【引言】
近年來,App強制授權、過度索權、超范圍收集個人信息的現象越演愈烈。2019年以來,國家多部委重拳出擊,著重整治App違規違法收集個人信息亂象。截至目前,已有幾十款App遭到強制下架、上百款App被點名整改,App收集個人信息領域迎來了強監管元年。面對來勢洶洶的強監管高壓,App運營商該如何做好信息收集工作?哪些個人信息可以收集?哪些不行?其中有哪些風險點值得關注?接下來一段時間,本團隊將陸續推出App合規的系列文章,為App運營商合規收集個人信息提供方法和思路。
本篇是系列文章的第七篇:App運營商共享個人信息的注意事項。
01 合規操作指引
App運營商不僅在收集、使用用戶信息時需要注意合規操作,其在共享用戶信息上也應該遵守相關的合規要求。首先,App運營商在共享個人信息時,應事先征得主體授權同意,如果個人信息屬于敏感信息的,還應該事先征得主體的明示同意;其次,共享時應準確記錄和保存個人信息的共享、轉讓情況等;最后,App運營商應事先開展安全影響評估,并依評估結果采取有效措施。
值得一提的是,如果App運營商是共享給境外的合作伙伴,還應當根據App運營商所處的行業來判斷進行跨境共享可能面臨的限制。如果App運營商是屬于公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域的運營商,則App運營商的數據共享出境將會嚴格受到監管;如果不是上述關鍵信息基礎設施的運營商,仍會受到監管部門的審核監管。但由于現階段監管部門尚未完全明確,App運營商共享出境或多或少都會受到影響。
02 司法實踐難題
正如前文所述,App運營商在共享個人信息時,應事先征得主體授權同意,但司法實踐中發現,所謂的“授權主體”不一定指用戶,而可能是指互聯網平臺。2016年,微夢公司(新浪微博的運營商)以“第三方數據侵權”為由起訴淘友技術公司、淘友科技公司(脈脈軟件和脈脈網站的共同運營商),法院判決認為“微博用戶是微博的重要商業資源,這些用戶信息是微博開展經營活動的基礎,也是保持競爭優勢的必要條件,脈脈的行為侵犯了微博的合法權利”;2019年,騰訊計算機公司、騰訊數碼公司和騰訊科技公司(微信、QQ的共同運營商)以“第三方數據侵權”為由起訴北京微播視界公司(抖音運營商)、北京拍拍看看公司(多閃運營商),法院判決認為“經平臺授權的數據要遵循‘最小必要原則’,平臺授權的數據僅能用于登陸目的”,裁定“抖音和多閃的行為已經侵犯了騰訊的合法權利,支持騰訊提出行為保全的訴請”。換言之,法院認為互聯網平臺本身的長期積累使其自動獲得對用戶信息的占有權,其有權授權或者不予授權第三方App運營商使用用戶信息。
法院的判決將導致實踐中難以解決的難題:即假如個人信息的主體權利有可能是互聯網平臺,那么當用戶不想將個人信息給與第三方應用程序,或者想把個人信息給與第三方應用程序時會發現自身喪失了該權利,將導致與生俱來的權利無法自決使用的問題。
03 第三方App運營商如何做好共享合規
撇開前述司法難題,根據 “脈搏之爭”和“頭騰大戰”的案例,我們發現如果互聯網平臺長期壟斷用戶個人信息,第三方App將很難取得互聯網平臺的個人信息,無法進行用戶信息的共享。遇到這種情況,該怎么處理呢?筆者認為,可從以下幾個方面進行操作:
第一,由于“三重授權”原則已經獲得實務上的認可,因此對于平臺授權第三方App運營商的數據,該類數據僅可作為登陸目的使用,不能用于其他目的。第三方App運營商應運用技術手段,嚴格區分平臺授權下獲取的數據和自身獲取的用戶數據,建立隔離機制和定期審查機制,共享自身所獲取的數據。
第二,如果第三方App運營商同時也是開放平臺,那么第三方App運營商在草擬《開發者協議》中要做好自身數據的保護措施,可規定數據收集方在收集用戶任何數據時,必須事先獲得用戶的明確同意,從而獲得自主共享的權利。
