作者:
胡岩、赵艳明、虞晨等
北京植德律师事务所
目录
一、《规定》出台背景
二、《规定》的相关对比
三、对企业的影响分析
四、结语
一、《规定》出台背景
随着移动互联网快速发展,各类应用程序迅速普及,App超范围收集用户个人信息问题十分突出,*绑捆**一揽子索取个人信息授权现象明显。
2019年1月25日,中央网信办、工业和信息化部、公安部、国家市场监督管理总局联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,App专项治理工作正式拉开帷幕;
2019年11月6日,工信部发布《关于开展App侵害用户权益专项整治工作的通知》;
2020年7月22日,工信部再次发布《关于开展纵深推进App侵害用户权益专项整治行动的通知》,由工信部主导的APP专项整治行动不断深化。截至2021年3月,工信部共完成73万款App的技术检测工作,连续发布12批次对外通报,责令整改3046款违规App,下架179款拒不整改的App;
2021年2月5日,工信部组织召开了App个人信息保护监管座谈会,会议强调2021年将重点解决“麦克风权限滥用”“未经用户同意擅自读写相册”“过度索取通讯录”“隐藏个推关闭选项”等问题。部分企业违背App必要个人信息范围收集、使用个人信息,是出现前述问题的根源之一。
为聚焦解决App超范围收集个人信息问题,规范收集个人信息活动,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合印发的《常见类型移动互联网应用程序必要个人信息范围规定》(下称“《规定》”)于2021年3月正式对外公布,四部门要求各地指导督促本地区App运营者抓紧落实规定要求,《规定》将于2021年5月1日起正式施行。
《规定》以《网络安全法》为上位法依据,共包括七条内容,适用于移动智能终端上运行的App收集用户个人信息的行为。规定明确了App及必要个人信息概念,同时明确地图导航、网络约车、即时通信、网络购物等39类常见必要个人信息范围,要求其运营者不得因用户不同意提供非必要个人信息,而拒绝用户使用App基本功能服务。应该说,《规定》的出台为相关监管部门提供了更有力的执法依据,也为相关企业如何进行合规整改亮起了“指路明灯”。
二、《规定》的相关对比
就“必要个人信息范围”,信安标委于2019年6月发布了技术文件《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》,国家市场监督管理总局、中国国家标准化管理委员会于2020年1月联合发布了国家标准《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范(征求意见稿)》,国家互联网信息办公室于2020年12月发布了《常见类型移动互联网应用程序(App)必要个人信息范围(征求意见稿)》。
经对比,可以发现,首先,《规定》在必要个人信息的定义上,有所调整。增加了“具体是指消费侧用户个人信息,不包括服务供给侧用户个人信息。”该内容,服务供给侧更类似平台内经营者这样的主体,也就是《规定》从规范目标出发,更多还是聚焦App等移动端所面向的个人消费者群体。
其次,部分类别明确了必要个人信息仅限注册用户移动电话号码,也就是消费者可以不用提供个人身份信息,即可以使用该App。一定程度上对于这类企业的商业模式有一定影响,在收集信息范围和使用App基本功能之间,需要注意把握好合规分寸,避免落入非法收集个人信息的违法行为中。
最后,在相关类别的App中,相比其他规定(征求意见稿),新增了一些必要个人信息范围,或者进一步限制了个人信息范围。这些都可以体现出,实务中,《规定》的发布单位充分考虑了实务中App“基础功能”所需要的个人必要信息范围的边界,一直存在不同的观点。
具体对比如下:
序号常见类型移动互联网应用程序必要个人信息范围规定常见类型移动互联网应用程序必要个人信息范围(征求意见稿)信息安全技术 移动互联网应用程序(App)收集个人信息基本规范(征求意见稿) 12021年5月1日起施行2020年12月发布2020年1月发布2必要个人信息,是指保障App基本功能服务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务。具体是指消费侧用户个人信息,不包括服务供给侧用户个人信息。必要个人信息是指保障APP基本功能正常运行所必须的个人信息,缺少该信息App无法提供基本功能服务。最小必要信息是指保障某一服务类型正常运行所最少够用的个人信息,包括一旦缺少将导致该类型服务无法实现或无法正常运行的个人信息,以及法律法规要求必须收集的个人信息。3App包括移动智能终端预置、*载下**安装的应用软件,基于应用软件开放平台接口开发的、用户无需安装即可使用的小程序。/安装、运行在智能移动终端上的应用程序,简称App。4地图导航类,必要个人信息为:位置信息、出发地、到达地。地图导航类,必要个人信息为:位置信息。精准定位信息仅用于确定用户位置,提供地图搜索展示和导航服务。5网络约车类、即时通信类、网络社区类、网络支付类、网上购物类、餐饮外卖类、交通票务类、婚恋相亲类、求职招聘类、网络借贷类、房屋租售类、二手车交易类、问诊挂号类、旅游服务类、酒店服务类、学习教育类、本地生活类、女性健康类、用车服务类、投资理财类、手机银行类、邮箱云盘类、远程会议类中的必要个人信息仅限注册用户移动电话号码。除电话号码外,可提供其他真实身份信息。除电话号码外,可提供其他真实身份信息。6女性健康类移除了所有必要个人信息。必要个人信息:(1)注册用户移动电话号码或其他真实身份信息(App提供者提供多种选项,由用户选择其一)。(2)用于健康管理的历史信息。未提及女性健康类。7邮件快件寄递类新增寄件人证件类型和号码等身份信息、寄递物品的名称、性质、数量作为必要个人信息。/涵盖快递运单号码、客服沟通记录和内容作为实现服务所需个人信息。8交通票务类新增ETC服务下的车牌号及车牌颜色作为必要个人信息。/涵盖客服沟通记录和内容作为实现服务所需个人信息。9问诊挂号类为患者提供预约挂号的医院和科室此类必要个人信息增加“挂号时”的限制;新增提供病情描述作为必要个人信息,加上“问诊时”的限制。/涵盖过往病史、是否首诊、第三方支付信息作为实现服务所需个人信息。10网上约车类、网上购物类、用车服务类明确支付信息具体包含支付时间、支付金额、支付渠道等。其中,用车服务类新增位置信息作为必要个人信息的具体要求。仅强调支付信息,未进行具体阐述。明确支付信息具体包含支付时间、支付金额、支付渠道等。11用车服务类、网络支付类、网络借贷类移除了证件影印件要求;投资理财类将证件影印件及用户支付账号纳入必要个人信息范畴。含证件影印件要求。/
三、影响分析
应该说这几年我国的个人信息立法体系逐步在完善,目前出台的《网络安全法》《民法典》等上位法,一定程度上充当着“骨架”的作用,但是这个骨架还需要不断完善,例如正在立法路上的《个人信息保护法(草案)》《数据安全法(草案)》,一定程度上以“特别法”的姿态,进一步在塑造我国个人信息保护立法的“更清晰”的“骨架”。
不管是过去各个和个人信息保护有关的国标、行标,还是《规定》的出台,在上述“骨架”还没有完全塑造之前,其实都是监管部门积极执法,回应数据合规实务中的一些老问题或者新问题。个人信息收集作为整个个人信息生命周期管理的第一个环节,“首当其冲”被监管作为治理数据市场乱象的对象。而到底企业收集哪些个人信息,才算是满足了《网络安全法》所要求的“必要性”原则,一直存在很多争议。
结合《规定》的内容,我们认为下述几点影响,值得企业关注。
第一,《规定》把收集“必要”的个人信息范围,一定程度上说清楚了。为此企业下一步应该注意在这个合规动作上,确保做到不被处罚。
企业在明确自身App类别后,从《规定》中按图索骥,找到必要个人信息的范围,对照自身《个人信息保护政策》的内容,以及个人信息的收集流程,包括消费者在使用App过程中,是否面临“不提供必要个人信息范围外的信息就无法使用APP基础功能”的这种常见违规情形。这个应该是监管未来执法非常清晰的标尺。
很多企业经常反馈说,执法标准不一致或者不清晰。但是从《规定》来看,至少在这个点上,已经统一标准(四部委发布该《规定》),那么这四个监管单位在对于个人信息收集范围这个问题上,就不会存在冲突。为此,虽然企业数据合规仍然“任重道远”,但是面临已经统一的一些执法标准,建议要坚决执行。
第二,《规定》的出台,不代表企业只能收集《规定》所明确的个人信息范围。在必要个人信息范围以外的个人信息,仍然可以收集,但是需要结合我国《信息安全技术个人信息安全规范(GB/T 35273-2020)》(下称“个人信息国标”),明确其是否属于扩展功能范围以及结合所收集的个人信息的类别判定收集程序的合法性。
例如个人信息国标表C.1中,提到
“6、扩展业务功能时基本业务功能之外的其他功能,常见的扩展业务功能如:基本业务功能基础上的一些衍生服务或新型业务、提高产品或服务的使用体验的附加功能(如语音识别、图片识别、地理定位等)、提升产品或服务的安全机制的扩展功能等(如收集密保邮箱、指纹等)。”
“7、扩展业务功能一般具有可选择、可退订、不影响基本业务等特点,个人信息控制者在识别扩展业务功能时需要充分分析其是否具备这些特点,不应将扩展业务功能等同于基本业务功能,强制收集个人信息。”
为此,我们在理解《规定》的内容时,一定要结合App扩展业务功能去看这个问题。不能错误的理解,一个App只能收集《规定》所明确的个人信息,其他任何情况下都不可以收集其他个人信息。但是实践中,鉴于互联网产品丰富多样,对于多重功能聚合的互联网产品,如何确定它们的基本功能,以及由此带来的必要个人信息范围的确定,仍然可能面临一定的不确定性。
第三,如果企业不遵守《规定》,其面临的后果是多样的,包括《网络安全法》的处罚规则,以及未来实施的《个人信息保护法》的处罚规则。当然,还包括目前我们所熟悉看到的各类曝光、限期整改、App下架等监管措施。
《个人信息保护法》一旦发布,其处罚规则(《个人信息保护法(草案)》中第六十二条的责令改正、没收违法所得、五千万元以下或者上一年度营业额百分之五以下罚款、暂停相关业务、停业整顿、吊销业务许可或营业执照),配合《规定》以及其他类似统一执法标准的数据合规动作,将很大程度上,进一步推动企业完成数据合规的法定义务。
第四,SDK结合《规定》,在收集必要的个人信息的合规性要求上,也不能置身事外。
《规定》第二条第二款并未明确将SDK纳入App范畴中,第一款仅强调“移动智能终端上运行的App存在收集用户个人信息行为的,应当遵守本规定。法律、行政法规、部门规章和规范性文件另有规定的,依照其规定。”但我们认为,SDK并不能置身事外。《个人信息国标》9.1“委托处理”、9.6“共同个人信息控制”、9.7“第三方接入管理”三个条款,一定程度上,涵盖了各类APP与SDK的关系,可以从中注意到,SDK在收集个人信息时,都应结合其与APP的不同法律关系,履行自身的合同义务和法定义务。
例如,当SDK作为受托人处理个人信息时,应确保“按照个人信息控制者的要求处理个人信息”;再如,当SDK作为和App一样的共同个人信息控制者或者作为独立第三方接入管理时,对于必要个人信息的收集范围,SDK也应满足《规定》的要求。
此外,其他征求意见稿,例如《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范(征求意见稿)》提及了关于SDK的内容,其强调APP运营者具有确保第三方SDK提供者履行个人信息安全保护并且不收集无关个人信息的义务,同时强调如第三方SDK提供者自行向个人信息主体明示征得授权同意,则其独立担责。
四、结语
万维网的发明者,第50届图灵奖的获得者Tim Berners-Lee认为,如今的互联网面临着三个挑战:一是,个人对自己数据的控制权消失;二是,错误虚假信息太容易在网络传播;三是,在线政治广告应该具备透明度和理解力。
在数字化经济时代,数据治理,不管是大到国家、政府,还是小到企业,已经成为一个热门且绕不过去的话题。《规定》的出台,引起较大反响,一定程度上是击中了很多企业主在个人信息“必要”收集范围上的痛点问题。《规定》采取的“场景分类法”既有利于企业快速找到自身所属门类,又利于个人信息主体通过耳熟能详的诸多场景了解自身个人信息收集的必要范围,避免被“强制要求收集过宽的个人信息”。
但是值得注意的是,企业仅仅满足《规定》的要求,只是其数据治理体系化工作中的一个很小的环节,企业需要不断提升自身的“数据安全和保护能力”,避免发生不可挽回的“个人信息泄露”事件,进而导致面临民事、行政,甚至刑事责任风险。而面对个人信息生命周期的其他环节(例如共享、传输、对外提供、删除等)的“痛点”问题,未来随着各类规定的细化,相信也会逐一解决。
最后,结合《规定》,我们建议相关企业:
1. 开展App等移动端自查。企业应结合《规定》,评估自身商业模式受影响的程度,并做好时间表;
2. 更新个人信息保护政策。企业应区分基础功能和扩展功能,确保个人信息主体充分知情同意,了解被收集个人信息范围、目的、方式及用途,并在本规定指导下于有限范围内收集最小必要信息;
3. 健全用户投诉反馈渠道。企业也应配合完善自身App的投诉反馈渠道,以良好接收用户建议和投诉,及时响应并采取合规措施,减少被纳入违法整治名单曝光、限期整改和下架的风险;
4. 加强企业内部相关部门人员的数据安全培训工作。
◤往期回顾◥
律师解读 | 《网络交易监督管理办法》
律师解读 | 民法典适用的时间效力原则
律师解读 | 《区域全面经济伙伴关系协定》对货物贸易的规定
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市律师协会立场。
欢迎大家踊跃投稿,分享各自观点。
来源:北京植德律师事务所