前言
微信小程序的应用收获了市场的火爆响应,这一成功实践激发了国内华为、VIVO等手机厂商挖掘对标微信小程序的快应用的市场红利,因此,2018年起,为了促成公司转型,获得市场更高估值,开辟高利润的互联网业务,华为、中兴、努比亚、联想、魅族、vivo、OPPO、小米、一加、金立,一共十家头部手机厂商宣布组成快应用联盟,开辟一块全新的移动客户端轻应用蓝海。快应用是基于手机硬件平台的新型应用模式,在运行快应用时原则上应当参照移动APP的规范合理获取和使用用户信息,规范推送或一键关联其他应用,但在实践过程中当前的头部厂商们却在快应用的关联启动、信息收集、广告推送上存在一些不合规的操作,导致开发快应用的企业很可能陷入刑事犯罪的泥沼。 什么是快应用 快应用是十大手机厂商基于硬件平台共同推出的新型应用生态,其特点在于使用安卓系统的手机用户无需下载安装APP,即点即用,享受原生应用的性能体验。对标微信小程序,快应用和微信小程序都具有无需下载,即点即用,享受原生应用基础功能的使用体验,不占用大量内存的优点。但是快应用与微信小程序也存在诸多技术和使用方式上的不同。从打开方式上看,微信小程序只能从微信中打开。而快应用则可以从手机的快应用中心打开,或通过桌面快捷图标、浏览器搜索、智能短信、负一屏、智慧识屏、网页跳转、语音唤起等方式打开。从软件基础角度看,小程序依附于微信生态圈,而快应用无需基于任何软件基础,其直接深入结合手机操作系统,实现用户需求同应用服务间的极速衔接。同时,二者在文档组成、设计代码等技术层面也存在显著差异。 当前快应用存在的不合规现象 在决定推广快应用这一新兴应用生态时,十大手机厂商便组成快应用联盟,担任行业自治机构,设定快应用的上架标准,并负责形式审核待上架快应用的合规性。结合快应用联盟发布的快应用自查指南可以发现,鉴于,快应用具有与一般移动互联网应用(APP)相同的应用场景及功能,基于同样的权限向用户提供服务,快应用的审核标准基本与一般移动互联网应用相同。除快应用功能和内容需要遵守国家基本的法律法规外,在涉及用户隐私和权限的功能上也都应当遵循“合法正当原则”、“知情同意原则”和“最小必要原则”。在华为快应用中心打开可以发现,大部分快应用恪守上述开发规则,例如趣头条、西瓜小说、山东快报、唯品会、京东、菜鸟等等,但是,也有不少快应用中仍旧存在踩住上述标准红线的功能。 1、首次启动未弹出用户协议与隐私政策 移动互联网应用和快应用在被用户开启和使用时,必然会涉及到收集用户隐私并申请用户权限的问题。根据《GB/535279-2020信息安全技术 个人信息安全规范》第五条规定,收集个人信息时,应当向个人信息主体告知收集、使用个人信息的目的、方式和范围等规则,并获得个人信息主体的授权同意。当前大部分不合规快应用中都存在违反该项规则的情况,仅在华为快应用中心搜索就可发现,包括腾讯新闻、新浪新闻、凤凰视频、聚美优品、屈臣氏官方商城、当当极速版这些知名快应用,在首次开启快应用时,并没有弹出用户协议与隐私政策,用户即可使用快应用的基础功能。 还存在一种情况,即在开启快应用后,运营方会申请用户同意快应用获取用户的地理位置信息,待用户同意后,用户即可使用快应用的基础功能,快应用也未弹出用户协议或隐私政策,例如一点资讯、万能WIFI钥匙管家。 2、 用户协议与隐私政策形同虚设 除了上述提及的不主动弹出用户协议与隐私政策的情况,当前还存在虚设公开收集使用规则的情况。例如,快应用“量子浏览器”虽然在开启时主动弹出了用户协议与隐私政策,但是若用户点击不同意,该快应用并非终止提供服务,用户仍旧可以使用浏览器的搜索功能。这意味着“量子浏览器”后台会同时运行记录用户的使用数据,开启时的弹出框形同虚设。 3、 隐私政策未独立成文或不易于访问 为提高个人信息保护水平,当前要求APP运营必须设立独立的《隐私政策》确保用户知情权。2019年3月APP专项治理工作组发布《APP违法违规手机使用个人信息自评估指南》,要求各APP评估其隐私政策是否独立、单独成文、易于访问、易于阅读。但是实践中一般APP和快应用都出现了运营方将隐私政策直接囊括在用户协议之中,未明示快应用收集个人信息的目的、类型、范围等规则。或者部分快应用存在将用户协议与隐私政策以明显过小的文字链接置于手机屏幕底端,用户可能需要通过4次以上的点击才能打开隐私政策的现状。 4、快应用自启动或第三方关联启动未经用户同意 依据《APP用户权益保护测评规范自启动和关联启动行为》第三条中的规定,在无合理使用场景下,APP未明示且未经用户同意不得启动或关联启动其他APP。但这一现象广泛存在于小说类快应用之中,例如在快应用阅读界面插入广告推广链接,用户误触该广告后,则直接出现一键拉起另一个快应用的现象。或者在打开一快应用的短时间内关联启动另一个快应用的现象。根据《APP用户权益保护测评规范第7部分:欺骗误导强迫行为》第六条中规定,APP不应以欺骗、误导或者强迫等方式向用户提供互联网信息服务或者产品。未告知用户则直接一键拉起第三方快应用,明显违反了知情同意原则,也涉嫌“强迫向用户提供互联网信息服务或产品”。 5、在未获得用户权限和信息授权或用户离开页面后,快应用跳转后台挂起 当前在关闭快应用的使用体验中存在几种情况。一是,用户在开启快应用后,若未同意用户协议与隐私政策,部分快应用并非直接关闭快应用,而是将快应用跳转至后台挂起。一是,用户在使用快应用功能的过程中,离开页面后快应用也并非直接关闭,而是在后台挂起。这种跳转至后台挂起的快应用,只有用户至后台终止快应用运行时才能关闭。 6、用户信息收集未规范获得用户授权 根据《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》3.5是否以默认选择同意隐私政策等非明示方式征得用户同意,a)在首次运行、用户注册时,可通过弹窗、突出链接等名师方式提醒用户阅读隐私政策后征求用户同意,不采用默认勾选隐私政策等非明示方式。但令人遗憾的是,不少快应用仍旧存在进入应用主界面后,弹出默认勾选用户协议与隐私政策的弹框,用户极易误触同意按键,在违背个人意愿的情况下对快应用授权。 7、隐私政策内容不完备 根据《GB/T 35273-2020 信息安全技术 个人信息安全规范》以及《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》中的相关,信息收集者所提供的隐私政策除了要公开信息使用规则外,还需要告知用户,关于个人敏感信息收集的独立申请规定;对信息的存储、使用及保护的规定;对外信息交互规则;说明第三方代码、插件(如SDK)的类型或名称,及收集个人信息的目的、类型、方式等。而大部分快应用出示的隐私政策中,容易缺少对于个人敏感信息以及未成年人个人信息收集的独立申请规定和对于第三方代码、插件获取和分享个人信息的情况。 快应用可能涉嫌的刑事风险 快应用在开启之后,其后台便会开始记录用户的浏览信息,在此基础上若未经用户同意,不规范使用、传输用户的信息,快应用运营方则有很大的涉刑风险。 1、 非法获取计算机信息系统数据罪 分析上述快应用存在的不合规现象,快应用在未出示用户隐私协议的内容或者未在隐私协议中明示公示信息的收集、使用、第三方共享的范围、规范,此时若快应用向用户提供基础服务时后台同时在记录用户使用数据并形成数据包,因为用户处在未知情同意且未明确授权的状态,此时,运营方则不具备正当合法的授权基础,则很可能碰触非法获取计算机信息系统数据罪的红线。 2、 侵犯公民个人信息罪 在快应用的用户信息收集的过程时,若快应用未向用户明确公开其收集信息的规则以及就其敏感信息单独申请权限,而直接在用户登录的过程中收集用户的敏感信息,或者快应用未在隐私协议中明确与第三方应用共享授权数据的使用规则或并未获取用于对于第三方应用的信息分享权限,就将含有公民个人敏感信息的数据在授权范围外传输给其他应用方,则其很可能将面临公诉机关对其提起侵犯公民个人信息罪的指控。 3、非法控制计算机信息系统罪 快应用在未经用户同意自启动或者关联启动第三方程序,此时,无论是通过快应用的无感暗拉或者广告链接一键拉起,用户本身因并不知晓第三方快应用将被启动,这一功能剥夺了用户对于手机端是否开启第三方快应用的控制权。此时快应用将有涉嫌非法控制计算机信息系统罪的风险。 4、拒不履行网络安全管理义务罪 快应用不规范现象中,例如未规范获取用户授权,或隐私政策不完备的情况,快应用运营方至多只会面临行政机关处罚,承担要求其下架整改并处行政处罚的行政责任。但若一快应用运营方在多次行政整改后,仍旧存在上述现象,从而导致用户信息泄露或其他严重情形的,还可能面临拒不执行网络安全管理义务罪的指控。 结语 新事物的出现总伴随着机遇和风险,创新和挑战。快应用的应运而生是整个手机运营厂商的自救运动和创新运动,是激发手机运营厂商活力的一块重要业务。但是,当前数据价值化的特征愈发突出,拥有数据石油便能够在数字经济时代抢占发展的先机,因此快应用运营商不可避免地加入到与原生应用和微信小程序的数据争夺战中,随之而来的便是与后两者同样面临的数据与用户权限获取的不规范问题。当前国家愈发重视个人信息保护,一批又一批的违法手机个人信息的APP在被通报下架整改,快应用运营商应当在当前原生应用面临的整改风波中吸取教训,同步实施快应用合规化整改,才能在这块创新生态蓝海中创造下一个快应用神话。 作者:上海靖予霖律师事务所网络犯罪研究与辩护部主任陈沛文、靖霖绍兴所 专职律师黄双双
