近年來,App強制授權、過度索權、超范圍收集個人信息的現象越演愈烈。2019年以來,國家多部委重拳出擊,著重整治App違規違法收集個人信息亂象。截至目前,已有幾十款App遭到強制下架、上百款App被點名整改,App收集個人信息領域迎來了強監管元年。面對來勢洶洶的強監管高壓,App運營商該如何做好信息收集工作?哪些個人信息可以收集?哪些不行?其中有哪些風險點值得關注?接下來一段時間,本團隊將陸續推出App合規的系列文章,為App運營商合規收集個人信息提供方法和思路。
本篇是系列文章的第五篇:App運營商收集用戶信息的合規要點
如上一篇文章所述,App運營商收集用戶信息需要遵循合法、正當、必要三大原則。實際上,除此之外,App運營商收集用戶信息還需要獲得用戶的同意,同時隱私政策應做好區分業務功能的準備。
一、 合規要點一:用戶同意
2016年人大常委會發布《網絡安全法》規定:“網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意。”因此,我國對于個人信息的采集一直以執行“告知+用戶同意”為判斷標準。
根據《信息安全技術 個人安全規范》的規定,“用戶同意”包括用戶“授權同意”和“明示同意”。所謂的“授權同意”類似于默示同意,對于一般的個人信息,只要用戶不反對,即視為其默示同意;所謂的“明示同意”是指“個人信息主體通過書面聲明或主動做出肯定性動作,對其個人信息進行特定處理做 出明確授權的行為。”個人敏感信息,則需要經過用戶的明示同意。此外,對于間接獲取用戶信息的,按照《信息安全技術 個人安全規范》的要求,須要求個人信息提供方說明個人信息來源,了解提供方已獲得的個人信息處理的授權同意范圍。
雖然在2021年出臺的《個人信息保護法(草案)》第二次征求意見稿中,《個人信息保護法(草案)》對收集用戶信息的方式做了大幅度的修改,規定:“第十三條 符合下列情形之一的,個人信息處理者方可處理個人信息:
(一)取得個人的同意;
(二)為訂立或者履行個人作為一方當事人的合同所必需;
(三)為履行法定職責或者法定義務所必需;
(四)為應對突發公共衛生事件,或者緊急情況下為保護自然人的生命健康和財產安全所必需;
(五)依照本法規定在合理的范圍內處理已公開的個人信息;
(六)為公共利益實施新聞報道、輿論監督等行為,在合理的范圍內處理個人信息;
(七)法律、行政法規規定的其他情形。
依照本法其他有關規定,處理個人信息應當取得個人同意,但有前款第二項至第七項規定情形的,不需取得個人同意。”該條款突破了“告知+同意”的收集模式,規定除了“同意”模式外,如出現其他情形,還可以收集用戶信息。
又因《個人信息保護法》尚未出臺,當前App運營商如果要收集用戶信息,得到用戶同意仍是必不可少的合規要素。
二、 合規要點二:區分業務功能
《信息安全技術 個人安全規范》規定,業務功能分為基本業務功能和拓展業務功能。基本業務功能應符合個人信息主體選擇、使用所提供產品或服務的根本期待和最主要的需求。擴展業務功能是指將產品或服務所提供的基本業務功能之外的其他功能,比如改善服務質量、提升用戶體驗、研發新產品等。因此,App運營商在收集用戶信息時,應主動區分收集的哪些用戶信息是為了基本業務功能,哪些用戶信息是為了拓展業務功能,并賦予用戶主動拒絕App運營商為拓展業務功能收集信息的權利。
實踐中,不少App運營商未主動區分業務功能,如遇到監管機構監管,可能存在被處罰、甚至被下架的風險。
反面案例一:支付寶(蘋果系統版本號:10.1.32)未區分基本業務功能和拓展業務功能。
反面案例二:中國建設銀行(蘋果系統版本號:4.1.1.002)未告知拒絕提供將具體影響哪些功能。
正面案例一:騰訊對旗下所有的產品統一作出一份隱私政策說明,并且每個產品還單獨作出一份隱私政策。每份隱私政策里面對每個功能收集哪些信息都有說明。
正面案例二:京東對每個功能收集哪些信息都有說明,并且對于附加功能收集個人信息設置專門的取消界面。
綜上所述,App運營商收集用戶信息除了需要遵循合法、正當、必要三大原則外,還需要獲得用戶的同意,同時隱私政策應做好區分業務功能的準備。
