近年來,App強(qiáng)制授權(quán)、過度索權(quán)、超范圍收集個人信息的現(xiàn)象越演愈烈。2019年以來,國家多部委重拳出擊,著重整治App違規(guī)違法收集個人信息亂象。截至目前,已有幾十款A(yù)pp遭到強(qiáng)制下架、上百款A(yù)pp被點(diǎn)名整改,App收集個人信息領(lǐng)域迎來了強(qiáng)監(jiān)管元年。面對來勢洶洶的強(qiáng)監(jiān)管高壓,App運(yùn)營商該如何做好信息收集工作?哪些個人信息可以收集?哪些不行?其中有哪些風(fēng)險點(diǎn)值得關(guān)注?接下來一段時間,本團(tuán)隊(duì)將陸續(xù)推出App合規(guī)的系列文章,為App運(yùn)營商合規(guī)收集個人信息提供方法和思路。
本篇是系列文章的第六篇:App運(yùn)營商使用個人信息的注意事項(xiàng)
App運(yùn)營商在收集用戶信息時需要遵循合法、正當(dāng)、必要三大原則,且需要獲得用戶的同意,同時隱私政策應(yīng)做好區(qū)分業(yè)務(wù)功能的準(zhǔn)備。實(shí)際上,App運(yùn)營商在使用用戶信息上也需要做到合規(guī)操作。
一、做好個人信息訪問的控制措施
App運(yùn)營商在使用個人信息時應(yīng)做好個人信息訪問的控制措施,避免出現(xiàn)內(nèi)鬼,盜取個人信息對外販?zhǔn)邸J紫龋瑢Ρ皇跈?quán)訪問人員,App運(yùn)營商應(yīng)建立最小授權(quán)的訪問控制,包括對個人信息的重要操作設(shè)置內(nèi)部審批流程,層層把關(guān),使得用戶信息的使用符合業(yè)務(wù)功能的目的;其次,對于管理人員、操作人員和審計(jì)人員,App運(yùn)營商應(yīng)設(shè)置角色分離機(jī)制,建立一套類似于財(cái)務(wù)審批需要審核、復(fù)核,出納人員各司其職的角色流程;最后,如確需授權(quán)超權(quán)限處理個人信息的,App運(yùn)營商應(yīng)指定負(fù)責(zé)人進(jìn)行審批,并記錄在冊,做到事事留痕,有跡可循。
司法實(shí)踐中,曾出現(xiàn)多例因未做好合規(guī)使用個人信息導(dǎo)致公司出現(xiàn)嚴(yán)重問題,甚至公司負(fù)責(zé)人被判刑的案件。其中,最著名的案例當(dāng)屬“數(shù)據(jù)堂案”:
二、限制個人信息使用的目的
除了建立一套個人信息訪問的控制操作流程外,App運(yùn)營商應(yīng)明確使用個人信息的目的須與其在隱私政策中所公示的目的相符。其中,對所收集的個人信息進(jìn)行加工處理而產(chǎn)生的信息,能夠單獨(dú)或與其他信息結(jié)合識別自然人個人身份,或者反映自然人個人活動情況的,也應(yīng)將其認(rèn)定為個人信息。
實(shí)踐中存在不少“大數(shù)據(jù)殺熟”的現(xiàn)象,例如:
現(xiàn)象一
有亞馬遜用戶反映,他刪除瀏覽器的cookies后發(fā)現(xiàn),之前瀏覽過的DVD商品售價從26.24美元降到了22.74美元。
現(xiàn)象二
2018年,有網(wǎng)友爆料稱被“飛豬”APP殺熟,利馬到布宜諾斯艾利斯的機(jī)票,同一航班,別人賣2500,“飛豬”APP卻賣自己3211元。另外,也有人爆料自己搜索到的機(jī)票價格是2300+,實(shí)際下單后卻變成了2900+。甚至還有人僅僅是因?yàn)槭褂弥Ц秾毜念l率較高,就發(fā)現(xiàn)同樣的酒店、房間和時間價格卻有差異。
現(xiàn)象三
有人反映,自己經(jīng)常用某賬戶買牛奶,一段時間后發(fā)現(xiàn)自己賬戶登錄后看到的牛奶價格比家人賬戶下看到的貴了約6塊錢,而有些別的賬戶甚至通過鏈接都找不到該款牛奶。同樣的商品對不同的人也有不同價格。
現(xiàn)象四
有人爆料稱,自己是餓了么金牌會員,經(jīng)常點(diǎn)餐的餐廳原本自動有折扣,但自己選擇地址后折扣就被取消,而用同事的手機(jī)下單仍有折扣,差價可達(dá)14元。另有人和同事一起訂同樣地點(diǎn)同樣菜品的外賣,配送費(fèi)卻相差2元。
上述現(xiàn)象就與App運(yùn)營商收集使用了用戶信息有關(guān)。如果App運(yùn)營商未在隱私政策中主要明示其將使用用戶信息用于分析用戶行為等目的,筆者認(rèn)為上述“大數(shù)據(jù)殺熟”的情況歸根到底從信息使用來源上就存在違法的狀態(tài)。
三、做好用戶畫像與個性化展示
除了前述兩點(diǎn)外,App運(yùn)營商使用個人信息在用戶畫像和個性化展示時也應(yīng)該做好合規(guī)操作。首先,用戶畫像中對個人信息主體的特征描述應(yīng)合法、符合公序良俗;其次,新聞信息個性化展示中,應(yīng)顯著區(qū)分個性化推送服務(wù),提供退出或關(guān)閉選項(xiàng);最后,根據(jù)消費(fèi)者的興趣愛好、消費(fèi)習(xí)慣等特征向其提供個性化展示,應(yīng)同時提供不針對其個人特征的選項(xiàng)。實(shí)際上,上述“大數(shù)據(jù)殺熟”的現(xiàn)象也是App運(yùn)營商未合規(guī)做好用戶畫像與個性化展示的結(jié)果。
