近年來,App強(qiáng)制授權(quán)、過度索權(quán)、超范圍收集個人信息的現(xiàn)象越演愈烈。2019年以來,國家多部委重拳出擊,著重整治App違規(guī)違法收集個人信息亂象。截至目前,已有幾十款A(yù)pp遭到強(qiáng)制下架、上百款A(yù)pp被點(diǎn)名整改,App收集個人信息領(lǐng)域迎來了強(qiáng)監(jiān)管元年。面對來勢洶洶的強(qiáng)監(jiān)管高壓,App運(yùn)營商該如何做好信息收集工作?哪些個人信息可以收集?哪些不行?其中有哪些風(fēng)險點(diǎn)值得關(guān)注?接下來一段時間,本團(tuán)隊(duì)將陸續(xù)推出App合規(guī)的系列文章,為App運(yùn)營商合規(guī)收集個人信息提供方法和思路。
本篇是系列文章的第五篇:App運(yùn)營商收集用戶信息的合規(guī)要點(diǎn)
如上一篇文章所述,App運(yùn)營商收集用戶信息需要遵循合法、正當(dāng)、必要三大原則。實(shí)際上,除此之外,App運(yùn)營商收集用戶信息還需要獲得用戶的同意,同時隱私政策應(yīng)做好區(qū)分業(yè)務(wù)功能的準(zhǔn)備。
一、 合規(guī)要點(diǎn)一:用戶同意
2016年人大常委會發(fā)布《網(wǎng)絡(luò)安全法》規(guī)定:“網(wǎng)絡(luò)運(yùn)營者收集、使用個人信息,應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則,公開收集、使用規(guī)則,明示收集、使用信息的目的、方式和范圍,并經(jīng)被收集者同意。”因此,我國對于個人信息的采集一直以執(zhí)行“告知+用戶同意”為判斷標(biāo)準(zhǔn)。
根據(jù)《信息安全技術(shù) 個人安全規(guī)范》的規(guī)定,“用戶同意”包括用戶“授權(quán)同意”和“明示同意”。所謂的“授權(quán)同意”類似于默示同意,對于一般的個人信息,只要用戶不反對,即視為其默示同意;所謂的“明示同意”是指“個人信息主體通過書面聲明或主動做出肯定性動作,對其個人信息進(jìn)行特定處理做 出明確授權(quán)的行為。”個人敏感信息,則需要經(jīng)過用戶的明示同意。此外,對于間接獲取用戶信息的,按照《信息安全技術(shù) 個人安全規(guī)范》的要求,須要求個人信息提供方說明個人信息來源,了解提供方已獲得的個人信息處理的授權(quán)同意范圍。
雖然在2021年出臺的《個人信息保護(hù)法(草案)》第二次征求意見稿中,《個人信息保護(hù)法(草案)》對收集用戶信息的方式做了大幅度的修改,規(guī)定:“第十三條 符合下列情形之一的,個人信息處理者方可處理個人信息:
(一)取得個人的同意;
(二)為訂立或者履行個人作為一方當(dāng)事人的合同所必需;
(三)為履行法定職責(zé)或者法定義務(wù)所必需;
(四)為應(yīng)對突發(fā)公共衛(wèi)生事件,或者緊急情況下為保護(hù)自然人的生命健康和財產(chǎn)安全所必需;
(五)依照本法規(guī)定在合理的范圍內(nèi)處理已公開的個人信息;
(六)為公共利益實(shí)施新聞報道、輿論監(jiān)督等行為,在合理的范圍內(nèi)處理個人信息;
(七)法律、行政法規(guī)規(guī)定的其他情形。
依照本法其他有關(guān)規(guī)定,處理個人信息應(yīng)當(dāng)取得個人同意,但有前款第二項(xiàng)至第七項(xiàng)規(guī)定情形的,不需取得個人同意。”該條款突破了“告知+同意”的收集模式,規(guī)定除了“同意”模式外,如出現(xiàn)其他情形,還可以收集用戶信息。
又因《個人信息保護(hù)法》尚未出臺,當(dāng)前App運(yùn)營商如果要收集用戶信息,得到用戶同意仍是必不可少的合規(guī)要素。
二、 合規(guī)要點(diǎn)二:區(qū)分業(yè)務(wù)功能
《信息安全技術(shù) 個人安全規(guī)范》規(guī)定,業(yè)務(wù)功能分為基本業(yè)務(wù)功能和拓展業(yè)務(wù)功能。基本業(yè)務(wù)功能應(yīng)符合個人信息主體選擇、使用所提供產(chǎn)品或服務(wù)的根本期待和最主要的需求。擴(kuò)展業(yè)務(wù)功能是指將產(chǎn)品或服務(wù)所提供的基本業(yè)務(wù)功能之外的其他功能,比如改善服務(wù)質(zhì)量、提升用戶體驗(yàn)、研發(fā)新產(chǎn)品等。因此,App運(yùn)營商在收集用戶信息時,應(yīng)主動區(qū)分收集的哪些用戶信息是為了基本業(yè)務(wù)功能,哪些用戶信息是為了拓展業(yè)務(wù)功能,并賦予用戶主動拒絕App運(yùn)營商為拓展業(yè)務(wù)功能收集信息的權(quán)利。
實(shí)踐中,不少App運(yùn)營商未主動區(qū)分業(yè)務(wù)功能,如遇到監(jiān)管機(jī)構(gòu)監(jiān)管,可能存在被處罰、甚至被下架的風(fēng)險。
反面案例一:支付寶(蘋果系統(tǒng)版本號:10.1.32)未區(qū)分基本業(yè)務(wù)功能和拓展業(yè)務(wù)功能。
反面案例二:中國建設(shè)銀行(蘋果系統(tǒng)版本號:4.1.1.002)未告知拒絕提供將具體影響哪些功能。
正面案例一:騰訊對旗下所有的產(chǎn)品統(tǒng)一作出一份隱私政策說明,并且每個產(chǎn)品還單獨(dú)作出一份隱私政策。每份隱私政策里面對每個功能收集哪些信息都有說明。
正面案例二:京東對每個功能收集哪些信息都有說明,并且對于附加功能收集個人信息設(shè)置專門的取消界面。
綜上所述,App運(yùn)營商收集用戶信息除了需要遵循合法、正當(dāng)、必要三大原則外,還需要獲得用戶的同意,同時隱私政策應(yīng)做好區(qū)分業(yè)務(wù)功能的準(zhǔn)備。
