背景
随着互联网技术的发展和手机、平板电脑等移动终端的普及,移动互联网应用(以下简称“APP”)俨然已经成为人们网络生活中最常见的工具,也是网络运营者获取个人信息最便利和常用的方式。APP与个人之间的紧密联系同时意味着它是最容易影响个人信息主体信息安全的领域之一。因此,对个人信息保护的关注在APP领域可以具象化为多项执法监管和专项整治活动的开展,以及与APP相关信息收集使用的指南、规范(包括草案和征求意见稿)的频繁发布。
从APP个人信息保护为出发点,以下我们简要梳理了包括《信息安全技术 个人信息安全规范(征求意见稿)》(2019年10月版)在内,目前我国《网络安全法》下与个人信息保护相关的热点问题、主要监管规定以及专项治理活动中的主要关注点,以期为企业在面临多来源监管规定和执法环境下的个人信息保护合规工作提供参考和思路。
一、隐私政策与授权同意
在各国的个人信息保护立法实践中,个人信息主体的同意始终是信息处理的重要合法性基础之一。其中隐私政策既是网络运营者向个人信息主体告知个人信息处理规则以获得明确授权的重要途径,也是监管机构评估网络运营者个人信息保护合规性、判断授权同意的有效性重点关注内容。结合2019年以来监管机构对APP收集使用个人信息的多次评估审查,我们对通过隐私政策获得个人信息主体的具体实践要点总结如下:
1. 《隐私政策》应当就哪些信息处理告知个人信息主体并获得授权同意?
当数据控制者通过《隐私政策》完成告知并获取个人信息主体的授权同意时,可能需要在隐私政策中列明个人信息的收集规则、使用规则和共享、转让规则[1]。具体而言:
- 列明具体的功能场景,以及与功能场景一一对应的个人信息收集类型,收集和使用目的,其中提供个人敏感信息时需要同步实时说明原因;列明用Cookies及其同类技术收集个人信息的情形中所收集个人信息的目的和类型;
- 列明个人信息的其他使用情形,如用户画像、个性化展示等;
- 列明个人信息转让、共享的目的、涉及的个人信息类型、接收方,列明第三方代码嵌入、插件等方式将个人信息传输至第三方服务器的情形并通过弹窗提示进行明确告知;
- 对于个人敏感信息的采集,除隐私政策以外,在每次实时采集时,可能还需要通过口头或弹窗形式再次向数据主体说明原因。
2. 确保隐私政策文本的独立性、易读性
当网络运营者尤其是APP运营商在提供隐私政策时,应当以明显方式呈现文本,同时保证隐私政策文本具有独立性、可读性。具体而言:
- 优化APP首次运行时的隐私政策呈现方式,如主动弹窗显示核心内容、或在注册并勾选同意前提供隐私政策文本链接;
- 优化隐私政策在APP内的布局位置,避免多次点击、滑动才能访问的设计;
- 确保隐私政策文本单独成文,并在用户未退出账号登陆的情况下依然能够方便查阅。
3. 避免未经同意收集、使用、共享个人信息的情形
网络运营者未经同意收集、使用、共享个人信息的情形,既包括由于隐私政策未能充分披露和告知而导致的“未经同意”,也包括在信息收集时尚未提示用户阅读隐私政策导致的“未经同意”。因此企业可能需要:
- 开展个人信息收集使用及共享的自查、总结并定期更新隐私政策,确保充分完整的披露和告知;
- 在合理范围内前置隐私政策首次出现的场景、使其尽可能多地覆盖后续的信息收集、使用和共享情形,同时核查信息采集尤其是自动化采集的时点、避免在APP提示用户阅读隐私政策前开始的个人信息收集行为;
- 对基于用户行为分析、产品优化目的与合作方共享设备识别信息、商品浏览记录等信息情况进行梳理,在隐私政策中予以明确披露。
二、最小必要原则
一方面, “最小必要原则”要求企业根据其提供服务的内容,明确为实现服务所需的、可收集的最小必要信息。在这方面,企业可能需要:
- 在进行业务或产品数据处理合规性评估时,考虑不采集某项个人信息或降低个人信息采集的精准度是否仍能实现业务和/或产品功能,若是,则可能不符合最小必要原则的要求;
- 若涉及自动化收集个人信息的场景,企业应注意控制自动化收集个人信息的范围、数量及频率,防止收集超过必要性的范畴;
- 因改善服务质量、提升个人信息主体体验、研发新产品不被单独视为基本业务功能,因此基于以上目的的数据采集需以其他基本业务功能数据采集的范围为限,尤其是为了优化算法目的而过度采集用户行为数据可能会受到数据采集最小化的挑战。
另一方面,企业还应当在满足用户授权同意目的之时及时删除相关个人信息。对于长期存储的个人信息而言需具有法律法规的明确依据,或者从用户角度建立个人信息存储的必要性并事先获取其授权同意。
三、个性化展示
在现行生效的《个人信息安全规范》中,个性化展示的使用并没有设计独立的条款,但在今年发布的6月版和10月版《个人信息安全规范(征求意见稿)》以及近期的APP专项检查中,个性化展示和定向推送都成为了关注重点之一。从10月版征求意见稿来看,除了对业务功能中普遍使用个性化展示进行了规制,要求通过显著标识区分个性化展示和非个性化展示内容外,第7.5条个性化展示的使用还特殊提及了两类业务,即新闻信息服务和电子商务服务。其中,对新闻信息服务的特殊要求在某种程度上是对美国学者桑斯坦的“信息茧房”理论[2]的回应。而电子商务领域的特殊要求则是部分为了解决“ 大数据杀熟”[3]问题,同时也与《电子商务法》的要求相适应[4]。
长远来看,在个性化展示方面,企业可能需要:
- 向用户告知或以显著方式标示定向推送或精准营销的用途,同时提供关闭该功能的选项,尤其对于以定向内容推送为核心业务的企业而言可能还面临产品模式的调整;
- 在提供关闭个性化展示功能的基础上,企业还可能需要提供个人信息主体对标签、画像维度的信息的控制,并保障其可以选择对该部分数据删除或匿名化的权利。
四、注销机制
- 设置便捷且用户友好的注销交互式界面,不设置如以注销为由收集多于服务环节所需的个人信息等障碍,并及时响应个人信息主体的注销请求
- 在收集环节对法律法规规定需要留存的数据予以识别,以便在个人信息主体注销账户之后,对其他没有法定留存要求的数据,及时删除或做匿名化处理;而对有法定留存要求的数据,则妥善保管,但不得将其再次用于业务场景等,以便最大限度地保证企业经营运行的合法合规。
五、共同个人信息控制者的认定和管控
考虑到目前我国尚未有关于共同个人信息控制者的明确定义,参考欧盟GDPR的规定,共同个人信息控制者是指,能够共同决定数据处理目的和方式的两个或两个以上的控制者。[5]例如, APP运营商可能需要与第三方地图服务商合作、包括通过内置sdk代码或API接口等方式向第三方地图服务商传输数据以便获取用户的位置信息,以完成推荐或路线规划等服务,APP运营商与该第三方插件服务商共同决定用户位置信息处理的目的和方式,可能被认定为共同个人信息控制者。
具体而言,企业需从以下方面厘清与共同个人信息控制者的事实情况:
- 厘清与共同个人信息控制者数据交互中的数据流,包括但不限于其中是否包含个人信息、个人敏感信息、行业监管数据,以及数据交互的目的、方式等;
- 厘清与共同个人信息控制者交互的合作模式,如是通过线上或线下交互,通过SDK、API端口对接形式,或者报表、邮件形式等与第三方进行数据交互。
基于以上事实梳理,APP运营商需就与共同个人信息控制者的数据交互进行合法合规性评估,包括但不限于:是否以合同、承诺函等形式与共同个人信息控制者进行责任义务的合理分担;是否在隐私政策等文本中向个人信息主体告知共同个人信息控制者的身份及责任承担;是否知道并确认个人信息共享后的存储安全和进一步使用等情况。基于上述评估,企业最终需证明已审慎履行其对第三方/个人信息共同控制者的注意和监管义务,减轻在发生因第三方引起的数据安全事件时公司承担的责任。
总结
从以上的执法动态和规范指南中不难发现,监管部门对APP领域的关注已经从最初的隐私政策扩展到对APP权限获取、SDK使用、APP网络接口漏洞等多方面[6]的评估和关注,从基本的隐私政策文本内容深入到互联网移动终端的技术和商业模式的层面。
另一方面,APP本身的整改和进一步的规范要求只是个人信息保护的第一步,在可预期的未来,对个人信息保护的规范将继续向更深层次的技术内容和商业模式扩展,从爬虫技术到大数据商业模式、从人脸识别技术到人工智能领域,个人信息保护的规范制度将会随着监管部门对行业的深入了解和国内外个人信息保护动态的深入把握而不断深化。在个人信息保护进入深水区的情况下,企业更需要在深入了解自身个人信息保护实践和商业发展需求的基础上,紧跟个人信息保护发展动态和行业发展趋势、宏观与微观结合,在实现自身有序发展的同时不断提升合规水平,纵然面对 “乱花”般繁复的监管要求,依然能看清前行的路。
[1] 个人信息控制者是指有权决定个人信息处理目的、方式等的组织或个人。
[2] “在他看来,信息茧房意味着人们只听他们选择和愉悦他们的东西。尽管每个人都有自己的阅读偏好是正常的现象,但如果每个人关注的只是自己兴趣内的那一小片天地,他对这以外的世界,就会越来越缺乏了解。这或许不会影响到他个人的生活,但是,在需要公共对话的时候,人们会缺乏共同的 “视角”。而共同 “视角”的缺乏,意味着人们对一些事实的判断会出现差异,共识难以形成。同时,信息环境的封闭与狭隘,也可能会进一步固化人们的某些观点与立场。”《一文了解AI时代的数据风险(后真相时代、算法囚徒和权利让渡)》,https://mp.weixin.qq.com/s/-Y4JLCI-lq1P7io8BobGQg, 2019-09-02,2019-11-28。
[3] “‘大数据杀熟’是利用大数据对老客户进行利益宰割。其技术原理是利用平台收集的海量用户信息和数据,生成用户画像。企业基于用户画像对用户进行精准识别和归类,开启个性化推荐,并通过向消费能力高、消费意愿强的用户展示更高的价格来赚取更多利润。”《“大数据杀熟”在线旅游“强监管”呼之欲出》,https://mp.weixin.qq.com/s?src=11×tamp=1575003095&ver=2003&signature=Qm0lT1cx5wZ8YGY2UFcSgkxbY4fRYv9XCIxtpC-bHwhlnCsn8v4HDsAaQAWbxD9IwlQuBSelnF7DoyFLRtBFcVOONw6Sm8fd7xXn1wd-a4XmRr7u7vi2tMZdrwzvnHVO&new=1,2019-11-25,2019-11-29。需要提示的是,有关“大数据杀熟”问题是否真实存在,仍然在探讨之中,但是我们理解,个性化展示和《电子商务法》的相关条款至少从效果层面可以理解为对社会公众热议的“大数据杀熟”问题给予了一定的回应。
[4] 《电子商务法》第十八条第一款规定,电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的,应当同时向该消费者提供不针对其个人特征的选项,尊重和平等保护消费者合法权益。
[5] 欧盟GDPR第26条。
[6] 2019年10月,中国信息通信研究院安全研究所发布了《2019金融行业移动App安全观测报告》,对13327款金融行业App的高危漏洞、恶意程序、SDK风险、违规索权、安全加固等五个方面展开评估。《App违法违规收集使用个人信息行为认定方法(征求意见稿)》中对App客户端嵌入第三方代码、插件(如sdk)等情形进行了规制。