近年来随着我国APP蓬勃发展,新模式、新业态的不断涌现,APP侵害用户权益、违规收集使用个人信息的问题日益突出:如科勒卫浴、宝马等知名商家在全国各地多家门店安装人脸识别摄像头,海量收集顾客人脸信息;智联招聘、前程无忧等猎聘平台大量用户简历流向黑市,个人信息遭随意贩卖;“内存优化大师”等APP表面是在清理手机垃圾,实则不断偷偷获取手机里的个人信息,对老年人进行电信诈骗用户画像。
针对前述APP个人信息违法违规使用的问题,国家有关部门也采取了一系列治理措施。2019年1月,国家网信办、工信部、公安部、国家市场监管总局联合发布《关于开展APP违法违规收集个人信息专项治理的公告》,加强对违法违规收集使用个人信息行为的监管和处罚。今年《个人信息保护法》的颁布实施,不仅进一步巩固了之前已出制度和监管成果,而且对于用户方权利、服务方义务做出了体系化提升。《网络数据安全管理条例(征求意见稿)》的出台,更是对个人信息保护作出了更具实操性的规定。
《网络数据安全管理条例(征求意见稿)》(以下简称“《条例》”)下的个人信息保护具体如下:
1.关于个人信息处理规则
首先,对于数据处理者处理个人信息,《条例》第二十条1、第二十一条2在《个人信息保护法》所提出的以“告知+同意”为核心的处理规则基础上,对数据处理者制定个人信息处理规则提出了更高的要求,即要求该等规则要“明确具体、简明通俗、系统全面”。
其次,针对近年来APP未经用户同意读取信息,侵犯个人隐私并频繁收集个人信息的问题,例如最近备受热议的多款APP在后台反复读取用户相册事件,《条例》中也首次明确了要求将个人信息收集的频次或时机在用户协议中列明,响应了《个人信息保护法》规定的“最小必要”原则,更好地保障用户的知情权。
第三,对于个人信息处理规则,《条例》第二十条还提出了以下重点要求:
1.以清单形式列明目的、用途、方式、种类、频次或时机、保存地点;2.写明存储期限的确定方式;3.写明个人信息权利实现的方式;4.集中展示等形式列明第三方信息(含目的、方式、种类、频次/时机、处理规则);5.明确个人信息保护负责人联系方式。
此外,根据《条例》的规定,日活用户超过一亿的大型互联网平台运营者制定平台规则、隐私政策或者修订对用户权益有重大影响协议的,应经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。
笔者认为,在《个人信息保护法》出台及《条例》正式生效后,若APP在提供服务时,要求用户同意相关政策才能使用相关服务,建议用户仔细研读用户协议,若用户协议不符合前述要求,用户可拒绝同意,并将情况向相关监管部门投诉,切实保障个人信息安全。
2.关于个人同意规则
相较于《个人信息保护法》对于“个人同意”的规定,《条例》第二十一条提出了更详细、具体的要求,具体如下表:
此外,需提示数据处理者关注:《条例》明确规定,“对个人同意行为有效性存在争议时,数据处理者负有举证责任”,该规定意味着若个人对“取得同意”事项上有异议的,数据处理者应证明其已经取得个人同意。因此,数据处理者应关注相关证据收集事宜。
3.关于数据处理者的删除义务
在《个人信息保护法》对在何种情形下,个人信息处理者应当主动删除个人信息,以及个人信息处理者未删除的,个人有权请求删除进行了规定。在此基础上,《条例》第二十二条3对数据处理者的删除义务进行了细化,明确数据处理者应在十五个工作日内删除个人信息或进行匿名化处理;删除难以实现,或十五个工作日内删除确有困难的,数据处理者不得开展除存储和必要的保护措施之外的处理方式,并应当向个人作出合理解释。
同时,《条例》第二十三条4还要求数据处理者能够提供便捷的个人信息查询方式,且相关权利实现的条件应当合理、及时,即数据处理者应当为用户配备提供查询信息的渠道和便利,以便用户获悉自己信息哪些信息被搜集,被搜集存放在何处,被搜集使用在何处,充分保障用户的知情权。
自《中华人民共和国网络安全法》生效后,很多处于灰色地带的业务都不能再进行,特别是出现程序员因写爬虫而被刑侦的事件,把网络数据安全推到了风口浪尖。针对此,《条例》相对于《个人信息保护法》第四十七条5规定的数据处理者应删除个人信息的情形,增加了“因使用自动化采集技术等,无法避免采集到的非必要个人信息或者未经个人同意的个人信息”这种应当删除的情形,这也是对近期受到广泛热议的“爬虫”获取数据,以及网联汽车获取非必要数据的回应。
笔者认为,《条例》赋予了个人要求数据处理者对收集到的其个人信息进行删除的权利。在使用APP时,若用户觉得自己的隐私受到侵害,可要求数据处理者对收集到的个人数据进行删除,无疑是加大了个人信息保护的力度。
4.生物特征识别不得作为身份认证的唯一方式
如今,人脸识别作为新兴的生活方式,已经在乘车、打卡、支付、办证、公安司法等场景中快速普及,不少APP在进行身份安全认证时,人脸识别已成为必不可少的重要一环。但是部分APP存在强制性收集人脸的情况,如小区物业要求刷脸才能进、宝马等知名商家在全国各地多家门店安装人脸识别摄像头,海量收集顾客人脸信息等,针对上述问题,本次《条例》也做了明确规定。根据《条例》第二十五6规定“数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息”,意味着今后数据处理者必须提供人脸等生物特征识别以外的其他认证方法。在《条例》生效后,前述强制性收集个人生物特征识别信息情况都将会被要求整改,以避免个人信息被滥用收集。
结语
本次《条例》在第三章中规定了专门适用于个人信息保护的规则。通过研读这些具体规则,除了与《个人信息保护法》的相关规定进行衔接和细化之外,笔者发现不少在行政执法的实践层面总结提炼出的具体要求,尤其是APP个人信息保护监管领域中的成熟做法,《条例》均做了合理吸收和采纳。
《个人信息保护法》及本次《条例》的出台,无疑进一步加强了对APP用户个人信息的保护广度和深度,而其对于APP监管者、APP信息处理者、APP合规保障者三方主体的影响则更具有全局性和深远价值。
注释
1 《网络数据安全管理条例(征求意见稿)》第二十条 数据处理者处理个人信息,应当制定个人信息处理规则并严格遵守。个人信息处理规则应当集中公开展示、易于访问并置于醒目位置,内容明确具体、简明通俗,系统全面地向个人说明个人信息处理情况。
个人信息处理规则应当包括但不限于以下内容:
(一)依据产品或者服务的功能明确所需的个人信息,以清单形式列明每项功能处理个人信息的目的、用途、方式、种类、频次或者时机、保存地点等,以及拒绝处理个人信息对个人的影响;
(二)个人信息存储期限或者个人信息存储期限的确定方法、到期后的处理方式;
(三)个人查阅、复制、更正、删除、限制处理、转移个人信息,以及注销账号、撤回处理个人信息同意的途径和方法;
(四)以集中展示等便利用户访问的方式说明产品服务中嵌入的所有收集个人信息的第三方代码、插件的名称,以及每个第三方代码、插件收集个人信息的目的、方式、种类、频次或者时机及其个人信息处理规则;
(五)向第三方提供个人信息情形及其目的、方式、种类,数据接收方相关信息等;
(六)个人信息安全风险及保护措施;
(七)个人信息安全问题的投诉、举报渠道及解决途径,个人信息保护负责人联系方式。
2《网络数据安全管理条例(征求意见稿)》第二十一条 处理个人信息应当取得个人同意的,数据处理者应当遵守以下规定:
(一)按照服务类型分别向个人申请处理个人信息的同意,不得使用概括性条款取得同意;
(二)处理个人生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息应当取得个人单独同意;
(三)处理不满十四周岁未成年人的个人信息,应当取得其监护人同意;
(四)不得以改善服务质量、提升用户体验、研发新产品等为由,强迫个人同意处理其个人信息;
(五)不得通过误导、欺诈、胁迫等方式获得个人的同意;
(六)不得通过捆绑不同类型服务、批量申请同意等方式诱导、强迫个人进行批量个人信息同意;
(七)不得超出个人授权同意的范围处理个人信息;
(八)不得在个人明确表示不同意后,频繁征求同意、干扰正常使用服务。
个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,数据处理者应当重新取得个人同意,并同步修改个人信息处理规则。
对个人同意行为有效性存在争议的,数据处理者负有举证责任。
3《网络数据安全管理条例(征求意见稿)》第二十二条 有下列情况之一的,数据处理者应当在十五个工作日内删除个人信息或者进行匿名化处理:
(一)已实现个人信息处理目的或者实现处理目的不再必要;
(二)达到与用户约定或者个人信息处理规则明确的存储期限;
(三)终止服务或者个人注销账号;
(四)因使用自动化采集技术等,无法避免采集到的非必要个人信息或者未经个人同意的个人信息。
删除个人信息从技术上难以实现,或者因业务复杂等原因,在十五个工作日内删除个人信息确有困难的,数据处理者不得开展除存储和采取必要的安全保护措施之外的处理,并应当向个人作出合理解释。
法律、行政法规另有规定的从其规定。
4《网络数据安全管理条例(征求意见稿)》 第二十四条 符合下列条件的个人信息转移请求,数据处理者应当为个人指定的其他数据处理者访问、获取其个人信息提供转移服务:
(一)请求转移的个人信息是基于同意或者订立、履行合同所必需而收集的个人信息;
(二)请求转移的个人信息是本人信息或者请求人合法获得且不违背他人意愿的他人信息;
(三)能够验证请求人的合法身份。
数据处理者发现接收个人信息的其他数据处理者有非法处理个人信息风险的,应当对个人信息转移请求做合理的风险提示。
请求转移个人信息次数明显超出合理范围的,数据处理者可以收取合理费用。
5《中华人民共和国个人信息保护法》第四十七条 有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:
(一)处理目的已实现、无法实现或者为实现处理目的不再必要;
(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;
(三)个人撤回同意;
(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;
(五)法律、行政法规规定的其他情形。
法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。
6《网络数据安全管理条例(征求意见稿)》 第二十五条 数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。
法律、行政法规另有规定的从其规定。
从APP隐私政策看《网络数据安全管理条例(征求意见稿)》下的个人信息保护
作者:余倪来源:中联贵阳

近年来随着我国APP蓬勃发展,新模式、新业态的不断涌现,APP侵害用户权益、违规收集使用个人信息的问题日益突出:如科勒卫浴、宝马等知名商家在全国各地多家门店安装人脸识别摄像头,海量收集顾客人脸信息;智