業網絡安全工作開展指導管理。地方主管部門對本行政區域工業互聯網企業的網絡安全工作開展指導監管。
3、聯網工業企業分級:根據企業所屬行業網絡安全影響程度、企業規模、企業應用工業互聯網的程度、企業發生網絡安全事件的影響程度等要素將企業分為三個等級。
4、聯網工業企業評級流程:聯網工業企業通過工業互聯網企業網絡安全分類分級管理服務平臺在線填報問卷,形成自評報告;地方主管部門可自行或組織第三方專業服務機構對企業提交的自評報告進行核查確認企業的最終等級并有權要求企業予以補正后再予以確認等級;當聯網工業企業網絡安全風險程度發生重大變化時,應主動重新定級。
5、工業互聯網企業的安全管理規定:根據工業互聯網企業等級的不同,指南中體現了不同的監管力度,詳見下述表格:
簡評:《工業互聯網企業網絡安全分類分級指南(試行)(征求意見稿)》中制定了適用于應用工業互聯網的工業企業的等級分類評定的具體規則,依據該規則,可以將應用工業互聯網的工業企業劃分為一級企業、二級企業和三級企業,并且,根據企業級別的不同,指南中進一步規定了不同程度的規范事項,為工業互聯網企業的網絡安全管理提供了較為詳細的指引。
二、案例事件
(一)工業和信息化部網絡安全管理局2019年一系列檢查結果公示
2019年,工業和信息化部網絡安全管理局(“網絡安全管理局”)按照《國務院辦公廳關于推廣隨機抽查規范事中事后監管的通知》、《工業和信息化部“雙隨機一公開”監管實施辦法》、《工業和信息化部隨機抽查事項清單(2018年版)》等相關要求,組織對部分電信和互聯網企業、域名機構的網絡安全防護工作情況、網絡與信息安全責任落實情況、網絡數據安全保護責任及管理措施落實情況等開展隨機抽查。
2019年12月10日,網絡安全管理局發布工作動態并對上述檢查結果進行公示。工作動態顯示,抽查中共發現68家電信和互聯網企業、域名機構不同程度存在違規情況。經過歸納總結,本次抽查反映的主要問題及對應的存在該問題的企業數量統計如下表所示:
簡評:從上述統計可以看出,就普通用戶及大量互聯網服務提供企業最關注的“互聯網企業”這一統計項目來看,最核心、高發的問題仍然集中在數據保護、安全管理、信息安全保護、安全評估方面,這些問題在抽查的37家互聯網企業當中出現的概率都較高,從一定程度上也反映出對于沒有被抽查到的更廣泛的互聯網服務提供企業來說,這些問題或者類似的問題也可能普遍存在,值得依據法規及時自查,并在被主管機關抽查之前及時整改。
(二)中國人民銀行、公安部對買賣銀行卡或賬戶的個人實施聯合懲戒
2019年12月16日,中國人民銀行(“人民銀行”)與公安部聯合發布通知,為有效遏制買賣銀行卡、賬戶的行為,強化源頭治理的方式,決定依法對買賣銀行卡或賬戶的個人實施懲戒。通知表明,人民銀行已將“3.26”特大販賣銀行卡和企業對公賬戶案中602名涉案個人的信息移送金融信用信息基礎數據庫,銀行業金融機構(“銀行”)和非銀行支付機構(“支付機構”)將對相關個人實施5年內暫停其銀行賬戶非柜面業務、支付賬戶所有業務,并不得為其開立賬戶的懲戒措施。懲戒期滿后,對上述個人辦理新開立賬戶業務的,銀行和支付機構應加大審核力度。通知提出“異議制度”,若個人對懲戒措施提出異議的,銀行和支付機構應當做好解釋說明,若個人不認同公安機關對其認定的,銀行和支付機構應當及時告知個人認定涉案事實的公安機關名稱,個人可以向相關公安機關進行申訴。
簡評:本通知為跨部門聯合下發,提出的懲戒措施是對個人信息犯罪刑事罰則體系的完善和補充。中國人民銀行與公安部聯合實施懲戒工作,一方面公安機關利用極強的偵查能力發現了一批涉嫌違法犯罪的個人;另一方面該等個人當中如有尚不涉及刑事犯罪的個體,則人民銀行可通過類似本次懲戒的手段打擊違法行為。
(三)工信部通報第一批侵害用戶權益行為App
根據《工業和信息化部關于開展App侵害用戶權益專項整治工作的通知》的要求,App侵害用戶權益專項整治行動已按計劃、分階段推進。工業和信息化部(“工信部”)于2019年12月19日發布“關于侵害用戶權益行為的App(第一批)通報”,通報顯示,專項行動中,自查自糾階段共有八千多款App完成整改。監督檢查階段,工信部組織第三方檢測機構對各大應用商店App進行檢查,并進行督促整改。截至該通報發布時,尚有41款App存在問題。經過歸納總結,本次專項行動中反映的主要問題及對應的存在該問題的App數量統計如下表所示:
工信部針對上述通報展開了后續行動,并于2020年1月3日發布通報,通報表明,依據《網絡安全法》和《移動智能終端應用軟件預置和分發管理暫行規定》等法律和規范性文件要求,針對經第三方檢測機構核查復檢、尚未按要求完成整改的3款APP,進行下架處理。
(四)App治理工作組關于61款App存在收集使用個人信息問題的通告
2019年12月20日,App治理工作組發布“關于61款App存在收集使用個人信息問題的通告”,列明了近期在評估中發現的57款App存在收集使用個人信息問題的具體名單和具體問題。此外,該通告也提到,針對7月至10月期間經發送整改通知并建議一個月內整改而至今仍未完成整改的4款App,已將核驗結果提交相關部門,將建議依法予以處置。經歸納總結,本次評估發現的App存在的主要問題及占比如下表所示:
該通告體現的若干具體問題如下表所示:
五、2020年將制定個人信息保護法
2019年12月20日,全國人大常委會法工委在其第三次記者會中介紹,2020年的立法工作計劃已經全國人大常委會第四十四次委員長會議原則通過,備受關注的《個人信息保護法》將于2020年制定。
后記:
海問在網絡安全、數據合規領域積累豐富的經驗,亦持續關注不斷更新的法律法規及與數據合規有關的時事熱點。您可通過如下鏈接瀏覽此前的《海問觀察:網絡安全及數據合規動態》:
《海問觀察:網絡安全及數據合規動態》(2019年9月上半月)
《海問觀察:網絡安全及數據合規動態》(2019年9月下半月-10月上半月)
《海問觀察:網絡安全及數據合規動態》(2019年10月下半月-11月)
實習生朱安琪對本文亦有貢獻。
京ICP備05019364號-1 
京公網安備110105011258
