近年來,App強制授權、過度索權、超范圍收集個人信息的現象越演愈烈。2019年以來,國家多部委重拳出擊,著重整治App違規違法收集個人信息亂象。截至目前,已有幾十款App遭到強制下架、上百款App被點名整改,App收集個人信息領域迎來了強監管元年。面對來勢洶洶的強監管高壓,App運營商該如何做好信息收集工作?哪些個人信息可以收集?哪些不行?其中有哪些風險點值得關注?接下來一段時間,本團隊將陸續推出App合規的系列文章,為App運營商合規收集個人信息提供方法和思路。
本篇是系列文章的第四篇:App運營商如何合規收集用戶信息?
《網絡安全法》第41條規定:“網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意。”可見,網絡運營者在收集個人信息時,首先必須遵循合法、正當、必要三大原則。
(一)合法性
所謂的合法性,是指網絡運營者在收集用戶信息時應當符合法律規定,具體表現為:網絡運營者不得欺詐、誘騙、誘導個人信息主體提供個人信息;不得隱瞞產品或服務所具有的收集個人信息的功能;不得從非法渠道獲取用戶信息;以及不得收集法律法規明令禁止收集的個人信息。
其中,實務中最常出現APP運營商非法收取用戶信息的表現是,APP運營商違背個人信息主體的自主意愿,強迫用戶接受產品或服務所提供的業務功能及提供相應的用戶信息。然而該種做法明顯帶有強迫意味,是不合法的。
APP運營商須注意,要想合法收集用戶信息須做到:不得通過捆綁產品或服務各項業務功能的方式,要求用戶一次性接受并授權統一各項業務功能收集個人信息的請求;應在產品或服務功能開啟時,主動給用戶提供主動填寫、點擊、勾選等主動行為,同時給用戶提供關閉或退出業務功能的途徑或方式;如果用戶不同意使用、關閉或退出特定業務功能,APP運營商不得頻繁征求個人信息主體的同意。
(二)正當性
所謂的正當性,是指APP運營商收集個人信息時,應獲得用戶的同意,使其擁有收集用戶信息的正當性基礎。
正當性主要體現在收集用戶信息時應獲得用戶的授權同意,收集用戶敏感信息時,應獲得用戶的明示同意。
具體體現為,APP運營商在收集用戶信息時,應向用戶主體明確告知所提供產品或服務的不同業務功能分別收集的個人信息類型,以及收集、使用個人信息的規則,并獲得用戶的授權同意,在間接獲取用戶信息上,應要求用戶信息提供方說明個人信息的來源并保證信息來源的合法性。
APP運營商在收集用戶敏感信息時,應取得用戶的明示同意,應確保用戶的明示同意是其在完全知情的基礎上,自愿給出的、具體的、清晰明確的愿望表示。
當然,APP運營商并不是所有信息都需要得到用戶的授權同意的,例如事關國家安全、國防安全直接相關的;與公共安全、公共衛生、重大公共利益直接相關的;與犯罪偵查、起訴、審判和判決執行等直接相關的;或者是APP運營商為新聞單位且其在開展合法的新聞報道所必需的,亦或是APP運營商為學術研究機構,出于公共利益開展統計或學術研究所必要的……以上列舉的種種情況,APP運營商收集用戶信息是無需征得用戶主體的授權同意。
(三)必要性、
所謂的必要性,是指APP運營商收集個人信息的類型應與實現產品或服務的業務功能有必要的、直接的聯系。直接聯系是指沒有該用戶信息的參與,產品或服務的功能無法實現。
同時,必要性還體現在收集的頻率和數量上。對于自動采集用戶信息的頻率應是實現產品或服務的業務功能所必須的最低頻率;對于間接獲取的用戶信息數量,應是實現產品或服務的業務功能所必需的最少數量。
綜上所述,APP運營商在收集用戶信息時,應遵循合法性要求,不得違反法律法規的禁止性要求等;遵循正當性要求,一般信息需獲得用戶的授權同意,敏感信息需獲得用戶的明示同意;遵循必要性要求,APP運營商所收集的個人信息必須是必不可少的、直接關聯的。
