近年來,App強制授權、過度索權、超范圍收集個人信息的現象越演愈烈。2019年以來,國家多部委重拳出擊,著重整治App違規違法收集個人信息亂象。截至目前,已有幾十款App遭到強制下架、上百款App被點名整改,App收集個人信息領域迎來了強監管元年。面對來勢洶洶的強監管高壓,App運營商該如何做好信息收集工作?哪些個人信息可以收集?哪些不行?其中有哪些風險點值得關注?接下來一段時間,本團隊將陸續推出App合規的系列文章,為App運營商合規收集個人信息提供方法和思路。
本篇是系列文章的第六篇:App運營商使用個人信息的注意事項
App運營商在收集用戶信息時需要遵循合法、正當、必要三大原則,且需要獲得用戶的同意,同時隱私政策應做好區分業務功能的準備。實際上,App運營商在使用用戶信息上也需要做到合規操作。
一、做好個人信息訪問的控制措施
App運營商在使用個人信息時應做好個人信息訪問的控制措施,避免出現內鬼,盜取個人信息對外販售。首先,對被授權訪問人員,App運營商應建立最小授權的訪問控制,包括對個人信息的重要操作設置內部審批流程,層層把關,使得用戶信息的使用符合業務功能的目的;其次,對于管理人員、操作人員和審計人員,App運營商應設置角色分離機制,建立一套類似于財務審批需要審核、復核,出納人員各司其職的角色流程;最后,如確需授權超權限處理個人信息的,App運營商應指定負責人進行審批,并記錄在冊,做到事事留痕,有跡可循。
司法實踐中,曾出現多例因未做好合規使用個人信息導致公司出現嚴重問題,甚至公司負責人被判刑的案件。其中,最著名的案例當屬“數據堂案”:
二、限制個人信息使用的目的
除了建立一套個人信息訪問的控制操作流程外,App運營商應明確使用個人信息的目的須與其在隱私政策中所公示的目的相符。其中,對所收集的個人信息進行加工處理而產生的信息,能夠單獨或與其他信息結合識別自然人個人身份,或者反映自然人個人活動情況的,也應將其認定為個人信息。
實踐中存在不少“大數據殺熟”的現象,例如:
現象一
有亞馬遜用戶反映,他刪除瀏覽器的cookies后發現,之前瀏覽過的DVD商品售價從26.24美元降到了22.74美元。
現象二
2018年,有網友爆料稱被“飛豬”APP殺熟,利馬到布宜諾斯艾利斯的機票,同一航班,別人賣2500,“飛豬”APP卻賣自己3211元。另外,也有人爆料自己搜索到的機票價格是2300+,實際下單后卻變成了2900+。甚至還有人僅僅是因為使用支付寶的頻率較高,就發現同樣的酒店、房間和時間價格卻有差異。
現象三
有人反映,自己經常用某賬戶買牛奶,一段時間后發現自己賬戶登錄后看到的牛奶價格比家人賬戶下看到的貴了約6塊錢,而有些別的賬戶甚至通過鏈接都找不到該款牛奶。同樣的商品對不同的人也有不同價格。
現象四
有人爆料稱,自己是餓了么金牌會員,經常點餐的餐廳原本自動有折扣,但自己選擇地址后折扣就被取消,而用同事的手機下單仍有折扣,差價可達14元。另有人和同事一起訂同樣地點同樣菜品的外賣,配送費卻相差2元。
上述現象就與App運營商收集使用了用戶信息有關。如果App運營商未在隱私政策中主要明示其將使用用戶信息用于分析用戶行為等目的,筆者認為上述“大數據殺熟”的情況歸根到底從信息使用來源上就存在違法的狀態。
三、做好用戶畫像與個性化展示
除了前述兩點外,App運營商使用個人信息在用戶畫像和個性化展示時也應該做好合規操作。首先,用戶畫像中對個人信息主體的特征描述應合法、符合公序良俗;其次,新聞信息個性化展示中,應顯著區分個性化推送服務,提供退出或關閉選項;最后,根據消費者的興趣愛好、消費習慣等特征向其提供個性化展示,應同時提供不針對其個人特征的選項。實際上,上述“大數據殺熟”的現象也是App運營商未合規做好用戶畫像與個性化展示的結果。
