App违法违规收集使用个人信息有了认定方法,数字广告没法做了?

App违法违规收集使用个人信息有了认定方法,数字广告没法做了?

一个关于个人隐私保护的国家级通知赶在2020年到来之前发布,引来了行业关注。

2019年12月30日,国家互联网信息办公室、工信部、公安部和国家市场监督管理总局四部门联合印发了《App违法违规收集使用个人信息行为认定方法》,明确了6大类31种行为属于APP违法违规收集使用个人信息。

以上《认定方法》对不少APP“打擦边球”式的用户信息收集方式作出了详细规定。

比如说“隐私政策等收集使用规则难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等”,会被认定为“未公开收集使用规则”; “有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等”,会被认定为“未明示收集使用个人信息的目的、方式和范围”; “未经用户同意更改其设置的可收集个人信息权限状态,如App更新时自动将用户设置的权限恢复到默认状态”,会被认定为“未经用户同意收集使用个人信息”;而之前曾经困扰很多用户的某些平台账号无法注销的问题,也有了明确规定,如“未提供有效的更正、删除个人信息及注销用户账号功能”“为更正、删除个人信息或注销用户账号设置不必要或不合理条件”等行为也是违规的。

值得关注的是,APP对用户的个人信息不能再随意收集和使用,对于依赖大数据和技术的数字营销行业来说,可能会带来影响。

数字营销通常会依靠数据进行“用户画像”—— 即通过收集、汇聚、分析个人信息,对某特定自然人个人特征,如其职业、经济、健康、教育、个人喜好、信用、行为等方面做出分析或预测,形成其个人特征模型的过程。而接下来就是针对特定人群的“精准营销”,你一定会有类似的体验,比如在浏览器中搜索了某些信息,打开另外的网页或应用,就会收到你之前搜索过的相关产品的广告推送。

从事数字营销行业的技术人士方微告诉界面新闻,APP收集个人信息威力主要在于SDK(软件开发工具包)一旦嵌入,如果你注册登录了这个APP,并默认授权,所有的行为数据都能记录,它会在不知不觉中爬取手机通讯详单、聊天记录、银行账号的密码口令等等。

“不公开数据和公开数据都有可能被SDK收集,但造成的结果就是数据常常会被滥采或滥用。因此APP对于个人信息收集确实需要被规范。”方微说。

事实上,不是所有的APP都需要收集用户的电话号码、身份证、银行账号这样敏感的个人信息,但几乎所有的APP都需要收集设备ID及其他数字化的ID。

某资讯类APP的产品经理张嘉对界面新闻解释称,通常APP为了监测日活跃用户数量,会接入第三方的监测平台,通过安卓端可以收集用户的IMEI和MAC信息。

IMEI和MAC信息就是设备ID的一种。IMEI指的是“国际移动设备识别码(International Mobile Equipment Identity)”,即通常所说的手机序列号、手机“串号”,用于在移动电话网络中识别每一部独立的手机等移动通信设备,相当于移动电话的身份证。而MAC是手机的网卡地址,如果假设一位用户只有一部手机的话,每一个MAC地址对应了一位用户。

“根据整改通知,上述信息的收集和使用,必须要先经过用户同意。”张嘉说。

不过在纷析数据创始人、大数据分析专家宋星看来,12月30日发布的《认定办法》没有谈的最关键问题,是如何界定“个人信息”。

他认为,按照目前国家已经生效的法律法规来看,IMEI、OpenID、cookie等设备ID及其他数字化的ID,都还不能明确被认定为个人信息。而国标35273(《信息安全技术个人信息安全规范》),则认为上面的这些ID都算个人信息。

“应该听谁的?”他表示,广告主和APP们最要谨慎的,还是手机号码和身份证这类很实名的信息。至于各种ID的问题,则没有答案,“保持一定的灰色,既不完全禁止,也不完全放开”。

上述《认定方法》到底会对广告行业带来哪些具体的影响,关键还取决于执行力度。“对广告行业的具体影响业内还在谨慎观察中,但是一定会促进APP开发者和行业合规地获取数据,在一定程度上也对SDK获取数据和使用数据起到了管束效果。”方微告诉界面新闻。