Loading
2020-02-13 16:45:00
一、“位置”信息屬于個人信息
《網絡安全法》規定公民個人信息是指“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。”
《信息安全技術 個人安全規范》進一步解釋,判定某項信息是否屬于個人信息,應考慮兩個路徑:一是識別,即從信息到個人;二是關聯,即從個人到信息。從而將個人信息識別機制確定為“識別+關聯”的判斷標準。
因此,能識別到具體個人(即“識別”的判斷標準)的信息屬于個人信息,例如采集員工的“姓名+體溫”,因為“體溫”信息結合“姓名”信息,能識別到具體個人,所以“體溫”信息屬于個人信息(詳見:天衡戰“疫”:企業能否采集員工“體溫”數據?);能關聯到具體個人(即“關聯”的判斷標準)的信息也屬于個人信息。例如,已知甲的身份信息,甲使用運動類 APP繞公園打卡一圈發朋友圈,運動類APP所顯示的是甲的行蹤軌跡,是由甲所關聯的信息,因此也屬于個人信息。因此,“位置”信息也屬于個人信息。
二、“位置”信息的商業變現途徑
“位置”信息的商業變現途徑有很多種,并且隨著市場的變化,還在陸續演化出新的變現場景。筆者僅舉其中的兩種途徑(暫不考慮合法性),以供參考:
(一)精準推送廣告
相信大家有過這種體驗,當坐動車抵達其他地市時會接收到“歡迎來到××旅游”的短信通知;當路過商店門口或者出國旅游在朋友圈定位打卡時,會發現朋友圈推送該商店或者該國產品的廣告信息等等。上述做法在于用戶的位置信息被收集后,企業對數據進行使用或者通過轉讓、共享給其他企業進行精準廣告推送,進而收取費用。
用戶抵達其他地市收到廣告,原因在于用戶在使用手機或者網絡時,發射的信號(包括手機的IMEI)被電信運營商所收集,從而能精準定位用戶的“位置”信息;用戶在路過商店門口或者出國后在朋友圈定位打卡收到廣告,原因在于微信收集了用戶位置信息后,通過程序化廣告進行了精準推送。
微信的廣告購買界面信息▼
(二)建構健康模型
這里所說的建構健康模型,主要針對運動類APP而言。很多運動類APP利用用戶的“位置”信息,套用醫學公式計算用戶的心率等健康數據。經過定期追蹤用戶的健康數據進而建構用戶的健康模型,從而判斷用戶當前的健康情況。此類健康數據主要用于做用戶的健康分析,可與醫院、生物技術公司、保險公司做信息共享。例如,當用戶想投保時,保險公司通過采購用戶的健康數據,對其健康情況進行判斷,進而決定是否允許用戶投保,以規避風險。
三、“防疫”追蹤地圖采集信息的合規分析
由上可知,“位置”數據屬于個人信息,并且現實生活中已經有諸多利用“位置”信息進行商業交易的行為,“位置”信息的商業價值在逐漸凸顯。在此次疫情中,有些企業或個人不以盈利為目的,自行開發“防疫”追蹤地圖;有些本身就做定位跟蹤的企業,則主動改變用戶信息的使用目的,轉而為百姓提供“防疫”追蹤地圖服務;還有些新媒體企業專門開辟附加業務功能,在提供基礎功能服務的同時,附帶提供定位服務。筆者認為這幾種類型的企業或個人的做法有利于當前疫情的防控,但考慮到“位置”信息具有較強的商業用途,在“位置”信息的采集中,仍需注意以下幾個合規問題:
第一、突破“告知+用戶同意”的判斷標準須具體問題具體分析
根據《網絡安全法》第41條的規定,我國對于個人信息的采集一直以執行“告知+用戶同意”為判斷標準。同時,《信息安全技術 個人安全規范》規定網絡運營者如果需要改變信息使用目的的,需要再次征得個人信息主體的明示同意;附加業務功能是核心業務功能以外的其他功能,收集用戶的附加業務功能信息須以彈窗等方式征得用戶同意。
然而,由于此次疫情嚴重,屬于突發重大衛生事件,在協助政府做好傳染病的預防工作中,企業或個人在收集用戶信息可突破“告知+用戶同意”的判斷標準;在改變信息使用目的時也可不經過用戶“明示同意”;甚至在附加業務功能中也可收集用戶信息,此時用戶“不得隱瞞、緩報、謊報”個人信息數據(詳見《天衡戰“疫”:企業能否采集員工“體溫”數據?》)。
但須注意的是,突破“用戶同意”合法性例外的關鍵在于,收集或使用的目的在于協助政府做好傳染病的預防工作。如果收集信息的根本目的是企業盈利,例如新媒體企業開辟附加的“防疫”追蹤地圖的目的在于引流,根本目的在于趁機占領市場,則在收集“位置”信息時仍需遵循“明示同意”的判斷標準。
第二、明確數據收集者的身份
當前很多的“防疫”追蹤地圖實際上是網絡運營者利用第三方軟件開發包(SDK)進行數據的采集。例如,某些核心業務功能并非提供“定位”服務的企業,只是臨時接入高德地圖、百度地圖的軟件開發包,所以真正提供“防疫”追蹤地圖服務的是第三方軟件開發包。因此,“防疫”追蹤地圖將會存在數據收集者身份的確認問題。如果數據的采集是由SDK運營者直接采集,而用戶是跟網絡運營者接觸,而無法實際接觸到隱藏背后的SDK運營者,將存在SDK運營者無法得到用戶“明示同意”的問題,此時網絡運營者須在隱私政策等協議中向用戶披露SDK運營者存在,并做好數據存儲、共享等方面的合規操作;如果數據的采集是由網絡運營者和SDK運營者共同采集,兩者則成為信息采集的共同控制者,兩者均需對用戶的信息做好存儲、使用、共享等合規操作。
第三、滿足最少夠用原則
根據《信息安全技術 個人安全規范》的規定,網絡運營者采集的數據除與個人信息主體另有約定外,只處理滿足個人信息主體授權同意的目的所需的最少個人信息類型和數量。目的達成后,應及時根據約定刪除個人信息。“防疫”追蹤地圖的使用目的在于為用戶盡最大可能切斷感染新型冠狀肺炎的風險。因此,在采集用戶信息時,不應頻繁收集,并且只可收集“位置”信息;等疫情結束后,網絡運營者應將所采集的用戶“位置”信息應及時刪除。