10月1日生效一文读懂新个人信息安全规范信息收集八要点
作者:吴丹君律师 张振君律师助理
引言
收集是个人信息处理的首要环节,其是后续个人信息使用、流转等处理环节合法进行的必要前提。然而,“未说明收集使用的个人信息目的、类型、方式”“收集个人敏感信息未同步告知目的”“未经用户同意收集个人信息”“隐私政策未征得用户明示同意”“超范围收集”等等问题在实践中却频频发生。在《网络安全标准实践指南——移动互联网应用程序(App)个人信息保护常见问题及处置指南》中,全国信息安全标准化技术委员会秘书处通过对相关问题出现频率的统计,总结出当前App个人信息保护十大常见问题,其中半数以上的问题与收集相关。
修订后的《信息安全技术个人信息安全规范》(GB/T 35273-2020)(以下简称“《个人信息安全规范》”)将于2020年10月1日起正式实施,在越来越离不开个人信息处理的现代产业发展中,个人信息收集的重要性不容忽视。
Q1:收集个人信息应遵循什么大原则?
A:“告知同意”与“最小必要”是个人信息收集过程中最重要的两个原则。
一般而言,网络运营者不得未经同意收集个人信息。网络运营者需先告知个人信息主体其个人信息收集规则,明示收集的目的、方式和范围,告知内容应明确且易于理解,在个人信息主体同意后,方可开始收集个人信息。当收集使用个人信息的目的、方式、范围发生变化时,需以适当方式通知并重新获取个人信息主体的同意。
同时,网络运营者应在其提供的业务功能范围内收集必要的个人信息,即应遵守最小必要原则。若超出必要范围收集个人信息,即使获取了个人信息主体的同意,也存在违法风险。
Q2:收集个人信息之前如何获取个人信息主体的同意?
A:根据《个人信息安全规范》,个人信息控制者需制定个人信息保护政策(在实践中可能会被命名为“隐私政策”或其他名称,但内容宜与个人信息保护政策一致)。在个人信息主体首次打开产品或服务或注册账户时,可通过弹窗等形式主动向其展示个人信息保护政策的主要或核心内容,帮助个人信息主体理解该产品或服务的个人信息处理范围和规则,并决定是否同意提供个人信息以使用该产品或服务。
2020年9月,App违法违规收集使用个人信息专项治理工作组发布“App个人信息保护合规评估工具(https://zcpt.cesidsat.com/cms/index)”供公众免费使用。个人信息控制者可参考该工具初步评估自身个人信息保护政策条款,以弥补条款及相关实现机制存在的不足。
2020年1月发布的《信息安全技术个人信息告知同意指南(征求意见稿)》第8节对告知的内容、方式、展示及适当性作出具体指引。同时,该稿9.1提供数种获取明示同意的具体方法予以参考:
a)设置交互式界面,由个人信息主体做出主动勾选、主动点击“同意”“下一步”“继续”、滑动滑块、主动发送等动作表示意愿;
b)由个人信息主体主动填写、输入个人信息表示意愿;
c)由个人信息主体开启可收集个人信息的API、权限表示意愿;
d)个人信息主体通过纸质或电子的书面声明、签字确认表示意愿;
e)个人信息主体通过电子签名方式表示意愿;
f)个人信息主体通过电话录音、视频录像等方式表示意愿;
个人信息控制者可结合产品或服务的特点,可能对个人信息主体造成的影响程度等因素,选择上述同意模式中的一种或几种。如收集个人信息可能对个人信息主体权益造成重大财产损失的,可在交互式界面执行“下一步”“同意”等操作基础上,进一步采取电话回访、签字确认等方式。
Q3:能否以多项业务功能为由,要求个人信息主体一次性同意收集所有功能所需的个人信息?
A:这是在实践中常常遇到的“一揽子同意”情形。这种方式已被《App违法违规收集使用个人信息行为认定方法》明确认定为违法违规收集使用个人信息的行为。《个人信息安全规范》也要求,不应通过捆绑产品或服务各项业务功能的方式,要求个人信息主体一次性接受并授权同意其未申请或使用的业务功能收集个人信息的请求。
《个人信息安全规范》区分了提供一项与多项业务功能的个人信息控制者获取同意的不同情形。若个人信息控制者所提供的产品或服务仅涉及一项业务功能,那么其可仅以个人信息保护政策的形式对个人信息主体进行告知。
若涉及多项业务功能,那么除个人信息保护政策之外,其还需在个人信息主体触发每一个新的业务功能时,对使用该业务功能所必需的个人信息及收集该信息的目的、方式和范围对个人信息主体进行特别告知。具体的实现方式可参考《个人信息安全规范》的“附录C实现个人信息主体自主意愿的方法”,如可参考附录C.4设计交互式功能界面以保障个人信息主体能充分行使其选择同意的权利。
在获取同意后,个人信息控制者方可收集个人信息并提供该项新业务功能。个人信息主体选择关闭或退出特定业务功能后,个人信息控制者应停止该业务功能的个人信息收集活动。若个人信息主体不授权同意使用、关闭或退出特定业务功能的,不应频繁征求个人信息主体的授权同意,也不得暂停个人信息主体自主选择使用的其他业务功能,或降低其他业务功能的服务质量。
Q4:是否存在不需要同意的情形?
A:《个人信息安全规范》5.6规定了十二项征得授权同意的例外情形,但该标准作为推荐性国家标准,将其列举的例外情形作为个人信息处理行为的合法性基础的合法性有所欠缺。《民法典》第一千零三十六条在“自然人或者其监护人同意”上增加了“合理处理该自然人自行公开的或者其他已经合法公开的信息”与“为维护公共利益或者该自然人合法权益”两种个人信息处理的合法性基础,首次在法律层面上对未经同意合理处理个人信息的情形作出了规定,一定程度上放宽了个人信息的处理限制,有利于平衡个人信息保护和利用间的利益冲突。但《民法典》仍未明确信息处理者出于自身合法目的在风险可控范围内未经同意处理个人信息的权利,难以满足日益增长的信息处理需求。
Q5:如何认定个人信息收集的必要范围?
A:个人信息控制者首先需明确自身产品或服务所提供的业务功能,再在此基础上确定实现该业务功能所必需的个人信息。
《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》充分贯彻了最少必要原则,其针对地图导航、网络约车、即时通讯社交、社区社交、网络支付、新闻资讯、网上购物、短视频、快递配送、餐饮外卖、交通票务、婚恋相亲、求职招聘、金融借贷、房产交易、汽车交易等16类基本业务功能的特点,提供了不同场景下必需个人信息收集范围划定的参考。
2020年1月20日再次发布的《信息安全技术移动互联网应用程序(App)收集个人信息基本规范(征求意见稿)》在原有2019年10月草案的基础上,在附录A增加提供旅游服务、酒店服务、网络游戏、在线影音、儿童教育、电子图书、拍摄美化、应用商店及网络直播等九项常用服务类型的最小必要信息,并完善原有服务类型中最小必要信息的内容表述。
2020年9月,全国信息安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南——移动互联网应用程序(App)系统权限申请使用指南》。其中,附录A提供了安卓和iOS可收集个人信息权限范围,表A.1的“业务功能示例”提供了与权限相关的业务功能示例。
各行业领域的网络运营者可参考前述指南和征求意见稿界定的范围并结合实际情况确定自身业务功能所必需的个人信息范围。
Q6:我司产品采用具备个人信息收集功能的第三方接入程序/软件,是否需告知用户?
A:一般情况下,个人信息控制者需告知用户其产品或服务使用第三方接入程序/软件的情况。
在收集环节,若个人信息控制者在提供产品或服务的过程中部署了收集个人信息的第三方插件(例如网站经营者与在其网页或应用程序中部署统计分析工具、软件开发工具包SDK、调用地图API接口),且该第三方并未单独向个人信息主体征得收集个人信息的授权同意,则个人信息控制者与该第三方在个人信息收集阶段为共同个人信息控制者。此时,个人信息控制者需满足如下要求:
“a)当个人信息控制者与第三方为共同个人信息控制者时,个人信息控制者应通过合同等形式与第三方共同确定应满足的个人信息安全要求,以及在个人信息安全方面自身和第三方应分别承担的责任和义务,并向个人信息主体明确告知;
b)如未向个人信息主体明确告知第三方身份,以及在个人信息安全方面自身和第三方应分别承担的责任和义务,个人信息控制者应承担因第三方引起的个人信息安全责任。”
修订后的《个人信息安全规范》新增了“9.7第三方接入管理”的内容,当个人信息控制者在其产品或服务中接入具备收集个人信息功能的第三方产品或服务且不属于委托处理或共同控制的情形时,个人信息控制者需根据9.7条的要求对第三方产品和服务进行管理,其中,个人信息控制者需向个人信息主体明确标识产品或服务由第三方提供。
第三方接入者独立收集原产品或服务的个人信息的,在条件允许的情况下应单独向个人信息主体告知其收集使用个人信息的行为并征得用户同意,此时,其需履行作为个人信息控制者所应承担的一切义务。原产品或服务的个人信息控制者宜为无单独页面的第三方接入者提供便捷的告知渠道。
Q7:从其他个人信息控制者间接获取个人信息时需要注意什么呢?
A:在间接获取个人信息时,《个人信息安全规范》5.4e)要求作为接收方的个人信息控制者有义务要求提供方对相关个人信息的来源进行说明并确认其合法性,同时还应当了解个人信息主体对于提供方的授权范围,包括使用目的、个人信息主体是否授权同意转让、共享、公开披露等内容。
若间接获取个人信息的个人信息控制者使用该个人信息超出原个人信息主体的同意范围,其还需在合理期限内另行征得个人信息主体的明示同意。
Q8:针对儿童(不满十四周岁的未成年人)的个人信息收集是否有特殊规定?
A:《儿童个人信息网络保护规定》是对不满十四周岁的未成年人个人信息的特殊保护规定。
其中规定,网络运营者收集、使用、转移、披露儿童个人信息的,应当设置专门的儿童个人信息保护规则和用户协议,以显著、清晰的方式告知儿童监护人,征得儿童监护人的同意,同时提供拒绝选项。网络运营者应明确告知如下事项:(一)收集、存储、使用、转移、披露儿童个人信息的目的、方式和范围;(二)儿童个人信息存储的地点、期限和到期后的处理方式;(三)儿童个人信息的安全保障措施;(四)拒绝的后果;(五)投诉、举报的渠道和方式;(六)更正、删除儿童个人信息的途径和方法;(七)其他应当告知的事项。如前述告知事项发生实质性变化的,应当再次征得儿童监护人的同意。
本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。