时隔一年,是继国家互联网信息办公室对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定后,又一个人信息保护领域的标志性行政执法案例。
依据 个人信息保护法
第六十六条 违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
<hr/>目前披露问题包括:违反必要原则收集个人信息、未经同意收集个人信息、未公开或未明示收集使用规则、未提供账号注销功能、在用户注销账号后未及时删除用户个人信息。
问题
违反必要原则收集个人信息。
即个人信息保护法的最小必要原则。一般场景是指收集的个人信息的类型应与实现产品或服务的业务功能有直接关联;直接关联是指没有上述个人信息的参与,产品或服务的功能无法实现;收集的信息保持着最低频率和最小数量。 未经同意收集个人信息。
即个人信息保护法的合法、正当、授权同意原则。个人信息控制者应当向个人信息主体明示个人信息处理目的、方式、范围等规则,征求其授权同意。同时应当做到:不应以欺诈、诱骗、误导的方式收集个人信息;不应隐瞒产品或服务所具有的收集个人信息的功能;不应从非法渠道获取个人信息。 未公开或未明示收集使用规则。
即个人信息保护法的公开透明原则。以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等,并接受外部监督。主要是这产品中以用户协议、隐私政策的方式公开个人信息收集、存储、使用、加工、传输、提供、公开、删除等全流程,一般是以个人信息收集清单、第三方信息共享清单、信息的存储、用户的权利等条款体现。 未提供账号注销功能。
即个人信息保护法的主体参与原则。向个人信息主体提供能够查询、更正、删除其个人信息,以及撤回授权同意、注销账户、投诉等方法。目前大多数App已按照个人信息保护法等规定的要求,响应用户的删除权,为其提供产品内可以直接实现账号注销功能的交互模块,并这15个工作日内注销完毕。 在用户注销账号后未及时删除用户个人信息。
个人信息主体注销账户后,应及时删除其个人信息或匿名化处理。因法律法规规定需要留存个人信息的,不能再次将其用于日常业务活动中。 |