发布时间:2019-08-15 来源于:广东广信君达律师事务所苏耀云、曾恺
在手机下载准备打开一个App时,大家经常会遇到一个熟悉的场景:App页面弹窗询问你是否同意“隐私协议”,相信很多人看都不看就点了同意,也有“一小撮”人会认真去看,这些条款要么笼统不清,要么内容晦涩冗长,但如果点了不同意“隐私协议”,则往往直接无法正常进入App,最终也只好无奈同意。而在使用App过程中,又存在大量收集与所提供服务无直接关联的个人信息等等问题。
这当然可以理所当然地解释为“为了更便捷地享受互联网服务,需要‘让渡’部分个人信息”,但也正是基于这种信息获取不透明的“宽松”形势,近年来爆发了不少App“越界”收集乃至违规获取用户信息的情况。
在此背景下,《网络安全法》2017年强势出台,形式上终结了互联网企业 “任性”地收集用户个人信息的时代,尤其是2019年至今,国家对网络运营及服务提供商(本文以互联网企业为例,以应用程序(App)为例,下同)收集和使用用户信息在立法和执行层面双管齐下,在监管方面放了几个“大招”。例如监管层今年在规范层面一大波“操作”如下:
而在执法层面,年初公安部开展“净网行动”,最近广东省公安厅开展了2019年第二季度超范围收集用户个人信息App清理整治行动,通报了包括酷狗音乐、艺龙旅行等42款App存在等严重违法收集个人信息问题,互联网企业被约谈和处罚的消息也屡见报端。
面对监管当局和App出现违规收集信息现象,一个突出的问题是App收集使用个人信息的行为边界在哪里?互联网企业又该如何做到合规收集信息?
本文聚焦于监管层今年以来发布最新监管动向,以互联网企业收集个人信息的最新合规要求为切入点,明确互联网企业收集使用个人信息应有正确姿势,而企业合规收集使用个人信息意味着个人信息保护规定得到落实,大家可以了解最新监管规定,以维护自身权益,合规问题关系企业的长远发展,希望引起初创和中小规模的互联网企业的重视,互联网巨头们也可参考。
正确姿势一:合法、正当和必要
什么是收集使用个人信息应遵循的合法、正当和必要原则?其主要来源于个人隐私和个人信息保护的相关立法和研究,而个人信息,简言之即能够识别出自然人身份的有关信息,个人信息概念,见同在2017年6月1日生效的《网络安全法》七十六条和《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条,本文不作展开,也无意就合法、正当和必要原则在理论上追根溯源,本文直接根据监管层最新的规定进行梳理,供大家对照:
小结:上表具体列举了监管层最新关于合法、正当和必要原则在目前实践操作中的具体表现,互联网企业可以参照以上规定自检自查,非常重要,一句话,合法原则最关键在于用户知情并同意,且不得违反其他法律、行政法规规定,也不得违反与用户达成的约定。正当原则主要是指收集方式、范围和目的应该是符合行业惯例和用户正常预期,必要原则核心在于收集信息应该是正常开展业务所需。
正确姿势二:增设数据安全机构和完善相应制度
《网络安全法》三十四条规定,关键基础设施的运营者应专门设置安全管理机构和安全管理负责人,没有规定非关键基础设施,即普通互联网企业需要设置相应机构和人员,然而,《数据安全管理办法(征求意见稿)》(下称“《数据管理办法(征)》”)第十七条规定网络运营者以经营为目的收集重要数据或个人敏感信息的,应当明确数据安全责任人。包括数据安全责任人任职条件和职责,故互联网企业应设置相应的机构和人员。
《互联网个人信息安全保护指南》第4.3条指出应设置相应的安全管理的机构和岗位,包括审计管理员和安全管理员等具体岗位,尽管该指南属于没有法律约束力,但作为行业标准,是考察互联网企业合规运营的重要参考,一个现实问题是对于初创的和小规模互联网企业而言,一律设置这样机构和岗位并不现实。
对此,《信息安全技术个人信息安全规范(征求意见稿)》第10.1条指出了设置专门安全责任人的相应标准:1)主要业务涉及个人信息处理,且从业人员规模大于200人;2)处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息。
三份规范性文件均规定,企业应为数据安全责任人提供应提供相应的人力、物力和财力的保障,即意味着纳入企业的财务预算,劳动合同制度如数据安全责任人的录用、考核和离岗的管理因涉及数据安全具有特殊性,企业需要做相应完善,兹不赘述。下图简要归纳了日后互联网企业数据安全部门的组织机构:
小结:大家可别小看安全责任人制度建立的意义,这不仅是对企业合规的要求,对大家个人信息保护同样重要,按照我国《民法总则》一百一十一条和其他相关法律法规的规定,个人信息虽具有部分财产属性,但仍属于人格权范畴,大家对自己信息具有控制权,可以查询、更正和删除个人信息,若发现App存在个人信息安全保护隐患或漏洞等问题,用户显然有权撤销收集信息的授权,要求互联网企业提高数据安全保护等级等,《数据管理办法(征)》也就用户相关权利进行了规定,若发生相关情况,大家可以联系数据安全责任人,进行相应的操作,同时这也是互联网企业是否及时尽责,是否存在过错的表现。
正确姿势三:满足处理个人信息的新要求
互联网企业在开展业务过程中除了按照前述法律规定建立稳定安全的网络系统、检测机制和安全等级,遵循合法、正当和必要的原则收集和利用用户个人信息外,在处理信息过程中,还应特别注意监管层更新的以下几点要求:
1.对用户个人信息处理的注意义务
▶ 信息匿名化处理,未经用户同意,向他人提供用户信息的,要处理到无法识别到特定个人且不能复原的程度(《网络安全法》第四十二条、(《数据管理办法(征)》第二十条);
▶ 用户发现收集、存储的其个人信息有错误的,有权要求予以删除或者更正(《网络安全法》第四十三条第二款)、(《数据安全管理办法》二十一条);
▶ 用户注销账户或超过保存期限,要对信息进行删除(《数据管理办法(征)(征)》第八条、二十条);
▶ 利用大数据、人工智能等技术合成新闻、博文等信息,应以明显的方式标明“合成”字样《数据管理办法(征)》二十四条);
2.需监管机构事前同意、向监管机构报告和备案
▶ 向境外提供用户个人信息的,应该事前评估风险,并经行业主管部门同意(《数据管理办法(征)》二十八条);
▶ 发生用户个人信息泄露、毁损、丢失等数据安全事件,应当立即采取补救措施,及时以适当的方式告知用户,并按要求向行业主管监管部门和网信部门报告(《数据管理办法(征)》第三十五条);
▶ 以经营为目的收集重要数据或用户敏感信息的,应向所在地网信部门备案(《数据管理办法(征)》第十五条)。
3.为第三方应用程序共享数据应承担过错推定责任
▶ 接入第三方应用程序(例如微信接入其他小程序),若该第三方应用发生数据安全事件对用户造成损失的,除非能够证明自己无过错,否则,应当承担部分或全部责任(《数据管理办法(征)》第三十条)。
总之,对违反监管规定的,大家可以向有关监管部门反映,监管部门也可以主动监督检查,最新的《数据管理办法(征)》第三十七条,规定了公开曝光、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照等处罚方式,若还侵犯大家民事权益的,还可以提起民事诉讼,触犯刑法自不必说了。