2013年2月27日,欧洲第29条工作组(由欧盟成员国所有数据保护机构的代表组成的小组,在本文中称为“ WP29”)发布了 意见 有关在移动设备上使用应用程序对隐私和数据保护的影响(“意见”)。该意见主要针对应用程序开发人员,但为应用程序生态系统中的所有参与者(包括操作系统(“ OS”)开发人员和设备制造商,应用程序所有者,应用程序商店以及其他第三方,例如分析和广告提供商)提供建议。该意见为每个参与者列出了“野味”和“建议”,并在一定程度上与美国联邦贸易委员会的工作人员报告一致 移动隐私披露(2012年2月).

意见认为,应用程序的关键数据保护风险是缺乏透明度和缺乏提供有意义的同意的能力。意见认为,由于屏幕尺寸有限,移动设备上的“房地产”受到限制,但是,该声明指出,应适当和充分地告知用户有关其个人信息的使用方式,并在必要时告知用户同意应该获得

范围和适用法律

意见指出 行动应用程式涵盖了 这俩 数据保护指令95/46 / EC电子隐私指令2009/136。通过应用程序处理的大多数数据都是个人数据,包括唯一的设备标识符,用户ID,浏览历史记录,联系数据,电话,SMS,图片和视频。应用生态系统中的任何播放器(无论位于何处)都必须针对EU / EEA中的居民,必须遵守EU / EEA法律。但是,如果仅在设备本身中处理数据而不产生到适用数据控制器的流量,则非EU / EEA控制器是免税的。重要的是,用户接受使用条款或合同协议不会排除欧盟法律的适用性以及数据控制者或处理者的遵守义务。因此,应用程序商店必须在向欧洲/欧洲经济区居民提交和提供应用程序之前,“警告”应用程序开发人员有关欧盟/欧洲经济区的义务,并拒绝不符合要求的应用程序。

注意

该意见强调必须提供全面,易于理解和及时的通知。必须在“当它对消费者重要时,即在应用程序收集此类信息之前”提供通知。实际上,这意味着在安装应用程序之前。此通知要求不仅适用于应用程序开发人员,而且还适用于应用程序商店以及提供预装应用程序的任何操作系统或设备制造商。

通知中至少应包含以下信息:

  • 的实体是 承担法律责任 处理数据以及如何联系该实体。如果涉及多个实体,则应用程序应提供一个单一的联系点。
  • 个人信息类别 将通过该应用进行处理,尤其是在此类类别在直观上不明显的地方。
  • 目的 为其处理信息。 WP29指出,应狭义地描述此类目的,并警告“目的弹性”。
  • 是否与之共享信息数据 第三方.

该意见进一步指出,“在通过应用商店安装应用之前,用户必须掌握处理的基本范围。安装后,还必须在应用程序内提供有关数据处理的相关信息。”实际上,这意味着在安装之前和之后,应用程序开发人员和应用程序商店都承担着确保适当通知的最大负担。 WP29支持分层方法,该方法可在初步通知中提供基本信息,并通过(链接到)完整的隐私政策提供更多信息。该意见还建议发展全行业的视觉徽标,图标或图像。

同意

通过应用程序对数据进行任何处理均需获得同意。 《意见》指出,两种不同的同意制度是重叠的:根据《电子隐私指令》第5条第3款,必须同意才能访问或存储用户设备上的任何信息;并且根据《数据保护指令》,需要同意才能处理个人数据。实际上,对于两种类型的处理都可以获得单个同意。同意应该是“粒状”的,仅单击“安装”按钮是不够的。为了使同意有效,需要自由给予,明确和告知(这对通知的质量和范围尤为重要)。其他法律依据可在以后阶段(使用应用程序期间)用于处理,但只有应用程序开发人员才能使用。

小孩儿

该意见还呼吁特别注意适用的国家年龄要求。欧盟成员国的许多国家隐私法都要求某些年龄的未成年人获得父母的同意。此外,即使可以从未成年人合法获得同意并且该应用程序旨在供未成年人使用,开发人员也应特别注意未成年人对数据处理信息的理解和关注可能有限。开发人员和应用商店应相应地调整其通知和数据处理实践。 WP29进一步指出,绝对不应将儿童数据(无论是直接还是间接)用于行为广告目的,因为这将超出儿童理解的范围。

安全和保留

应用程序开发人员应特别注意其应用程序的安全性,并在应用程序的设计阶段实施安全注意事项。他们还应仔细考虑将数据存储在何处(本地存储在设备上还是远程存储),而不使用持久性(特定于设备的)标识符,而是使用特定于应用程序或临时的设备标识符,以避免随着时间的推移跟踪用户。

同样,应用程序开发人员必须考虑到收集的个人信息的适当保留期限,同时考虑到用户可能会丢失其设备或切换设备。建议应用程序开发人员实施一些程序,以在定义的闲置时间后将帐户视为过期。

不同的玩家

尽管《意见》在许多要求和建议中都提到了应用程序开发人员,但WP29承认责任由不同参与者共同承担。该意见指出,每个应用程序都应为用户提供一个联系点,“对通过该应用程序进行的所有数据处理承担责任”。该意见提供以下建议:

  • 应用商店 通常是数据控制器,尤其是当它们促进应用程序的预付款,支持应用程序内购买并需要用户注册时。应用商店应:(i)与操作系统和设备制造商合作开发用户控制工具(例如表示对数据的访问的符号),并将其显示在应用商店中; (ii)在准入政策中实施检查,以消除恶意应用,然后再将其在商店中使用(并向用户提供有关此类提交检查的详细信息); (iii)根据通知和同意实施隐私友好的远程卸载机制; (iv)与应用开发者合作,主动通知用户有关数据安全漏洞的信息; (v)考虑使用公共信誉机制,用户不仅可以根据应用的受欢迎程度来评估应用,还可以根据隐私和安全性对应用进行评估。
  • 操作系统和设备制造商 通常是数据控制器(或联合控制器)在出于自身目的(例如,设备的平稳运行,安全性,备份或远程设施位置)处理数据时。操作系统和设备制造商应:(i)开发技术机制和界面,以提供足够的用户控制权,特别是在应用程序首次启动时或应用程序首次尝试访问具有重大影响的数据时通过内置的同意机制关于隐私(这也适用于预安装的应用程序); (ii)确保应用程序开发人员实施足够的粒度控制,并且只能访问应用程序正常运行所需的数据; (iii)确保用户可以通过简单的方式阻止对数据的访问并卸载应用程序; (iv)实施机制,以告知用户有关应用程序的功能,应用程序可以访问的数据以及提供更改处理参数的设置(操作系统和设备制造商共同承担此责任) 应用商店); (v)在设备上建立清晰的审核记录,以便最终用户可以查看哪些应用程序正在访问其设备上的哪些数据; (vi)防止对用户进行秘密监视,并建立一种避免广告商和其他第三方进行在线跟踪的机制(尤其是默认设置必须为“诸如避免任何跟踪”); (vii)通过加强身份验证机制,启用强大的加密机制并提供安全更新来确保安全性。
  • 广告提供商,分析提供商和通信服务提供商 充当数据处理器,它们在其中为应用程序所有者执行分析等操作,前提是他们不为自己的目的处理数据或在应用程序开发人员之间共享数据。在这种情况下,此类第三方的责任有限,主要涉及数据安全。但是,第三方是数据控制者,他们在其中跨应用程序收集或共享数据,提供附加服务或“大规模”提供分析数据,例如应用程序流行度和个性化推荐。在这种情况下,第三方应:(i)获得有关行为性或针对性广告的同意,以及访问或存储设备上的任何信息; (ii)应用安全要求,尤其是安全数据传输以及唯一设备和应用程序标识符以及其他个人数据的加密存储。在通信服务提供商发行品牌设备的地方,他们必须确保任何预装的应用程序都征得其同意。广告提供商不得在应用程序上下文之外投放广告,例如通过修改后的浏览器设置投放广告或在移动桌面上放置图标。广告商应进一步避免使用唯一的设备或订户ID进行跟踪。