微信平臺搜索[資本邦]或掃描下面的二維碼

微信二維碼
首頁 · 百科 · 正文

德恒研究:從墨跡科技IPO被否談應用軟件(App)應如何收集個人信息

導語數據合規問題也是證監會對擬IPO企業(尤其是互聯網企業)的合規關注點之一,而數據生命周期管理始于對數據的收集、獲取,企業的數據合規工作應當從“頭”開始。本文主要結合相關規定和監管案例,簡要談談企業運營App應如何合規收集用戶個人信息。

德恒律師事務所 · 2019-10-21 · 瀏覽4608

  《中華人民共和國網絡安全法》[2](以下簡稱“《網絡安全法》”)第四十一條第一款規定,“網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意”。違反該規定,根據情節嚴重程度,可能會被采取警告、沒收違法所得、罰款、責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照等行政處罰措施[3]。App運營商為用戶提供網絡產品、服務,作為《網絡安全法》規定的“網絡運營者”[4],其無疑也必須遵守《網絡安全法》關于對個人信息收集、使用的規定。

  近年來國家從立法和執法監管方面都在加強規范相關主體收集個人信息的行為,App運營商也應當更加重視用戶個人信息收集合規工作,以免受到相關行政處罰,或者對企業的IPO等發展進程帶來不利影響。結合相關規定和實務中主要違規問題,我們認為,App在收集用戶個人信息時,應遵循下列原則:

一、收集個人信息的必要性、最小化原則

  《網絡安全法》規定網絡運營者收集個人信息應當遵循必要性的原則。《信息安全技術-個人信息安全規范》(GB/T 35273—2017)[5](以下簡稱“《安全規范》”)則要求個人信息控制者[6]收集個人信息時應當遵循最小化要求,要求收集的個人信息類型應當與實現產品或服務的業務功能有直接關聯,從收集的頻率和數量上達到“最小化”。必要性原則和最小化原則本質上都是要求不能過度收集個人信息。但實踐中,App超范圍收集個人信息、過度索權的問題尤為突出,針對此現象,相關監管部門也在加強整治工作。我們將結合一些違規收集個人信息的案例,分析遵循收集個人信息時違反必要性原則和最小化要求的一些典型特征。

  1.典型特征一:所收集的個人信息并非實現該App功能的必要數據。

  在廣東省公安廳于2019年8月14日公布的超范圍收集用戶信息App名單中[7],有多款貸款類App皆存在“讀取用戶聯系人數據”這項超范圍收集用戶信息的情況。我們理解,貸款類App向用戶提供借款需要評估用戶的資信狀況,當然需要用戶提供一些個人信息,例如身份證件信息、工作單位、收入狀況等,這些信息可以評估申請人是否有穩定還款來源以決定是否發放貸款。但是聯系人的信息或者數量跟個人的資信狀況并無直接聯系,用戶不提供其聯系人數據也不會實質影響貸款類App向其提供借款這項服務。App運營商在收集個人信息時,務必要考慮,如果缺少該項個人信息的,是否會造成徹底無法向用戶提供其產品、服務。如果并不會有該等后果的,App運營商則不能要求收集該項個人信息,否則有違規的風險。

  另外,一些App的用戶協議或者隱私政策會規定為了改善程序功能、提供用戶體驗、定向推送等目的而收集個人信息。實際上,這些功能對于大部分App來講,并不是其主要或者核心的功能,只是一種附加功能,缺少該功能并不實質影響用戶對App的使用。根據App違法違規收集使用個人信息專項治理工作組在2019年5月5日發布的《App違法違規收集使用個人信息行為認定方法(征求意見稿)》(以下簡稱“《認定辦法》”),該等行為已經被列為違法違規收集使用個人信息的情形之一,為了提高用戶體驗等而收集個人信息并不能成為正當、合理的理由。

  簡而言之,App運營商在收集個人信息時,應當同時考慮收集該項個人信息類型的必要性和所收集的目的。如果缺少該等個人信息或目的所指向的功能而不實質影響用戶的使用的,則不應當收集相關個人信息。

  2.典型特征二:要求用戶“一攬子授權”或強制要求用戶授權

  一些App會要求用戶“一攬子授權”或強制要求用戶授權,即要求用戶一次性同意開啟多個可收集個人信息權限,用戶不同意則無法安裝使用App。App專項治理工作組在2019年7月11日發布了《關于10款App存在無隱私政策等問題的通報》(以下簡稱“《通報》”),其中就20款App存在上述問題進行通報,并明確說明該等情形違反了《網絡安全法》第四十一條第一款規定。

  運營商出于商業利益考慮,希望獲得海量的用戶數據以便能夠更精準地進行用戶畫像并進行營銷推廣,要求用戶同意提供盡可能多的個人信息。為了達到獲得用戶授權同意的目的,有時候便會不加區分地將所有功能所需要的個人信息打包捆綁在一起要求用戶一次性授權同意,不同意則無法使用全部功能。雖然用戶看似有權選擇不同意,但其實是“不得不”同意,用戶實質上被剝奪了選擇權。《認定辦法》明確規定該種情形屬于違法違規收集個人信息的情形[8],《信息安全技術-個人信息安全規范(征求意見稿)》[9](以下簡稱“《安全規范征求意見稿》”)也明確提出不得強迫接受多項業務功能[10],因此,App運營商應盡可能不要捆綁多種類型個人信息要求用戶一次性授權同意。

  我們認為,解決上述問題的方法是區分不同場景所需要收集的個人信息類型。

  《安全規范征求意見稿》在其附錄C《實現個人信息主體自主意愿的方法》中要求劃分產品或服務的基本業務功能和擴展業務功能,我們認為可以借鑒該等區分,先行厘清其所提供的產品或服務的基本業務功能和擴展業務功能,以及兩個功能項下分別需要用戶同意提供的個人信息類型,才能進而做到分項、分次向用戶獲得授權同意。對于何為“基本業務功能”,《安全規范征求意見稿》并沒有明確定義,而是要求應根據一般用戶的最可能的認識和理解,而不是個人信息控制者自身的想法來確定用戶的主要需求和期待來劃定基本業務功能[11]。基于此,App運營商應當站在用戶的立場來考慮其產品或服務的基本業務功能,而不能憑自身的需求和認識來確定。

二、公開收集個人信息規則

  《網絡安全法》明確規定要求收集個人信息要公開收集、使用的規則,而《公告》中發審委也明確要求墨跡科技代表說明是否就其獲取用戶數據及標簽的過程及方法對用戶有明示提示,可見向用戶公開收集、獲取個人信息規則的重要性。

  一般而言用戶協議、隱私政策便是App關于收集用戶個人信息的規則。但實務中App無用戶協議、隱私政策的現象也十分突出。除了《通報》中點名過10款App無隱私政策外,在今年廣東警方開展的“凈網2019”專項行動和App違法違規專項治理行動中,也披露了大量無用戶協議和/或隱私政策的App[12]。

  所謂“公開收集個人信息規則”,并不是在用戶具有訪問用戶協議、隱私政策的可能性時便滿足了該項要求。《認定辦法》列舉的沒有公開收集使用規則的情形包括:(1)沒有隱私政策、用戶協議,或者隱私政策、用戶協議中沒有相關收集使用規則的內容;(2)在App安裝、使用等過程中均未通過彈窗、鏈接等方式提示用戶閱讀隱私政策,或隱私政策鏈接無效、文本無法正常顯示;(3)進入App主功能界面后,多于4次點擊、滑動才能訪問到隱私政策。另外《安全規范》則要求“隱私政策應公開發布且易于訪問,例如,在網站主頁、移動應用程序安裝頁、社交媒體首頁等顯著位置設置鏈接”[13]。

  結合上述規定,關于“公開收集個人信息規則”的公開度的要求,我們理解,實際上應達到使得用戶可以顯著了解規則的存在、容易訪問接觸到該規則的程度。為達到該等程度,除了應當避免有《認定辦法》列舉的前述幾種情形外,建議還應注意在注冊頁面的顯眼位置放置關于用戶協議、隱私政策的鏈接,相關字體不宜過小、字體顏色應當突出,或者以彈窗等更明顯的形式向用戶提示。

三、獲得被收集者的同意

  根據《公告》內容,發審委關注了墨跡科技收集用戶個人信息時用戶授權法律上是否完備的問題,而實務中該問題也是App運營中突出合規問題之一。根據工業和信息化部(以下簡稱“工信部”)在2019年9月19日發布的《工業和信息化部關于電信服務質量的通告(2019年第3號)》,工信部在2019年第二季度組織了對61家互聯網企業和51家手機應用商店的應用軟件進行檢查,發現超過20款App存在未經用戶同意收集、使用用戶個人信息的情況,相關企業因此被責令整改。

  關于收集個人信息時如何獲得收集者的同意,《安全規范》從以下幾個方面提出了不同的要求[14]:

  1.區分直接獲取個人信息和間接獲取個人信息

  《安全規范》規定,在直接獲取個人信息時,要求明確告知所提供產品或服務的不同業務功能分別收集的個人信息類型,以及收集、使用個人信息的規則。告知前述內容是為了使得用戶是在知情的基礎上做出授權同意的選擇。

  在間接獲取個人信息時,應要求個人信息提供方說明個人信息來源,并對其個人信息來源的合法性進行確認。另外還應了解個人信息提供方已獲得的個人信息處理的授權同意范圍,如超出該授權同意范圍,應在獲取個人信息后的合理期限內或處理個人信息前,征得個人信息主體的明示同意[15]。

  2.個人敏感信息

  《安全規范》規定,在收集個人敏感信息[16]時應取得個人的明示同意,并且告知的內容有更加詳細的要求,即涉及核心功能所必需收集個人敏感信息的,應告知信息的類型以及拒絕提供、拒絕同意的后果;涉及附加功能所必需收集個人敏感信息的,應告知信息的類型,允許用戶逐項提供、同意,用戶不同意的不能以此為由拒絕提供核心功能。

  3.未成年人個人信息

  《安全規范》規定在涉及不滿14周歲的未成年人的個人信息時,應當征得其監護人的明示同意;涉及的是已經年滿14周歲的未成年人的個人信息的,應征得未成年人或其監護人的明示同意。

  關于如何實現獲得被收集者的同意,我們注意到目前有些App會在注冊頁為用戶默認勾選“我已閱讀并同意《用戶協議》和《隱私政策》”,認為用戶注冊后即獲得了用戶的授權同意。我們認為此種做法是否合適值得商榷。2018年年初,某支付App在向用戶提供“個人年度賬單”時為用戶默認勾選同意《芝麻信用協議》并且該項選擇放在并不顯眼的地方,許多用戶在未察覺的情況下“被同意”了《芝麻信用協議》,其做法引發了不小的風波,該App企業也相繼被工信部、網信辦約談,要求“本著充分保障用戶知情權和選擇權的原則立即進行整改”[17],其后,該App取消了為用戶默認勾選同意選項。基于此,我們認為,用戶默認勾選同意實現獲得授權并非最佳實踐,更合適的做法是由用戶自己主動勾選同意選項,或者同時提供“同意”和“不同意”的選項,給用戶更清晰明確的選擇路徑,而實現真正的授權同意,降低違規風險。

四、結語

  上述原則是App在收集個人信息時應當遵守的原則,上述監管案例體現了App運營商在違反上述原則時所遭受的監管措施,我們相信,監管部門在后續的執法監管活動中應該也會持續關注App是否存在該等問題。除了民事糾紛或行政、刑事監管問題,墨跡科技IPO被否也給廣大App運營商敲醒警鐘,用戶個人信息處理不合規的代價可能遠比想象嚴重。收集個人信息是處理用戶個人信息的首要環節,App運營商應當從“第一關”開始便做好個人信息安全合規工作,以免因此付出巨大代價。

  文章引用:

  [1]見中國證券監督管理委員會于2019年10月11日發布《第十八屆發審委2019年第142次會議審核結果公告》,http://www.csrc.gov.cn/pub/zjhpublic/G00306202/201910/t20191011_364295.htm。

  [2]《中華人民共和國網絡安全法》(主席令第五十三號),全國人民代表大會,2016年11月7日發布,2017年6月1日生效。

  [3]《中華人民共和國網絡安全法》(主席令第五十三號)第六十四條規定。

  [4]《中華人民共和國網絡安全法》(主席令第五十三號)第七十六條規定,“網絡運營者,是指網絡的所有者、管理者和網絡服務提供者。”

  [5]《信息安全技術-個人信息安全規范》(GB/T 35273—2017),全國信息安全標準化技術委員會,2017年12月29日發布,2018年5月1日實施。

  [6]根據《信息安全技術-個人信息安全規范》(GB/T 35273—2017)第3.4條的規定,個人信息控制者為“有權決定個人信息處理目的、方式等的組織或個人”。按照此定義,App運營商屬于“個人信息控制者”。《信息安全技術-個人信息安全規范》(GB/T 35273—2017)是推薦性國家標準,不具有法律上的強制執行力,但實務中具有較高的參考意義,建議企業應當將該規范作為網絡安全合規工作的重要指引。

  [7]見廣東省公安廳政府信息公開目錄,http://gdga.gd.gov.cn/gkmlpt/content/2/2582/post_2582482.html。

  [8]《App違法違規收集使用個人信息行為認定方法(征求意見稿)》第四條第3項。根據《關于征求意見的通知》,起草該文件的目的之一是為“App評估和處置提供參考”,根據我們理解,該文件會作為相關部門的執法監管重要參考文件,因此App的個人信息安全工作建議也應當參考該文件。

  [9]《信息安全技術-個人信息安全規范(征求意見稿)》,全國信息安全標準化技術委員會,2019年6月25日發布。

  [10]見《信息安全技術-個人信息安全規范(征求意見稿)》第5.3條第a)項。

  [11]見《信息安全技術-個人信息安全規范(征求意見稿)》附錄C第C.1條。

  [12] 見廣東省公安廳政府信息公開目錄,http://gdga.gd.gov.cn/gkmlpt/content/2/2530/post_2530378.html;http://gdga.gd.gov.cn/gkmlpt/content/2/2582/post_2582482.html;http://gdga.gd.gov.cn/gkmlpt/content/2/2596/post_2596763.html。

  [13]見《信息安全技術-個人信息安全規范》(GB/T 35273—2017)第5.6條第d)項。

  [14]見《信息安全技術-個人信息安全規范》(GB/T 35273—2017)第5.3條、5.5條。

  [15]根據《信息安全技術-個人信息安全規范》(GB/T 35273—2017)第3.6條,“明示同意”是指“個人信息主體通過書面聲明或主動做出肯定性動作,對其個人信息進行特定處理做出明確授權的行為。肯定性動作包括個人信息主體主動作出聲明(電子或紙質形式)、主動勾選、主動點擊‘同意’、‘注冊’、‘發送’、‘撥打’等。”

  [16]根據《信息安全技術-個人信息安全規范》(GB/T 35273—2017)第3.2條,“個人敏感信息”是指“一旦泄露、非法提供或濫用可能危害人身和財產安全,極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。”

  [17] 《百度、支付寶、今日頭條被工信部約談!原因與你有關》,2018年1月12日,搜狐央視網消息,http://www.sohu.com/a/216319504_428290。

圖片來源:123RF

聲明:本文為資本邦轉載文章,如有版權問題請聯系[email protected]

風險提示 資本邦呈現的所有信息僅作為投資參考,不構成投資建議,一切投資操作信息不能作為投資依據。投資有風險,入市需謹慎!

分享到:
{$ad}
竞彩投注技巧