【引言】
近年來(lái),App強(qiáng)制授權(quán)、過(guò)度索權(quán)、超范圍收集個(gè)人信息的現(xiàn)象越演愈烈。2019年以來(lái),國(guó)家多部委重拳出擊,著重整治App違規(guī)違法收集個(gè)人信息亂象。截至目前,已有幾十款A(yù)pp遭到強(qiáng)制下架、上百款A(yù)pp被點(diǎn)名整改,App收集個(gè)人信息領(lǐng)域迎來(lái)了強(qiáng)監(jiān)管元年。面對(duì)來(lái)勢(shì)洶洶的強(qiáng)監(jiān)管高壓,App運(yùn)營(yíng)商該如何做好信息收集工作?哪些個(gè)人信息可以收集?哪些不行?其中有哪些風(fēng)險(xiǎn)點(diǎn)值得關(guān)注?接下來(lái)一段時(shí)間,本團(tuán)隊(duì)將陸續(xù)推出App合規(guī)的系列文章,為App運(yùn)營(yíng)商合規(guī)收集個(gè)人信息提供方法和思路。
本篇是系列文章的第七篇:App運(yùn)營(yíng)商共享個(gè)人信息的注意事項(xiàng)。
01 合規(guī)操作指引
App運(yùn)營(yíng)商不僅在收集、使用用戶信息時(shí)需要注意合規(guī)操作,其在共享用戶信息上也應(yīng)該遵守相關(guān)的合規(guī)要求。首先,App運(yùn)營(yíng)商在共享個(gè)人信息時(shí),應(yīng)事先征得主體授權(quán)同意,如果個(gè)人信息屬于敏感信息的,還應(yīng)該事先征得主體的明示同意;其次,共享時(shí)應(yīng)準(zhǔn)確記錄和保存?zhèn)€人信息的共享、轉(zhuǎn)讓情況等;最后,App運(yùn)營(yíng)商應(yīng)事先開(kāi)展安全影響評(píng)估,并依評(píng)估結(jié)果采取有效措施。
值得一提的是,如果App運(yùn)營(yíng)商是共享給境外的合作伙伴,還應(yīng)當(dāng)根據(jù)App運(yùn)營(yíng)商所處的行業(yè)來(lái)判斷進(jìn)行跨境共享可能面臨的限制。如果App運(yùn)營(yíng)商是屬于公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域的運(yùn)營(yíng)商,則App運(yùn)營(yíng)商的數(shù)據(jù)共享出境將會(huì)嚴(yán)格受到監(jiān)管;如果不是上述關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)商,仍會(huì)受到監(jiān)管部門(mén)的審核監(jiān)管。但由于現(xiàn)階段監(jiān)管部門(mén)尚未完全明確,App運(yùn)營(yíng)商共享出境或多或少都會(huì)受到影響。
02 司法實(shí)踐難題
正如前文所述,App運(yùn)營(yíng)商在共享個(gè)人信息時(shí),應(yīng)事先征得主體授權(quán)同意,但司法實(shí)踐中發(fā)現(xiàn),所謂的“授權(quán)主體”不一定指用戶,而可能是指互聯(lián)網(wǎng)平臺(tái)。2016年,微夢(mèng)公司(新浪微博的運(yùn)營(yíng)商)以“第三方數(shù)據(jù)侵權(quán)”為由起訴淘友技術(shù)公司、淘友科技公司(脈脈軟件和脈脈網(wǎng)站的共同運(yùn)營(yíng)商),法院判決認(rèn)為“微博用戶是微博的重要商業(yè)資源,這些用戶信息是微博開(kāi)展經(jīng)營(yíng)活動(dòng)的基礎(chǔ),也是保持競(jìng)爭(zhēng)優(yōu)勢(shì)的必要條件,脈脈的行為侵犯了微博的合法權(quán)利”;2019年,騰訊計(jì)算機(jī)公司、騰訊數(shù)碼公司和騰訊科技公司(微信、QQ的共同運(yùn)營(yíng)商)以“第三方數(shù)據(jù)侵權(quán)”為由起訴北京微播視界公司(抖音運(yùn)營(yíng)商)、北京拍拍看看公司(多閃運(yùn)營(yíng)商),法院判決認(rèn)為“經(jīng)平臺(tái)授權(quán)的數(shù)據(jù)要遵循‘最小必要原則’,平臺(tái)授權(quán)的數(shù)據(jù)僅能用于登陸目的”,裁定“抖音和多閃的行為已經(jīng)侵犯了騰訊的合法權(quán)利,支持騰訊提出行為保全的訴請(qǐng)”。換言之,法院認(rèn)為互聯(lián)網(wǎng)平臺(tái)本身的長(zhǎng)期積累使其自動(dòng)獲得對(duì)用戶信息的占有權(quán),其有權(quán)授權(quán)或者不予授權(quán)第三方App運(yùn)營(yíng)商使用用戶信息。
法院的判決將導(dǎo)致實(shí)踐中難以解決的難題:即假如個(gè)人信息的主體權(quán)利有可能是互聯(lián)網(wǎng)平臺(tái),那么當(dāng)用戶不想將個(gè)人信息給與第三方應(yīng)用程序,或者想把個(gè)人信息給與第三方應(yīng)用程序時(shí)會(huì)發(fā)現(xiàn)自身喪失了該權(quán)利,將導(dǎo)致與生俱來(lái)的權(quán)利無(wú)法自決使用的問(wèn)題。
03 第三方App運(yùn)營(yíng)商如何做好共享合規(guī)
撇開(kāi)前述司法難題,根據(jù) “脈搏之爭(zhēng)”和“頭騰大戰(zhàn)”的案例,我們發(fā)現(xiàn)如果互聯(lián)網(wǎng)平臺(tái)長(zhǎng)期壟斷用戶個(gè)人信息,第三方App將很難取得互聯(lián)網(wǎng)平臺(tái)的個(gè)人信息,無(wú)法進(jìn)行用戶信息的共享。遇到這種情況,該怎么處理呢?筆者認(rèn)為,可從以下幾個(gè)方面進(jìn)行操作:
第一,由于“三重授權(quán)”原則已經(jīng)獲得實(shí)務(wù)上的認(rèn)可,因此對(duì)于平臺(tái)授權(quán)第三方App運(yùn)營(yíng)商的數(shù)據(jù),該類(lèi)數(shù)據(jù)僅可作為登陸目的使用,不能用于其他目的。第三方App運(yùn)營(yíng)商應(yīng)運(yùn)用技術(shù)手段,嚴(yán)格區(qū)分平臺(tái)授權(quán)下獲取的數(shù)據(jù)和自身獲取的用戶數(shù)據(jù),建立隔離機(jī)制和定期審查機(jī)制,共享自身所獲取的數(shù)據(jù)。
第二,如果第三方App運(yùn)營(yíng)商同時(shí)也是開(kāi)放平臺(tái),那么第三方App運(yùn)營(yíng)商在草擬《開(kāi)發(fā)者協(xié)議》中要做好自身數(shù)據(jù)的保護(hù)措施,可規(guī)定數(shù)據(jù)收集方在收集用戶任何數(shù)據(jù)時(shí),必須事先獲得用戶的明確同意,從而獲得自主共享的權(quán)利。
