2019APP违法违规收集使用个人信息专项治理报告.pdf

APP违法违规收集使用个人信息专项治理报告2019APP 专项治理工作组Personal Information Protection Task Force on APPs2019年1月，中央网信办、工业和信息化部、公安部、市场监管总局四部门联合发布关于开展APP违法违规收集使用个人信息专项治理的公告，在全国范围组织开展APP违法违规收集使用个人信息专项治理，并成立APP违法违规收集使用个人信息专项治理工作组（以下简称“APP专项治理工作组”）。一年来，专项治理工作成效显著，APP违法违规收集使用个人信息行为认定方法个人信息安全规范等标准规范相继出台完善，用户规模大、与生活关系密切、问题反映集中的千余款APP经深度评估后进行了有效整改，无隐私政策、强制索权、无注销渠道等问题明显改善，APP运营者履行个人信息保护责任义务的能力和水平明显提升，全社会关注和重视个人信息安全的氛围基本形成。本报告介绍了治理工作开展情况，包括技术规范制定、举报信息受理、专业机构检测评估、问题督促整改及处置，以及四部门全面推进深化治理等。报告引用多方数据，客观分析了个人信息保护相关突出问题、企业能力、民众意识、社会影响等方面的发展变化趋势，展示了治理工作成效。最后，在总结2019年治理工作经验的基础上，就持续开展治理工作、培育良好移动互联网生态，提出了具体建议。序言序言 一、加强APP个人信息保护势在必行 二、2019年专项治理工作概述 （一）专项治理整体工作思路 （二）四部门多措并举深化治理 三、2019年专项治理工作成效分析 （一）评估和举报数据显示，典型违法违规问题得到遏制 （二）不同时期数据对比显示，企业个人信息保护能力水平显著提升 （三）媒体报道和问卷调查显示，专项治理初见成效（四）APP个人信息保护相关技术文件、科普知识等得到广泛传播 四、持续开展专项治理工作的建议 附件一:关于开展APP违法违规收集使用个人信息专项治理的公告附件二: 关于印发APP违法违规收集使用个人信息行为认定方法的通知 010303050707111419222628一、加强APP个人信息保护势在必行01当前，我国已经全面进入移动互联网时代，近9亿网民中手机上网比例高达99.1%，移动互联网服务便捷、即时、普惠的特点在移动互联网应用程序（APP）中得到充分体现。据不完全统计，移动互联网应用商店上架推广的APP有近400万款，总下载量超万亿次。用户每天在各类APP上平均花费时长达4.9小时，占用户日均上网时长的81.7%。APP的广泛应用，在促进经济社会发展、服务民生等方面发挥着不可替代的作用。但与此同时，APP强制授权、过度索权、超范围收集个人信息的现象普遍存在，未制定并公开隐私政策、未经用户同意收集个人信息、未提供注销账号功能等不规范行为屡见不鲜，个人信息泄露、滥用等情形时有发生，广大网民对此反映强烈。中国互联网协会发布的中国网民权益保护调查报告2016显示，2016年国内6.88亿网民因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失估算达915亿元。54%的网民认为个人信息泄露情况严重，84%的网民曾亲身感受到因个人信息泄露带来的不良影响。南方都市报个人信息保护研究中心于2017年发布的关于收集个人信息“明示同意”的测评报告与建议显示，被测评的100款APP中仅有11%做到了“明示同意”，在制定了隐私政策的APP中，绝大部分也采取“默认勾选”方式。中国消费者协会在2018年开展的APP个人信息收集与隐私政策测评结果显示，在收集个人信息方面，纳入测评的100款APP普遍存在涉嫌过度收集个人信息的情况，其中59款涉嫌过度收集“位置信息”，28款涉嫌过度收集“通讯录信息”，23款涉嫌过度收集“身份信息”，22款涉嫌过度收集“手机号码”等。为规范个人信息的收集使用，打击涉个人信息违法犯罪行为，国家相继出台个人信息保护相关法律法规。2012年全国人民代表大会常务委员会关于加强网络信息保护的决定、2014年实施的消费者权益保护法、2017年实施的网络安全法均对收集使用个人信息的法律责任和义务作出规定；刑法修正案（七）、刑法修正案（九）以及最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释中，明确了侵犯公民个人信息犯罪行为的界定和处罚；2017年实施的民法总则强调，自然人的个人信息受法律保护。同时，个人信息保护法已纳入十三届全国人大常委会的立法规划，并已经形成草案稿。然而，数字时代，数据成为企业竞相争夺的战略资源，个人信息更是最具价值的核心资源，很多企业“跑马圈地”、“野蛮生长”，将获取和利用个人信息作为其核心商业目标，而移动互联网免费服务模式更是加剧了其对个人信息的依赖性，导致个人信息安全问题呈现多样化、复杂化特点。2017年底，全国人大常委会执法检查组关于检查、实施情况的报告中“万人调查”结果显示，部分受访者认为，“一法一决定”中关于用户个人信息保护的多项制度落实得并不理想，举报难、投诉难、立案难现象比较普遍，免费应用程序普遍存在过度收集用户信息、侵犯个人隐私问题。互联网公司和公共服务02部门存储了大量公民个人信息，但安防技术滞后。用户信息泄露呈现渠道多、窃取违法行为成本低、追查难度大等特点，因用户信息泄露引发的“精准诈骗”案件增多，给人民群众财产安全造成严重危害。报告还提出针对上述问题的建议，包括开展监督检查和评估措施、加大打击力度、加强完善投诉受理机制。近年来，各有关部门高度重视贯彻落实个人信息保护相关法律法规，积极开展工作，完善个人信息保护监督管理机制，打击违法违规收集使用个人信息行为，引导相关企业和公共服务机构强化保护措施，保障公民合法权益。2017年，为确保网络安全法中个人信息保护相关要求有效实施，提升网络运营者个人信息保护水平，中央网信办、工业和信息化部、公安部、国家标准委四部门联合开展隐私条款专项评审工作，对微信、淘宝等十款网络产品和服务的隐私条款进行评审，督促引导其改进完善隐私条款，提升个人信息保护水平。2019年，儿童个人信息网络保护规定发布实施，数据安全管理办法（征求意见稿）、个人信息出境安全评估办法（征求意见稿）完成向社会公开征求意见，个人信息安全规范等国家标准已经发布实施并得到广泛应用。有关部门持续开展了一系列个人信息保护相关监管执法活动，有关社会组织推动社会各界密切关注个人信息保护，引导企业加强合规自律。2. 坚持依法治理，明确评估重点针对广大网民反映强烈的APP强制授权、过度索权、超范围收集个人信息等问题，坚持以网络安全法等法律法规为准绳，制定发布APP违法违规收集使用个人信息行为认定方法（详见附件二），将APP违法违规收集使用个人信息行为概括为“未公开收集使用规则”、“未明示收集使用个人信息的目的、方式和范围”、“未经用户同意收集使用个人信息”、“违反必要原则，收集与其提供的服务无关的个人信息”、“未经用户同意向他人提供个人信息”、“未按法律规定提供删除或更正个人信息功能或未公布投诉、举报方式等信息”六类行为，为统一监管执法尺度提供参考。此外，专项治理工作委托全国信息安全标准化技术委员会组织修订国家标准个人信息安全规范，编制国家标准移动互联网应用程序（APP）收集个人信息基本规范，明确APP收集使用个人信息时应满足的基本要求，以及30类大众化APP基本业务功能可收集的最小必要信息，细化落实个人信息收集使用的必要性要求。03（一）专项治理整体工作思路二、2019年专项治理工作概述2019年1月，中央网信办、工业和信息化部、公安部、市场监管总局四部门联合发布关于开展APP违法违规收集使用个人信息专项治理的公告（详见附件一），决定自2019年1月至12月，在全国范围内组织开展APP违法违规收集使用个人信息专项治理。专项治理工作建立了专门针对APP违法违规收集使用个人信息行为的举报渠道，受理网民投诉举报。截至2019年12月，微信公众号“APP个人信息举报”已有超3万名用户关注，共收到网民举报信息12125条，涉及2300余款APP。其中匿名举报信息8142条，占比67.15%；实名举报信息3983条，占比32.85%。从举报量来看，前五大典型问题分别为：超范围收集与功能无关个人信息、强制或频繁索要无关权限、存在不合理免责条款、无法注销账号、默认捆绑功能并一揽子同意。对于网民举报信息，APP专项治理工作组逐条进行核验，将问题属实、下载量大、用户常用的APP纳入到重点评估范围。1. 坚持网络安全靠人民，建立举报平台3. 坚持科学评估，遴选专业评估力量确保评估工作的科学性、专业性、公正性，专项治理工作综合考虑机构资质背景、人员规模、技术实力、测评经验、管理水平等因素，遴选14家专业评估机构对APP收集使用个人信息情况进行评估。同时，分批次对评估机构进行培训，由评估机构遵照专项治理工作的技术规范文件和工作流程开展评估工作。4. 坚持宣传科普，扩大专项治理效应坚持网络安全为人民，专项治理工作加大宣传和科普力度，通过广大网民喜闻乐见的渠道和方式推广个人信息保护科普知识，提升网民个人信息保护意识和技能，切实保障人民群众在网络空间的合法权益。一是借助315晚会、高考等关键时间节点，曝光问题严重的APP、专题发布典型问题APP评估结果，引起全社会的关注和重视，避免广大网民利益受损；二是通过专项治理微信公众号发布科普文章，将个人信息保护知识进行通俗化解读，向网民普及正确的个人信息保护知识；三是联合其他媒体进行APP收集使用个人信息情况问卷调查，走群众路线，充分了解民情民意，并以此为基础，持续推进工作开展。042019年3月15日，中央网信办、市场监管总局联合印发关于开展APP安全认证工作的公告，推动建立APP个人信息安全认证制度，按照APP运营者自愿申请的原则，由具备资质的认证机构依据相关国家标准对APP收集、存储、传输、使用个人信息等活动进行评价，符合要求后颁发安全认证证书并允许使用认证标识。通过鼓励搜索引擎和应用商店等明确标识并优先推荐通过认证的APP等方式，引导消费者选用安全的APP产品，利用市场机制的引领作用进一步规范APP运营者的研发和推广行为，形成APP领域个人信息保护的长效机制。目前认证试点工作已经启动，首批试点对象包括15家企业的28款APP。（二）四部门多措并举深化治理1. 中央网信办、市场监管总局联合推动建立APP个人信息安全认证制度15家企业28款APP试点认证2. 工业和信息化部开展“电信和互联网行业提升网络数据安全保护能力专项行动” “APP侵害用户权益专项整治工作”整改 通报 下架236 56 3款 款 款工业和信息化部开展“电信和互联网行业提升网络数据安全保护能力专项行动”，从完善制度标准、开展合规性评估、强化社会监督和行业自律等方面综合施策，加快推动构建行业网络数据安全综合保障体系。推动制定网络数据安全标准体系建设指南、数据分类分级、安全评估等30余项重点行业标准。印发行业网络数据安全合规性评估指05