清华大学金融科技研究院孵化
金融科技与金融创新全媒体

扫描分享

本文共字,预计阅读时间

2019年12月30日,我们发现在中国电信网上刊登了关于印发《App违法违规收集使用个人信息行为认定方法》(以下简称App信息认定方法)的通知,这是由国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、市场监管总局办公厅联合下发的文件,我们一起学习研究。

文件的前提:

违规收集使用个人信息而非企业信息,须区别对待;

隐私政策的具体要求;

未经用户同意而收集信息的九个情形;

未经同意向他人提供个人信息;

信息的删除、更正、投诉与举报。

个人信息非企业信息

关注公民个人信息的保护问题已有时日,经常会被初入行的从业人员问及,我们要向绕过《网络安全法》及侵犯公民个人信息罪,最好的办法是什么?呵呵,十分理解从业人员与监管机关的“猫鼠游戏”,我们作为法律人只能微微一笑,要想绕过,那就不收集“公民个人信息”即可,如果App只是收集企业信息,则不受到App信息认定方法的规制,也不会有侵犯公民个人信息罪的刑法“达摩克利斯之剑”等待。

因此,一个App收集什么样的信息才是其受到哪部法规规制的根本。

隐私政策的具体要求

隐私政策是舶来品,外国互联网创业企业多采用这种模式,就被律师们从海外的模板中翻译借鉴过来了,飒姐虽然对这四个字的翻译并不感冒,但既然约定俗成,也就如同“包括但不限于”一样成了法律人擅长的缔约、立法、立规的常规工具。

App运营方如何具体操作:

(1)先要有一个隐私政策,并在内部嵌入“个人信息规则”,想省钱的,可以参照BATJ等大企业的相关政策,但应当注意,大企业一般有征信等牌照,其隐私政策中会将牌照优势“隐”入其中,不可全部照搬抄袭;

(2)App 首次运行时,必须有明显的方式提醒,目前司法现实中比较认可:弹窗,点击同意按钮;

(3)如超过4次以上点击操作才可以访问隐私政策,就会被认定为“难以访问”而涉嫌“未公开收集使用规则”;

(4)切勿文字稠密or字体小or颜色过淡or模糊不清or木有中文简体,满足左侧任何一项即为隐私政策收集规则“难以阅读”而涉嫌“未公开收集使用规则”,现实中,文字过于稠密经常会被拿出来说事儿,建议内部法务将隐私协议改到“通俗易懂,言简意赅”,切勿再端着法律精英的“专业至上”(说到底咱们法律还是服务大众的行业)。

未经用户同意收集使用个人信息

(1)征得用户同意前就开始收集个人信息或打开可收集个人信息的权限;

(2)用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用;

(3)实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围;

(4)以默认选择同意隐私政策等非明示方式征求用户同意;

(5)未经用户同意更改其设置的可收集个人信息权限状态,如App更新时自动将用户设置的权限恢复到默认状态;

(6)利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项;

(7)以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的;

(8)未向用户提供撤回同意收集个人信息的途径、方式;

(9)违反其所声明的收集使用规则,收集使用个人信息。

未经同意向他人提供个人信息

在集团内部各个子公司之间,经常有数据迁移的需求,其中涉及公民个人信息的内容,务必要注意:虽同属一个控股股东,但彼此是不同的法人主体,不可“未经用户同意”向他人提供信息。

在App信息认定方法中,我们看到“既未经用户同意+未经匿名化处理”直接向第三方提供个人信息或数据传输到App后台服务器后,向第三方提供其收集的个人信息。从文中描述,我们能够看到各方博弈的结果,为了鼓励大数据行业的发展,提振数据生产力的效用,还是对App在苛刻条件下收集个人信息开了“生路”,那就是“用户同意+匿名处理”情况下,允许数据流动。

其实,获得“用户同意”的难度系数不大,为了继续使用App的诸多功能,普通用户无力或无意与大品牌的App为难,所以基本都会点击同意按钮,真正有用的是“匿名处理”这四个字,如若没有匿名处理,则其实“料商”依然会获得大量直接可以对应到“特定人”的数据,从而威胁到每个人的安宁。

同时,App违法认定方法也反对“App接入第三方应用,未经用户同意,向第三方应用提供个人信息”,话说,很多技术猿也是懒仔,为了快速集成某些应用采取了一些速成的办法,结果被人搭了便车,但鉴于“用户同意”的“廉价”,也许实践中还是很难堵住这一漏洞,建议监管和执法时根据具体情况进行考量。

信息的删除、更正、投诉与举报

飒姐也吃过亏,有时候被爬虫抓取了某个信息刊登在搜索引擎的首页,但该信息有误,我尝试过多次投诉和要求更正,但无济于事。

App作为移动互联时代的宠儿,很多情况下也是重视提供尖叫的产品,而忽视底层的公共服务。结合文件,根据实践中的问题,我们提醒大家注意:

(1)要提供更正、删除个人信息及注销用户账户的功能;(一日偶然经过某欧盟国家驻华大使馆,其门前就张贴了告示,来办理签证的人员信息,未批准者的信息在一定时间内会被删除,也可以通知使馆提前删除)

(2)切勿给更正、删除信息制造不必要、不合理的条件;

(3)响应工作不及时,需人工处理的,未在承诺时限内完成核查和处理,最晚不超过15个工作日(大约1个自然月);

(4)防止“两张皮”,虽然表面上更正、删除个人信息或注销了账户,但实际上App后台还保留着原信息;(这一点在侵犯公民个人信息的案件中,已初见端倪);

(5)必须设立、公布个人信息投诉、举报渠道,并在15个工作日之内受理和处理投诉和举报(请注意,这里不是处理完毕,而是受理和处理,最终妥善处理可能时间会更长)。

写在最后

同时,在App中须明示收集使用个人信息的目的、方式和范围;不可违反必要原则,收集与服务无关的个人信息。

这三方面内容,大家可以直接参照原文,我们会附在公号文章之后。真诚地提醒诸位从业人员,不要把公民个人信息当儿戏,也不要以为“匿名处理”就是万全之策,最终出现法律风险时,我们的标准也许是“无法还原到具体的人”这样的标准,恳请诸位一定要将法律、法规、规范文件和司法案例结合起来,形成一个体系来看问题,不可一叶障目也不能刻舟求剑。

[Source]

本文系未央网专栏作者发表,属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!

本文为作者授权未央网发表,属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!

本文版权归原作者所有,如有侵权,请联系删除。

评论


发表评论
您的评论提交后会进行审核,审核通过的留言会展示在上方留言区域,请耐心等待。
猜你喜欢

扫描二维码或搜索微信号“iweiyangx”
关注未央网官方微信公众号,获取互联网金融领域前沿资讯。