2021年8月20日,中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议通过了《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),并将于2021年11月1日起施行。《个人信息保护法》与此前颁布的《中华人民共和国网络安全法》(以下简称《网络安全法》)和《中华人民共和国数据安全法》共同构建了我国网络安全及数据安全领域的法律体系基本框架。
一直以来,App运营者作为个人信息处理者,在用户的信息处理活动中一直占据了绝对优势。《个人信息保护法》立法贯穿“信息自决”主线,明确了在个人信息处理活动中个人享有的各项权利,包括知情决定权、查阅复制权、更新补充请求权、删除请求权、规则解释请求权等,还规定了在个人死亡的情形下,其近亲属对死者相关个人信息的查阅、复制、更正、删除的权利。这意味着企业强势、用户弱势的局面有所改变,个人拥有了与信息处理者抗衡的武器,这直接导致App运营者将面临巨大的数据合规压力,亟需调整个人信息处理的逻辑。
本文以App应用的数据合规为着力点,梳理《个人信息保护法》出台背景下App应用需关注的合规要点,并选取5个当前主流App应用,了解其对个人信息保护的现状,结合新规出台的背景提出相关合规建议,以供App运营者/个人信息处理者借鉴。
一、《个人信息保护法》中的App数据合规要点
《个人信息保护法》第二章和第三章详细说明了个人信息处理规则和个人信息跨境提供的规则,本文选取了其中告知同意、自动化决策、敏感个人信息处理及跨境提供个人信息4个方面的重点规则,结合当前App应用的运营现状进行了梳理归纳并予以阐释说明。
(一)告知同意规则
在《个人信息保护法》正式通过前,《网络安全法》将取得个人同意1作为处理个人信息的唯一合法性基础。虽然《信息安全技术个人信息安全规范》(GB/T35273-2020)第5.6条2中规定了11种征得个人授权同意的例外情形,但因其只为推荐性国家标准,仍无法为App运营者处理个人信息的活动提供有力的法律基础,这与实践中普遍存在的个人信息处理现状不相适配。
《个人信息保护法》将个人信息处理者的“告知”及“同意”义务密切联系,告知系同意的前提条件,未告知个人即个人无法得知其信息将被收集处理,有告知才能进一步去获得个人的同意。本文将《个人信息保护法》中的告知规则与同意规则相结合,对个人信息处理的内容性要求与操作性要求梳理如下:
1.告知规则
2.同意规则
《个人信息保护法》将同意划分为一般同意、单独同意、书面同意三种类型。充分知情、自愿、明确为同意的一般要求,而在特殊情形下,需取得个人的单独同意或书面同意。《个人信息保护法》规定了仅在处理个人敏感信息的法定情形需采用书面同意形式,而对于要取得单独同意的情形,则进行了较为详尽的规定,具体如下:
实践中,为高效便捷地取得用户的单独同意,App运营者往往通过将相应条款“一篮子”放入隐私政策的做法来获取用户授权,这种“捆绑式同意”使得用户难以行使拒绝权。鉴于此,《个人信息保护法》明文禁止了“捆绑式同意”行为,除处理个人信息属于提供产品或者服务所必需外,个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由拒绝提供服务。这一规定将倒逼企业更注重App产品功能设计,合规管理海量用户的同意范围。如何精细化管理收集的信息,合法高效地取得用户的单独同意,这无疑向App运营者提出了更高的要求。
笔者提示,App运营者在搜集用户个人信息时应当遵循告知同意的基本规则,遵循内容性及操作性要求以及自身业务的特殊场景要求,从不同个人信息的适用场景、敏感度进行风险评估,不同类型的处理行为需采取不同的同意方式,并为实现不同的同意调整适配不同的同意机制,确保告知同意过程合法合规。
(二)自动化决策规则
《个人信息保护法》第73条第2款明确规定,“自动化决策,是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动”。自动化决策建立在自动化基础上,它通过算法整理收集人们大量个人数据,并研究个人的决策行为,依据大数据进行打分、评价和推荐,使之能够适合不同领域、不同行为方式的决策者需要。
为追求个性化定制服务及培养流量粘性,自动化决策已成为各大App应用的重要商业手段,随之而来的违规定向推送、“大数据杀熟”等现象也层出不穷。截至2021年8月25日,工信部通报了2021年第9批次存在侵害用户权益行为的App共计210款,其中涉及到“强制用户使用定向推送功能”问题的App共32个,占到15%以上3。司法实践中也不乏App运营者因利用“大数据杀熟”而被法院判决承担惩罚性赔偿责任4。
《个人信息保护法》从一审稿到成文,在不断回应社会关注,强化对自动化决策的规制,并最终在第24条第1款明确,“自动化决策应保证透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。”
笔者提示,App运营者作为最重要的自动化决策主体,应当确立算法自动化决策治理框架,具体包括:(1)在利用个人信息进行自动化决策时,应当在事前进行个人信息保护影响评估并对处理情况进行记录,且相关报告和处理情况记录应至少保存3年;(2)针对“大数据杀熟”问题,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇,保障用户的知情权和公平交易权;(3)在保护个人权益方面,App运营者有必要遵守关于用户画像的使用限制,针对通过自动化决策方式作出对个人权益有重大影响的决定的,还应当充分提示用户、获取用户同意,以显著标识区分个性化推荐内容,并提供关闭个性化推荐的功能。
(三)敏感个人信息的处理规则
《个人信息保护法》对个人敏感信息单设专节予以特别保护——第28条至第30条在定义、处理规则上作出要求,第55条对事前影响评估进行规定,第62条提出将制定专门的个人信息保护规则、标准——足见监管部门的重视,这也将极大地改变App应用各项功能的提供方式,对App运营者的业务模式及合规管理产生极大影响。按照个人敏感信息类型,相关处理规则及合规建议如下:
(四)跨境提供个人信息的规则
在数字经济时代下,数据资源随着经济全球化趋势而快速扩张,我国头部互联网企业在跨境网络支付、跨境电子商务、信息网络服务等应用领域已经具有了国际领先水平,在前述活动中对数据的收集、使用、储存等必然涉及数据的跨境双向流动。《个人信息保护法》规定了跨境提供个人信息需要满足的必要前提,并将告知个人并获取个人的单独同意作为另一必要前提条件,具体规则如下表:
二、五大主流App应用风险评估
本文选取社交、购物、新闻、分享、视频等领域内具有代表性的五大主流App应用,以其用户协议及隐私政策为研究对象,主要从权利保障措施、自动化决策、敏感个人信息保护三个方面进行评估5,结合新规即将施行的背景,分析当前主流App应用在数据合规上需要进一步完善的地方。
(一)权利保障措施
1.某社交App
2.某购物App
3.某新闻App
4.某分享App
5.某视频App
6.评估结论
笔者提示,由上可知,在保障个人信息相关权利方面,上述五大App应用并不完全符合即将生效的《个人信息保护法》的要求,具体如下:
(1)关于近亲属相关权利的保护
关于近亲属对死者个人信息享有的相关权利,上述五大App应用均未设置相应条款。
需要特别说明的是,《中华人民共和国民法典》第127条6从法律层面确定了数据和网络虚拟财产的财产属性,但能否据此认定近亲属能够继承或受让死者App账号的数据权益,实践中仍存在较大争议。大多数App平台均秉持用户仅享有App账号的使用权原则,不同程度地限制或禁止用户转让、买卖、出租、赠与、借用App账户的权利,但这并不意味着近亲属的相关权利即无法实现。《互联网用户公众账号信息服务管理规定》7对用户的转让权进行了肯定,且部分App应用的用户协议也为特定情形下账号的转让和继承提供了空间,实践中也不乏App运营者做出初步有益探索,详见本文第三部分合规建议第5点。
(2)关于删除权的保护
① 上述五大App应用均没有设置保障“处理目的已经实现、无法出现或实现处理目的不再必要”情形下用户删除权的条款;
② 对于保存期限届满时的删除权,除某购物App外,其余App应用均未设置相应条款;
③ 对于撤回同意情形下的删除权,除某社交App(零散地在撤回同意的操作设置中同时设定为删除过去收集的个人信息)外,其余App应用均未设置相应条款;
④ 上述五大App应用中,某社交App关于删除权的条款设置最为分散,不利于删除权的实现,且未对部分技术上或因保存期限未满无法删除的信息的后续处理进行说明,在《个人信息保护法》正式施行后将存在较大的合规风险。
(二)自动化决策
1.某社交App
2.某购物App
3.某新闻App
4.某分享App
5.某视频App
6.评估结论
笔者提示,由上可知,在自动化决策方面,上述五大App应用并不完全符合即将生效的《个人信息保护法》的要求,具体如下:
(1)上述五大App应用均规定“关闭个性化广告推送后,看到的广告数量不会减少,但广告的相关性会降低”;
(2)某社交App、某购物App关闭自动化决策的步骤较为繁琐,且许多步骤隐藏在冗长的隐私政策中;同时,个性化推荐广告仅能关闭6个月,6个月后又自动开启,不利于用户选择权的实现;
(3)某分享App虽设置了较为简便的个性化推荐关闭方式,但仅能关闭3个月,3个月后又自动开启,不利于用户选择权的实现;
(4)针对《个人信息保护法》中关于“保证决策的公正透明”及“对重大影响个人权益的决定予以说明”的要求,上述五大App应用的用户协议及隐私政策均未设置相关条款。
(三)敏感个人信息处理
1.某社交App
2.某购物App
3.某新闻App
4.某分享App
5.某视频App
6.评估结论
笔者提示,由上可知,在敏感个人信息处理方面,上述五大App应用并不完全符合即将生效的《个人信息保护法》的要求,具体如下:
(1)上述五大App中某社交App及某购物App的未成年人个人信息保护规则相对完备,但某新闻App、某分享App及某视频App所制定的未成年人个人信息保护规则十分简略,且并未针对14周岁以下未成年人制定专门的规则,《个人信息保护法》正式施行后将存在明显合规风险;
(2)《个人信息保护法》第55、56条特别规定了个人信息处理者在处理个人敏感信息时,应当在事前对个人信息保护影响进行评估并记录相关的处理情况,而上述五大App中除某社交App(仅规定对外提供信息时需进行风险评估)外均缺少该评估措施,《个人信息保护法》正式施行后将存在明显合规风险。
三、App应用合规建议
(一)法律责任
《个人信息保护法》第66-71条与民法、行政法及刑法相衔接,从民事、行政、刑事各方面规定了个人信息处理者违法处理个人信息的相关法律责任,包括:
1.民事责任
(1)过错推定原则
处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
(2)公益诉讼制度
个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。
结合2021年4月22日最高人民检察院发布的首批11个检察机关个人信息保护公益诉讼典型案例,以及2021年8月21日公布的《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》,广东、上海等各省市已陆续探索将个人信息保护纳入公益诉讼范围,未来个人信息保护领域监管及执法力度会再次加强,企业会一旦违反《个人信息保护法》的相关要求,将可能面临更重的法律责任。
2.行政责任
(1)视违法程度及具体情形,可能承担责令整改、给予警告、没收违法所得、责令暂停或者终止提供相关应用程序服务、100万元以下罚款等责任;
(2)情节严重的,需承担责令改正,没收违法所得,并处5000万元以下或者上一年度营业额5%以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照等责任;
(3)直接负责的主管人员和其他直接责任人员也将在1-100万元幅度内承担罚款责任,并可能被禁止在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人;
(4)构成违反治安管理行为的,依法给予治安管理处罚;
(5)存在违背《个人信息保护法》行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。
3.刑事责任
违背《个人信息保护法》的行为,可能构成侵犯公民个人信息罪、诈骗罪、非法经营罪、妨害信用卡管理罪等信用卡类犯罪、非法侵入计算机信息系统罪等计算机信息系统类犯罪等,若构成前述罪名的,将被依法追究刑事责任。
(二)合规建议
结合前述5大主流App应用的数据合规评估情况,笔者建议,App运营者应对照《个人信息保护法》进行自查,及时对App应用的用户协议及隐私政策内容进行调整,建立并完善其内部数据管理机制,确保App应用在资质、内容、技术及个人信息生命全周期内均符合《个人信息保护法》的新要求。具体包括:
1.建立个人信息删除机制,保障用户删除权的实现
在删除权条款的设置上,建议App运营者严格依照《个人信息保护法》的要求,在相关用户协议或隐私政策中集中列明个人可行使删除权的情形,减少非必要的操作步骤,并设置具体操作示例,以辅助用户行使删除权。
在信息保存期限方面,建议App运营者对个人信息的保存期限予以明确说明,并在保存期限届满后及时删除信息。对于删除信息在技术上难以实现或保存期限未届满,导致无法响应个人的删除请求的,应在隐私政策中列明具体可能导致无法响应的情形,并对此类信息的后续处置措施予以明确说明。
2.规范算法使用规则,保障用户的知情权和选择权
笔者建议,App运营者在运用自动化决策时应严格遵守告知同意规则及最小必要原则,不超越授权处理个人信息,并采取相应的加密、去标识化等安全技术措施。在设置自动化决策关闭选项时,App运营者应减少非必要的操作步骤,对用户关闭自动化决策不设定期限限制。此外,App运营者应不断提高算法的透明度,保证交易的公平性,避免被认定为存在“大数据杀熟”行为。
3.积极履行个人信息保护影响评估义务
在数据竞争日趋白热化的今天,App运营者处理个人敏感信息、利用个人信息进行自动化决策或参与其他对个人信息权益有重大影响的信息处理活动是十分常见的。《个人信息保护法》第55条对需要履行个人信息保护影响评估义务的情形进行了规定,笔者建议App运营者应严格按照《个人信息保护法》《信息安全技术个人信息安全影响评估指南》(GB/T39335-2020)等文件的要求,及时进行事前个人信息保护影响评估,形成评估报告,并就处理情况进行记录与保存。同时,App运营者还应根据相关法律法规的要求并结合自身实际情况,及时公布前述评估报告。
4.制定专门规则以完善未成年人的个人信息保护
随着我国网络用户的逐渐年轻化,以及未成年人认知辨别能力及自我保护能力相对薄弱的情况,对未成年人个人信息的保护也屡次成为社会关注的焦点。
笔者在对上述5大App应用进行评估时亦发现,上述五大App应用都推出了针对未成年人的“青少年模式”。青少年模式即青少年防沉迷系统,其最早来源于2019年3月28日国家网信办指导组织短视频平台试点上线青少年防沉迷系统,并于2019年6月在全国主要网络短视频平台全面推广上线8。2021年9月8日,上海网信办推出的《上海网络平台青少年模式设置指南(试行版)》更是率先在18家受青少年喜爱的网络平台上推广试行,指导上海属地主要音视频、网络文学、网络社交、网络直播等平台履行主体责任和社会责任,可以预见之后全国各地也将陆续大力推广试行App应用的青少年模式,以加强网络信息内容生态治理,保护未成年人身心健康9。
当前各大App应用的青少年模式虽然形式各异,但都在《中华人民共和国未成年人保护法》(以下简称《未成年人保护法》)《关于防止未成年人沉迷网络游戏的通知》等法律法规的基本框架下,具有明显共性:一是对使用时间的限制。如某社交平台根据《未成年人保护法》10的要求,对视频内容设置了时间锁,限制未成年每日使用该服务的时间不得超过40分钟,且在每日22时至次日6时期间无法使用;二是对使用功能的限制。如某视频平台在“青少年模式”状态下,对购物、充值、打赏、直播等功能均禁止使用;三是对浏览内容的限制。青少年模式下呈现的内容多由各平台筛选,过滤掉了不适宜未成年人浏览观看的信息。
笔者建议,对于App运营者而言,尤其是游戏、视频及教育培训等用户群体年轻化的App应用,应严格执行对《个人信息保护法》中对未成年人个人信息保护的要求,对14岁以下的未成年人制定专门的信息处理规则,加强对未成年人的有效识别及身份认证机制,完善监护人同意授权机制,加强产品适龄性设计(例如,设置有害内容过滤措施、网络沉迷防控手段等),事前进行个人信息保护影响评估。
可借鉴微信App制定专门的《儿童隐私保护声明》,对14周岁以下儿童个人信息的搜集、使用、共享、披露、转移、储存及管理各方面均进行较为详细的规定,并设置“青少年模式”,与“成长守护防沉迷系统”相互衔接,设置时间限制、消费限制及游戏禁玩等来引导、管理未成年人合理使用App应用,以达到对未成年人身心健康及其个人信息进行倾斜性保护的目的。
5.不断完善用户可携带权及近亲属权利等的保障机制
用户去世后其近亲属对其个人信息享有的权利、可携带权等均是《个人信息保护法》对近年来个人信息保护领域密切关注问题的积极回应,也是立法的大势所趋。
2020年12月23日,哔哩哔哩App推出了“纪念账号”功能,即账号原注册人死亡后,经过其直系亲属同意,该账号将转变为纪念账号,任何人都无法登录纪念账号,但该账号内原有内容在没有不可抗力的情况下,将一直继续留存。
2021年7月6日,腾讯科技(深圳)有限公司公开了“数字资产凭证继承转移中的信息处理方法、和相关装置”专利,该专利实现了对用户的数字资产凭证进行统一的维护,使得即使在用户生命周期结束时,相关的数字资产凭证仍然能自动安全转移到继承人。
对已逝世App用户的近亲属而言,即使“纪念账号”的充电、打赏等功能仍受限,腾讯公司也尚未公布数字资产的具体遗嘱方式,但以上App运营者的举措无疑都是对近亲属权利保护的初步有益探索,也值得其他App运营者借鉴。
考虑到《个人信息保护法》对近亲属相关权利、可携带权等仅作出了简单规制,仍需后续司法及执法来落实跟进。笔者建议App运营者密切关注个人信息领域的司法及执法动态,及时根据实际情况对用户协议及隐私政策的内容进行调整,并建立相应的权利保障机制,以适应不断变化的监管要求。
本文备注
[1]《网络安全法》第22条第3款规定:“网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。”
[2]《个人安全信息规范(GB/T35273-2020)》第5.6条规定:“以下情形中,个人信息控制者收集、使用个人信息不必征得个人信息主体的授权同意:a)与个人信息控制者履行法律法规规定的义务相关的;b)与国家安全、国防安全直接相关的;c)与公共安全、公共卫生、重大公共利益直接相关的;d)与刑事侦查、起诉、审判和判决执行等直接相关的;e)出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的;f)所涉及的个人信息是个人信息主体自行向社会公众公开的;g)根据个人信息主体要求签订和履行合同所必需的;注:个人信息保护政策的主要功能为公开个人信息控制者收集、使用个人信息范围和规则,不宜将其视为合同。h)从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道;i)维护所提供产品或服务的安全稳定运行所必需的,如发现、处置产品或服务的故障;j)个人信息控制者为新闻单位,且其开展合法的新闻报道所必需的;k)个人信息控制者为学术研究机构,出于公共利益开展统计或学术研究所必要,且其对外提供学术研究或描述的结果时,对结果中所包含的个人信息进行去标识化处理的。”
[3]《工信部通报210款侵害用户权益APP要求9月1日前完成整改》,载工信微报微信公众号,网址:https://mp.weixin.qq.com/s/0OOs2bWndMQzIYPYKgEPWg。
[4]《大数据杀熟,携程被判退一赔三!》,载人民法院报微信公众号,网址:https://mp.weixin.qq.com/s/rvvIo3HSRcH9Cdt9xndYdw。
[5]需要特别说明的是,《个人信息保护法》并对可携带权的客体、传输形式等进行规定,故笔者并未单独将可携带权作为评估对象,而是将其概括归入到查阅复制权的范围,上述5个App平台实际上均未设有涉及可携带权的内容,相关合规措施亟待后续细则出台后落实。
[6]《中华人民共和国民法典》第127条规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”
[7]《互联网用户公众账号信息服务管理规定》第11条第2款规定:“公众账号生产运营者向其他用户转让公众账号使用权的,应当向平台提出申请。平台应当依据前款规定对受让方用户进行认证核验,并公示主体变更信息。”第22条第3款规定:“本规定所称公众账号生产运营者,是指注册运营公众账号从事内容生产发布的自然人、法人或者非法人组织。”
[8]来源:中国网信网,2019年3月28日,《国家网信办组织网络短视频平台试点青少年防沉迷工作》,网址:http://www.cac.gov.cn/2019-03/28/c_1124293349.htm
[9]来源:“网信上海”微信公众号,2021年9月11日,《利用大数据、算法定位未成年人用户,不能打赏、充值、提现上海试行“青少年模式”设置指南》,网址:http://www.cac.gov.cn/2021-09/10/c_1632875518069369.htm
[10]《中华人民共和国未成年人保护法》第74条第2款规定:“网络游戏、网络直播、网络音视频、网络社交等网络服务提供者应当针对未成年人使用其服务设置相应的时间管理、权限管理、消费管理等功能。”
参考文献
[1]张新宝,《互联网生态“守门人”个人信息保护特别义务设置研究》,载《比较法研究》2021年第2期。转引自中国民商法律网微信公众号,网址:https://mp.weixin.qq.com/s/wMqRmaD_WLlYxFGeBPLpCg。
[2]王艺、赵艳明、虞晨,《App个人信息保护立法、执法趋势及合规要点解析》,载北京植德律师事务所微信公众号,网址:https://mp.weixin.qq.com/s/VLZLpeZYMmHOwC7LNi3-Yg。
[3]宁宣凤、吴涵等,《知我者,当谓我心忧:个人信息自动化决策的法律规制与合规要求》,载金杜研究院微信公众号,网址:https://mp.weixin.qq.com/s/-p9nzSoRScjRTHg5sPq5Kg。
(实习生张颖培对本文亦有贡献。)
《个人信息保护法》视角下的App数据合规问题研究
作者:陈广茂 杨郭来源:德恒律师事务所

2021年8月20日,中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议通过了《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),并将于2021年11月1日起施行。