数字时代背景下的企业数据合规之路(二)如何合规收集个人信息

来源:海普睿诚律师事务所

文章摘要
引 言 2023年2月8日,工信部对46款移动互联网应用程序(APP)及第三方软件开发工具包(SDK)中存在的侵害用户权益行为进行了通报,并要求及时整改。
引 言
2023年2月8日,工信部对46款移动互联网应用程序(APP)及第三方软件开发工具包(SDK)中存在的侵害用户权益行为进行了通报,并要求及时整改。该讯息的发布,一方面说明我国对于个人信息保护的执法监管体系正在逐步加强,另一方面也反映出当前诸多数据运用企业在个人信息收集中存在较多违规行为。
信息数据的收集、储存、访问使用、处理、共享、转让、销毁等多个阶段,共同构成数据信息的全生命周期,而该周期中“生命之始”即为个人信息的收集阶段,因此也值得研讨。
01、什么是个人信息
根据《个人信息保护法》规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,不包括匿名化处理后的信息。可见,只要通过信息本身的特殊性可以将某个特定自然人与其他人区分开来,完成识别(即使不知道该自然人的姓名或者社会身份),该信息即属于个人信息。如姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、账户密码、征信信息等。
通常,根据个人信息的敏感程度,可以将个人信息分为敏感个人信息与一般个人信息。敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息;一般个人信息主要为敏感个人信息之外的其他个人信息。
《信息安全技术个人信息安全规范》(GB/T 35273-2020)附录A、B也分别对一般个人信息、敏感个人信息进行列举,详见本文附件。
02、如何合规收集个人信息数据
我国《网络安全法》第41条对收集个人信息进行了基础性规定,该条要求,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的三大原则。具体而言:
(一)合法性
1. 不应以欺诈、诱骗、误导的方式收集个人信息
网络运营者收集用户个人信息,应依法如实、全面告知收集个人信息的真实目的,不得为了追求形式上的合规宣称收集信息用于 A 目的而实际却用于 B 目的,保证数据收集合法合规。
2. 不应隐瞒产品或服务所具有的收集个人信息的功能
业务功能通常是网络运营者为面向用户具体使用需求所提供的完整服务类型,如地图导航、即时通信、网络支付、新闻资讯、网上购物、餐饮外卖、交通票务、求职招聘、网络借贷等。网络运营者在用户信息收集说明中应全面列举收集个人信息的业务功能,避免使用“等、例如”等字样,确保业务功能逐一对应。
3. 不应从非法渠道获取个人信息
对网络运营者而言,通过间接手段获取用户个人信息时,不应从非法渠道获取个人信息;对于数据提供方,应对其数据来、是否取得用户授权以及授权范围进行审查,避免出现非法收集个人信息的情况。
(二)正当性——“告知+同意”原则
1. 主动、及时告知
“告知”原则是个人信息保护法律体系中最基本、最核心的规则。《个保法》第十七条规定,收集个人信息之时要以显著方式、清晰易懂的语言真实、准确、完整地向个人告知相关内容,内容包括个人信息处理者的名称、处理目的、使用规则、种类、保存期限等。
2. 取得同意
《网络安全法》第41条明确将被收集者同意作为个人信息收集的合法性基础,即除法律、行政法规规定特殊情况下,收集个人信息应当取得个人的明示同意,具体规则如下:
(1)一般规则
基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。
(2)敏感个人信息
处理敏感个人信息应当取得个人的单独同意,并告知个人处理敏感的必要性以及对个人权益的影响。
(3)不满十四周岁未成年人个人信息
个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。
(4)重新获得同意的情形
个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
(5)例外情形
《个人信息安全规范》第5.6条中规定了无需经得个人同意便可收集处理个人信息的11中例外情形,主要包括为履行法定义务、保障公共利益、履行合同、开展合法的新闻报道、维护产品或服务的安全稳定运行等,除上述情形外,如需收集、处理个人信息,均需以个人的同意为前提。
(三)必要性——“最小、必要”原则
根据《个人信息安全规范》第4条规定,必要性即只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。比如,就网络运营者而言,在收集个人信息时,所收集的个人信息必须是实现其产品或服务基本业务功能所必需的,即如果不收集这些个人信息,那么产品或服务的基本业务功能就无法实现;换言之,如果不需要收集任何个人信息或者收集少数的一些个人信息,也完全可以实现基本业务功能的,处理者就不能收集或者不能多收集个人信息。否则,该数据收集行为就是违法的,具体如下:
1. 确定基本业务功能所能收集的个人信息的最小范围
为最大限度规避行政合规风险,网络运营者可对照《常见类型移动互联网应用程序必要个人信息范围》(国信办秘字〔2021〕14号)、《个人信息范围规定》确定各类型基本业务功能下可收集的必要个人信息的范围。对于超出上述范围的与基本业务功能相关的个人信息收集,应当向用户明示其所收集个人信息的目的并经用户自主选择同意。
2. 不得以非正当方式强迫收集用户个人信息
网络运营者应根据用户主动填写、点击、勾选等自主行为,作为各个业务功能收集使用个人信息的前提条件;此外,新增业务功能申请收集的个人信息超出用户原有同意范围时,不因用户拒绝新增业务功能收集个人信息的请求,拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外。
结 语
随着公民个人信息保护意识的不断增强、个人信息保护执法力度的不断加大,违规收集个人信息、超范围收集个人信息等各类违法、违规收集行为必然上升为行业监管热点,因此,企业只有及时根据国家监管体系制定、完善自身的合规体系,做到合法、合规的收集个人信息,才能更好的在数字时代的红利下稳步前行。
附件:
附录A:一般个人信息

附录B:敏感个人信息

技术驱动法律,专业成就未来