二、隐私政策未逐一列出App收集使用的个人信息
这一条是隐私政策不合规的重灾区。这里的收集主体不仅仅指App本身,还包括App委托的第三方或嵌入的第三方代码、插件所收集和使用的个人信息。需要披露的内容包括收集使用个人信息的目的、方式、范围等。对应法律条文仍然是《个人信息保护法》第17条“完整告知处理规则”的法定要求。实践中App本身收集使用的个人信息被遗漏的情况很少,嵌入的第三方SDK因不好掌握而会常出现遗漏情形,整改的重点是突出细化“逐一列出”的要求。
三、向他人提供个人信息未履行单独同意与完整告知义务
根据《个人信息保护法》第23条,个人信息处理者向其他个人信息处理者提供其处理的个人信息时,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类等事项,并取得个人的单独同意。当然,此处的“向他人提供个人信息”不包括个人信息委托处理场景。
App在向他人提供个人信息时往往会出现这类问题:未取得单独同意,比如未通过弹窗、勾选等显著方式让用户明确授权,或以默认勾选、捆绑授权等隐蔽方式替代单独同意;未完整告知,未列明第三方接收方的具体身份、处理目的(如“用于广告推送”需明确场景)、处理方式(如共享、转让或公开披露)及信息种类(如仅涉及“浏览记录”需具体说明);另一种为未做匿名化处理,未对提供的个人信息进行去标识化,导致信息接收方能够复原特定自然人身份。
这类隐患的法律后果相比其他问题要严重得多,根据《个人信息保护法》第66条可能面临巨额罚款,且用户可依据《民法典》第1034条主张侵权责任。
四、App未经同意擅自开启权限
如App在用户未明确授权前,即启动个人信息收集程序,比如打开摄像头、位置等敏感权限,这种行为违反了《个人信息保护法》第14条关于“明示同意”的强制性规定。此外,第17条要求告知内容需包含处理目的(如“用于个性化推荐”)、处理方式(如“实时采集”)及权限关联场景(如“开启位置权限以提供周边服务”)。如果隐私政策中仅笼统表述“为提升服务体验”,则构成告知不完整。
此类行为可能会导致用户在不知情的情况下暴露个人信息,可能引发精准诈骗、广告骚扰等风险。所以,同上一隐患一样,这个问题也同样面临着严重的法律后果。工信部联合发布的《App违法违规收集使用个人信息行为认定方法》明确将“征得用户同意前就开始收集个人信息”列为典型违规,监管部门可依据该标准直接判定违法。
针对此类多发隐患,笔者建议App可采用“一权限一告知一同意”模式,在调用敏感权限前通过弹窗独立提示;同时,在隐私政策中逐项列明权限用途及关联场景,避免模糊表述;此外,还应建立动态授权机制,允许用户随时撤回同意并同步停止数据采集。
五、敏感个人信息处理违规
敏感个人信息涉及用户的重要隐私与核心权益,处理此类信息如未取得单独同意、未履行告知义务,会严重侵犯用户的知情权和自主决定权。依据《个人信息保护法》,处理敏感个人信息应当取得个人的单独同意,且需向个人告知处理的必要性及对个人权益的影响。个人信息处理者若未做到上述要求,属于严重违法违规行为。监管部门会依法责令改正,给予警告,没收违法所得,并处以高额罚款;情节严重的,不仅会被责令暂停相关业务或停业整顿,还可能被吊销营业执照,企业将面临沉重的法律代价和经济损失。而且,用户无法充分了解信息处理情况,也就难以对自身敏感信息进行有效保护,使得个人敏感信息面临泄露、滥用的高风险,进而可能遭受身份冒用、骚扰诈骗,严重损害用户的人身和财产安全。
为避免出现此类隐患,App在手机个人信息时要遵循“必要原则”,审查是否为实现现有业务功能的实际需要。
六、用户信息更正、删除及账号注销功能缺失及处理超期
未提供有效的更正、删除及注销功能,直接违反《个人信息保护法》第47条关于个人信息删除权的规定,以及第48条关于处理规则解释说明的义务。比如有些App为注销账号设置“需绑定手机号满3个月”“无未消费余额”等非必要条件,属于《App违法违规收集使用个人信息行为认定方法》第六条明确禁止的“设置不必要或不合理条件”。
还有的App无法通过在线操作及时响应查询、更正、删除请求,且人工处理超15个工作日,违反《个人信息保护法》第50条关于“便捷受理和处理机制”的要求,以及《认定方法》第六条对“承诺时限”的限制。
为避免出现此类隐患,建议App提供独立、显著的在线操作入口,避免跳转至客服或隐藏路径;处理时限不得超过15个工作日,人工审核需明确承诺时限并公示;注销条件应与业务功能直接相关,不要去设置“消费余额清零””绑定时间限制”等非必要门槛。
七、撤回同意途径不畅
用户作为个人信息的所有者,有权自主决定个人信息的处理方式。此类隐患存在两大核心问题:其一,个人信息处理者未向用户提供撤回同意收集个人信息的途径、方式,使得用户即便产生撤回意愿,也无从操作;其二,虽可能设有撤回渠道,但未提供便捷的撤回方式,如设置繁琐的流程、隐藏撤回入口等,增加用户撤回同意的难度,变相阻碍用户行使自身权利。
未提供撤回途径或便捷撤回方式,严重侵犯了用户的自主决定权,使个人信息处于失控状态。用户无法按照自身意愿终止信息收集,可能导致个人信息被过度收集、滥用,进而面临隐私泄露、遭受骚扰诈骗等风险,损害用户的切身利益。
八、自动化决策信息推送与商业营销中拒绝选项缺失
用户失去对接收信息的自主选择权,被迫接收大量基于个人特征的定向推送和商业营销内容,不仅会造成信息过载,干扰正常生活,还可能因过度暴露个人偏好,导致隐私泄露,使用户陷入骚扰、诈骗等风险,严重损害用户的个人权益与信息安全。
《个人信息保护法》明确要求,通过自动化决策方式向个人进行信息推送、商业营销,应同时提供不针对其个人特征的选项,或提供便捷的拒绝方式。企业若未落实,属于违法行为,将面临监管部门责令改正、警告、罚款等处罚,情节严重时,还可能被暂停业务、吊销执照,严重影响企业正常经营。
九、未成年人个人信息处理隐患
《个人信息保护法》规定,处理不满十四周岁未成年人个人信息,必须制定专门的个人信息处理规则,收集时要取得监护人单独同意。个人信息处理者若未落实,属于严重违法。监管部门可责令改正,给予警告,没收违法所得,并根据情节轻重处以罚款。情节严重的,将面临暂停相关业务、停业整顿,甚至吊销营业执照等处罚,企业将承受巨大的法律代价与经济损失。
未成年人身心发育尚未成熟,自我保护能力较弱,其个人信息一旦泄露或被滥用,可能对未成年人造成难以估量的伤害。未制定专门处理规则,无法为未成年人个人信息提供特殊保护;未取得监护人单独同意就收集信息,侵犯了监护人对未成年人信息的知情权与决定权,使得未成年人个人信息暴露在泄露、滥用风险中,严重威胁未成年人的隐私安全和身心健康。此类违规行为一旦曝光,会引发社会公众的强烈谴责,严重损害企业在社会上的声誉与形象。
十、跨境提供信息违规
个人信息跨境传输存在诸多风险,如不同国家和地区法律环境、监管力度不同,可能导致信息被不当处理或泄露。企业除了应当遵循数据出境的相关规定外,还应注意《个人信息保护法》明确规定,个人信息处理者向境外提供个人信息时,必须向个人告知境外接收方详细信息,并取得个人的单独同意。
处理者不告知相关信息且未取得单独同意,严重剥夺了用户的知情权和决定权,使用户对自己信息的流向和用途一无所知,个人信息在境外处于失控状态,极大增加了信息泄露、滥用的风险,直接损害用户的个人信息安全和合法权益。若未履行该义务,属于严重违法违规行为。监管部门有权责令改正,给予警告,没收违法所得,并处以高额罚款;情节严重的,可责令暂停相关业务、停业整顿,甚至吊销相关业务许可证或者营业执照。企业不仅要承担法律责任,还会面临巨大的经济损失与运营压力。
十一、未采取安全技术措施
依据《个人信息保护法》《网络安全法》及GB/T44588-2024《数据安全技术 互联网平台及产品服务个人信息处理规则》等规定,个人信息处理者有义务采取必要的技术措施来保障个人信息安全。例如加密技术可防止信息在传输和存储过程中被非法获取和读取,去标识化能降低个人信息与特定自然人的关联度,减少信息泄露后的风险,建立访问权限分级管控,建立操作日志审计功能以追溯数据滥用行为,科学设置保留与删除机制等等。若未采取系统性安全技术措施来保障信息安全,个人信息一旦遭遇攻击、窃取或系统漏洞,极易被不法分子获取并用于非法活动,如身份盗用、诈骗、精准骚扰等,直接侵害用户的隐私安全、财产安全和人格权益,给用户带来严重的负面影响和损失。
如果个人信息处理者在数据处理过程中,未采取加密、去标识化等关键安全技术措施,使得个人信息在存储、传输和使用环节缺乏有效保护屏障的,会大大增加信息泄露、被窃取和滥用的可能性,为个人信息安全埋下巨大隐患,属于未履行法定安全保护义务的违法行为。
十二、投诉举报处理机制存在违规
此类隐患主要表现在:个人信息处理者未建立便捷的个人行使权利的申请受理和处理机制;未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理。
根据《网络安全法》,此类隐患可能会面临责令改正、警告、没收违法所得、罚款等处罚,情节严重的,还可能被责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。根据《个人信息保护法》,个人信息处理者拒绝个人行使权利的请求,个人可以依法向人民法院提起诉讼。
结语
在数字时代,隐私政策堪称用户权利的“数字宪章”,其价值绝非应付监管的格式化文本,而应成为企业与用户构建信任的核心纽带。若隐私政策存在隐患,不仅会引发用户对企业的负面情绪,损害品牌信誉,更会在网络舆论环境中加速负面评价扩散,导致用户流失、市场竞争力削弱,甚至影响合作伙伴关系,增加企业运营风险。
从动态管理角度看,隐私政策需保持持续更新机制,无法一劳永逸。建议由法律专业人士起草后,技术团队结合App实际功能进行复审调整,最终以用户可理解、易感知的方式完成审核,确保政策内容与用户体验深度契合。
对于监管部门而言,需以包容态度引导企业完善隐私政策,通过柔性监管与企业形成良性互动,最终实现个人信息保护、企业合规发展与社会信任构建的多赢局面。
特别声明:
大成律师事务所严格遵守对客户的信息保护义务,本篇所涉客户项目内容均取自公开信息或取得客户同意。全文内容、观点仅供参考,不代表大成律师事务所任何立场,亦不应当被视为出具任何形式的法律意见或建议。如需转载或引用该文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源。未经授权,不得转载或使用该等文章中的任何内容。
本文作者
返回搜狐,查看更多