移动支付网 作者 伟辰:近日,通联钱包V3.8.8 App被国家移动互联网应用安全管理中心(下文简称CNAAC)公开通报,原因是“隐私不合规”。在通报中,CNAAC没有详细说明通联钱包V3.8.8在隐私保护方面存在什么问题。
除了通联钱包V3.8.8,民生银行V5.12、兴业银行V5.0.4、内蒙古农信V2.4.6、内蒙古银行V2.0.4、海峡银行V2.4.8、鄂尔多斯银行V3.1.0等6家银行App以及多家支付机构旗下App因为同样的原因先后被通报。
或因“未明示收集使用个人信息的目的、方式和范围”
3月30日之前,通联钱包V3.8.8依旧可以在应用商店中进行下载。从版本更新说明来看,被点名之后,通联钱包也没有进行重大更新。
下载安装通联钱包,一打开App,首先出现的就是“是否允许通联钱包获取此设备的位置信息”“是否允许通联钱包访问设备上的文件”以及“是否允许通联钱包获取设备信息”的权限三连问。
以上三个权限如果全部拒绝,将会出现“当前应用缺少必要权限”的提示,如果不理会这个提示,通联钱包依旧会运行。运行之后,出现了“通联钱包隐私权政策”。当然如果权限选择全部允许,也会出现“通联钱包隐私权政策”。
一般用户可能会觉得“通联钱包挺正规啊,隐私政策这么详细,而且一打开就出现了。”但实际上,参照网信办、工信部、公安部、市场监督管理总局等四部委在去年12月30日发布的《App违法违规收集使用个人信息行为认定方法》。
通联钱包这种先申请权限再显示隐私政策的行为,或可被认定为“未明示收集使用个人信息的目的、方式和范围”,属于“在申请打开可收集个人信息的权限时,未同步告知用户其目的”。
目前App在这一步的通常做法是,先弹窗出现隐私政策,再征求同意打开权限。以某知名外卖App为例,在下载安装之后,第一次打开会先出现“温馨提示”,提醒用户阅读“隐私政策”,并进行最基本的说明,结尾会有“同意”、“不同意”两个选项。同意过后,才是权限管理界面。
如果判断得当,“未明示收集使用个人信息的目的、方式和范围”这个理由足够通联钱包因“隐私不合规”被点名,因此我们没有过多研究通联钱包的隐私政策。或许,通联钱包还存在其他不合规的情况。3月30日,通联钱包更新至3.9.0版本,但上述问题并未解决。
自律自检自查或将成为合规重要手段
对于通联钱包来说,它遵循了必要原则,只申请打开三个必要权限,而且哪怕全部拒绝,App同样可以打开运行。
但是合规从来没有“小问题,商量一下,高抬一手”这样的情况,错就是错。不知道被CNAAC因“隐私不合规”而点名的App有多少和通联钱包情况类似。可能他们尽自己全部所能去贴近规范要求了,但依旧不知道自己哪里存在问题。
这种情况下,仔细参照《App违法违规收集使用个人信息行为认定方法》对App进行自我评估是满足合规最好的办法。《移动互联网应用程序(App)收集使用个人信息自评估指南(征求意见稿)》已经面世,也可以作为参照文件。
未来,自律自检自查或将成为App个人信息保护合规的重要手段。
对合规的理解,应从App收集使用个人信息的三个必须遵循的原则:合法、正当、必要出发,然后发散至其他概念,如知情权、同意权、最小权限范围等等。重点在于,使用正确的方法采集必要的信息。
合法,App收集使用个人信息必须有法律依据,收集使用行为必须合法;正当,App收集使用个人信息应遵守道德伦理底线,尊重社会公序良俗,对相关服务方式进行自我管理和审查;必要,不应收集对提供服务而言不必要的个人信息。
未来,个人信息保护合规要求或许需要做到更多的要求,比如移动金融App的安全、信息系统安全、加密传输等等。