吳鷹律師：APP拉新中如何避免侵公犯罪

吳鷹律師：APP拉新中如何避免侵公犯罪

在APP拉新活動(dòng)中，為避免非法收集他人公民個(gè)人信息，可從以下幾個(gè)方面著手：

一、遵循合法、正當(dāng)、必要原則

明確收集目的、方式和范圍：網(wǎng)絡(luò)運(yùn)營者收集、使用公民個(gè)人信息，應(yīng)當(dāng)明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。例如，若APP拉新活動(dòng)旨在獲取新用戶注冊(cè)，那么僅收集必要的手機(jī)號(hào)碼、驗(yàn)證碼等信息即可，且要在活動(dòng)頁面顯著位置告知用戶收集這些信息是用于注冊(cè)賬號(hào)，收集方式是通過用戶手動(dòng)輸入，收集范圍僅限于手機(jī)號(hào)碼和驗(yàn)證碼。確保信息與服務(wù)相關(guān)：不得收集與其提供的服務(wù)無關(guān)的公民個(gè)人信息。比如一款美食類APP拉新，就不應(yīng)收集用戶的房產(chǎn)信息等與服務(wù)無關(guān)的內(nèi)容。

二、獲得用戶明確同意

征得同意前不收集信息：不得在征得用戶同意前就開始收集個(gè)人信息或打開可收集個(gè)人信息的權(quán)限。例如APP運(yùn)行時(shí)，不能缺乏向用戶明示且征求用戶同意的環(huán)節(jié)就收集IMEI、設(shè)備MAC地址、通訊錄等個(gè)人信息。可以通過抓包測試來檢測在征得用戶同意前是否向服務(wù)端發(fā)送了個(gè)人信息，對(duì)于不合規(guī)的地方及時(shí)修復(fù)改進(jìn)。采用非默認(rèn)勾選方式：應(yīng)當(dāng)采取非默認(rèn)勾選的方式征得用戶同意。比如在隱私政策彈窗中，同意按鈕可設(shè)置為“同意、愿意、允許、接受、可以”，拒絕按鈕可設(shè)置為“拒絕、不同意、暫不同意、暫不使用、退出、取消、僅瀏覽”，且注冊(cè)/登錄界面默認(rèn)不勾選“我已閱讀隱私政策”勾選框，必須要求用戶閱讀隱私政策后自行勾選。尊重用戶選擇權(quán)：在取得用戶同意前或者用戶明確表示拒絕后，不得處理個(gè)人信息；個(gè)人信息處理規(guī)則發(fā)生變更的，應(yīng)當(dāng)重新取得用戶同意。例如用戶拒絕了某項(xiàng)權(quán)限申請(qǐng)，APP不應(yīng)再通過其他方式變相獲取該權(quán)限，且在隱私政策更新時(shí)，若涉及信息收集范圍變化，需重新獲得用戶同意。

三、確保信息收集的必要性

收集類型和權(quán)限與業(yè)務(wù)功能匹配：收集的個(gè)人信息類型或打開的可收集個(gè)人信息權(quán)限應(yīng)為現(xiàn)有業(yè)務(wù)功能所必需或有合理的應(yīng)用場景，不得過度收集或過度索權(quán)。例如，社交類APP拉新時(shí)，收集用戶的頭像、昵稱等信息是必要的，但收集用戶的醫(yī)療健康信息則超出了必要范圍。不強(qiáng)制用戶提供非必要信息：不得因用戶不同意收集非必要個(gè)人信息或打開非必要權(quán)限，而拒絕提供業(yè)務(wù)功能。比如APP不能因?yàn)橛脩舨煌馓峁┘彝プ≈沸畔⒕妥柚褂脩糇?cè)使用。新增功能合理申請(qǐng)權(quán)限：當(dāng)新增業(yè)務(wù)功能申請(qǐng)收集的個(gè)人信息超出用戶原有同意范圍，若用戶不同意，不得拒絕提供原有業(yè)務(wù)功能（新增業(yè)務(wù)功能取代原有業(yè)務(wù)功能的除外）。例如APP更新增加了新的游戲功能，需要收集用戶的游戲時(shí)長信息，若用戶不同意，不能因此讓用戶無法使用APP原有的聊天功能。

四、保障信息安全

建立健全用戶信息保護(hù)制度：網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)建立健全用戶信息保護(hù)制度，加強(qiáng)對(duì)用戶個(gè)人信息、隱私和商業(yè)秘密的保護(hù)。例如制定完善的內(nèi)部信息安全管理制度，明確員工在處理用戶信息時(shí)的職責(zé)和權(quán)限。采取技術(shù)和管理措施：采取技術(shù)措施和其他必要措施，確保公民個(gè)人信息安全，防止其收集的公民個(gè)人信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生信息泄露、毀損、丟失的情況時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，告知可能受到影響的用戶，并按照規(guī)定向有關(guān)主管部門報(bào)告。例如對(duì)用戶信息進(jìn)行加密存儲(chǔ)，定期進(jìn)行信息安全檢查和評(píng)估，及時(shí)發(fā)現(xiàn)和解決安全隱患。

五、規(guī)范第三方合作

對(duì)合作方進(jìn)行盡調(diào)：對(duì)于共享或授權(quán)個(gè)人信息數(shù)據(jù)給合作方，應(yīng)對(duì)其數(shù)據(jù)來源、是否獲得用戶授權(quán)以及授權(quán)的范圍進(jìn)行必要的盡調(diào)，以防止產(chǎn)生連帶法律責(zé)任。比如APP與第三方廣告公司合作推廣拉新活動(dòng)時(shí)，要確保第三方公司合法合規(guī)收集和使用用戶信息。簽訂協(xié)議明確責(zé)任：與合作方簽訂個(gè)人信息處理協(xié)議，明確雙方相關(guān)權(quán)利義務(wù)，并對(duì)第三方服務(wù)提供者的個(gè)人信息處理活動(dòng)和信息安全風(fēng)險(xiǎn)進(jìn)行管理監(jiān)督。若第三方服務(wù)提供者未盡到監(jiān)督義務(wù)，APP開發(fā)運(yùn)營者應(yīng)依法與其承擔(dān)連帶責(zé)任。

六、完善隱私政策

詳細(xì)說明信息處理規(guī)則：制定詳細(xì)的隱私政策，明確用戶數(shù)據(jù)的收集、使用和保護(hù)措施。隱私政策中需對(duì)個(gè)人信息收集的目的、方式、范圍做準(zhǔn)確與詳盡的闡述，且在用戶主動(dòng)同意后才進(jìn)行權(quán)限申請(qǐng)與用戶信息收集。例如在隱私政策中清晰說明收集的用戶手機(jī)號(hào)碼僅用于注冊(cè)和接收驗(yàn)證碼，不會(huì)用于其他用途。確保隱私政策易獲取和理解：進(jìn)入App主功能界面后，通過4次以內(nèi)的點(diǎn)擊，能夠訪問到隱私政策，且隱私政策鏈接位置突出、無遮擋。隱私政策、APP收集個(gè)人信息列表、共享信息列表、APP使用權(quán)限列表需要放在二級(jí)菜單，同時(shí)隱私政策文本內(nèi)容要規(guī)范，避免使用模糊、歧義的語言。