_($0PXQFQ7Y(P~4838LJ_]L.png

管理培训搜索
18318889481 17875936848

合规
| 合规与政府管制

支付清算 监察稽核 机构合规 网络套路贷 稽察稽核 矿业法务 纪检监察 行政合规 巡视巡察 党风廉政 医药反腐 行政监督 党内法规

| 企业合规

消费者安全 数据安全审计 企业合规师 备案登记 劳动用工合规管理 知识产权合规 个人信息与隐私权保护 企业廉洁合规 经营合规 风险提示与预警信息 IPO合规 安全生产合规管理 企业合规典型案例 合同合规管理 企业合规实务 企业数据合规 企业刑事合规

| 网络安全与隐私保护

网络犯罪 人工智能合规 网络安全 新基建安全资讯 保密科技 数据合规 元宇宙合规 数字合规 网络与数据法学 电信网络诈骗 区块链合规 信息与网络安全 网络不正当竞争 数字贸易合规 数据出境合规 互联网合规

| 法证会计与反舞弊

法证会计 涉案企业合规 调查及法证会计 舞弊审计 金融科技合规 司法会计 价格舞弊

| 反洗钱与制裁合规

反洗钱知识系列宣传 经济制裁和出口管制 反洗钱中心

| 反垄断中心

反垄断合规 竞争法(反不正当竞争、反垄断)

| 企业合规管理咨询

上市公司合规管理 税务合规 企业合规管理 商业秘密 财务合规 商业合规 内控资讯 合同法律 信息披露风险 公司法实务 人力资源合规 信用规制 知识产权合规 合规尽职调查 内控稽查 内部控制和风险管理合规 会计监管风险 税务异常处理 税务检查应对

| 合规中心

征信合规 涉税合规 经济犯罪案例 合规文化主题月 劳动与人力资源合规 合规运行报告 网络直播合规 信用合规 刑事合规管理 工程合规与舞弊调查 涉案企业合规 安全审计 合规科技 劳务派遣合规 采购合规 财务风控 招投标合规

| 转创全球企业合规

国际注册合规师 公司治理与公司合规 全球金融监管动态月刊 境外合规专项行动 国企合规 反不正当竞争合规管理 出口退税合规风险 全球反垄断 全球企业合规事务 国际监管合规服务 进出口管制和贸易制裁 境外投资和“一带一路” 跨境投资和经营合规 知识产权内部控制 商业贿赂 外汇合规 合规与诚信

| 合规律师事务所

企业法务 涉外企业合规 合同内控 反腐败合规 不正当接触 泄露公司机密罪 合规法务 刑事合规 贪污贿赂 科技法律 信披违规 企业刑事风险防控及刑事合规 法律风险管理 洗钱犯罪

| 金融安全与合规

证券合规 银行合规 金融犯罪合规 保险合规 金融消费者保护 银保监督 私募合规 互联网金融合规 银行合规资讯 投融资合规 支付 银行合规综合 金融安全 信托合规 担保合规 金融合规 信用合规 股权合规 内保外贷合规 外汇合规 保理合规

| 海关及全球贸易合规

海关及贸易合规 农食产品技术贸易 国际经贸预警 国际商事认证 出口管制 海关税收征管 走私罚罪研究 出口退税行政诉讼 跨境电商合规 AEO海关认证 出口骗税 外贸企业合规 全球贸易规则

| ESG合规
| 反欺诈中心

反欺诈实践 反欺诈反冒领专栏 欺诈调查

| 合规中心(产业)

医药合规 环保合规 医美合规 生态环境合规专题 教育合规

| 知识产权合规专题

知识产权合规 知产纠纷调解案例 知识产权确权

| 私募股权基金合规

私募投资基金 融资合规 基金合规

| 从App专项治理看用户个人信息的合理使用当前您所在的位置:首页 > 合规 > 企业合规 > 知识产权合规

在2020年开局的这一场疫情里,国家层面大数据联防联控带来的成效让我们看到了个人数据的价值。价值伴随着风险,数据能发挥多大的作用,就能造成多大的问题,2020年3月21日,工信部约谈新浪微博,起因是微博用户查询接口被恶意调用导致App数据泄露,据媒体报道涉及的数据量可能高达上亿条,这并非个案,陌陌在去年9月份亦因数据泄漏风险被约谈,作为互联网企业重要资产的用户信息,与公共安全关系甚大,近年来愈发受到监管层面的关注,2020年人大法工委的立法计划中即包括《中华人民共和国个人信息保护法》,我国长期以来没有专门个人信息保护立法的现状将在本年度得到解决,在此之前,工信部等四部门联合开展的App违法违规收集使用个人信息专项治理工作也贯穿了2019年全年,本次专项治理时间跨度久、涉及监管部门范围广、发布文件数量多,我们在此梳理如下:


时间

发文

主体

通知/

文件

主要内容

2019.1.25 

中央网信办、工业和信息化部、公安部、市场监管总局

《关于开展App违法违规收集使用个人信息专项治理的公告》

1、编制大众化应用基本业务功能及必要信息规范、App违法违规收集使用个人信息治理评估要点、对App隐私政策和个人信息收集使用情况进行评估;

2、加强对违法违规收集使用个人信息行为的监管和处罚;

3、公安机关开展打击整治网络侵犯公民个人信息违法犯罪;

4、开展App个人信息安全认证。

2019.3.1

App专项治理工作组

(全国信息安全标准化技术委员会等协会受委托成立)

《App违法违规收集使用个人信息自评估指南》

主要用于App运营者对其收集使用个人信息的情况进行自查自纠,分三大部分:

1、隐私政策文本;

2、App收集使用个人信息行为;

3、App运营者对用户权利的保障。

2019.4.19 

工信部网络安全管理局

《四部门抓紧推进App违法违规收集使用个人信息专项治理》

公布了专项治理中接收到的举报情况,被举报App主要集中在金融借贷、社区社交、网上购物、短视频与直播、即时通讯等领域

2019.10.31

工信部

《关于开展APP侵害用户权益专项整治工作的通知》

明确重点整治四方面重大问题:

1、违规收集用户个人信息方面; 

2、违规使用用户个人信息方面; 

3、不合理索取用户权限方面;

4、为用户账号注销设置障碍方面 

明确专项整治工作的三个阶段:

1、企业自查自纠阶段(2019.10.31至2019.11.10);

2、监督抽查阶段(2019.11.11至2019.11.30);

结果处置阶段(2019.12.1至2019.12.20)

2019.12.19

工信部信息通信管理局

《关于侵害用户权益行为的APP(第一批)通报》

通报41款App,新浪体育、搜狐新闻在列

2019.12.30

国家网信办、工信部、公安厅及国家市场监督管理

《App违法违规收集使用个人信息行为认定方法》(以下称“认定方法”)

对违规收集用户信息的行为进行了六个方面的反向列举式规定,为监督管理部门认定App违法违规收集使用个人信息行为提供参考,为App运营者自查自纠和网民社会监督提供指引。

2020.1.3

工信部信息通信管理局

《关于下架第一批侵害用户权益APP名单的通报》

下架3款未按要求整改的App

2020.1.9

工信部信息通信管理局

《关于侵害用户权益行为的APP(第二批)通报》

通报15款App,拉勾招聘、天涯社区、一点资讯在列

2020.3.19 

全国信息安全标准化技术委员会秘书处

《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南(征求意见稿)》

在 2019 .3. 1版《App违法违规收集使用个人信息自评估指南》的基础上,结合检测评估工作经验,归纳总结出App收集使用个人信息评估点,供App运营者自评估参考

2020.3.7

国家市场监督管理总局、国家标准化管理委员会

国家标准GB/T 35273—2020《信息安全技术 个人信息安全规范》

明确了个人信息安全的国家标准


结合以上信息,我们可以较为清晰地看出监管层面的整治态度,本次专项治理工作由网信部门、工信部、公安、市场等部门联合开展,可能涉及的处罚措施包括责令限期整改、公开曝光、暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,侵犯公民个人信息情节严重涉嫌犯罪的,还可能受到刑事处理,此种程度的多部门联合治理尚属首次。结合以上背景,我们拟从互联网企业用户数据的收集和使用环节入手,对用户个人信息的合理使用进行分析,提供相应合规思路,以供参考。


关于用户个人信息的收集


1、用户的哪些个人信息依法受到保护?


2017年两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中,对个人信息做出如下定义:以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等,该定义与近日公布的《信息安全技术 个人信息安全规范》相同,从以上定义可以看出,对公民个人身份能够起到识别作用,或涉及公民个人隐私的电子信息,均依法按照个人信息受到法律保护。


就互联网企业而言,除了以上已罗列的常见信息类别外,实际注册到使用的各个环节还可能涉及的个人信息包括昵称、性别、头像、短信、手机相册、设备位置、银行卡信息、交易记录等,在实务中仍然可能被认定为个人信息受到保护,腾讯诉抖音、多闪大数据不正当竞争案((2019)津0116民初2091号)中,来源于微信/QQ开放平台的用户头像、昵称即作为个人信息得到保护,一方面法院认定单个用户的具体头像、昵称属于个人信息,归属于用户,另一方面肯定了平台对基于自身经营活动收集并商业性使用的用户数据整体(即大数据权利)享有的权益,最终法院做出行为保全裁定,要求第三方停止对上述个人信息未经授权的使用行为。判定某项信息是否属于个人信息,监管层面会综合考虑该信息是否对个人起到识别作用或该信息与个人有关联性,原则较为抽象,以列举方式亦难以穷尽,企业可以参照《信息安全技术 个人信息安全规范》中提供的示例,至少在业务涉及到以下信息收集场景时注意设置保护措施:


图片


2、对于个人敏感信息,在信息获取上有何特殊要求?


所谓个人敏感信息,即一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息,包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下(含)儿童的个人信息等,此种类别的信息对公告安全影响程度更高,企业获取该类信息时也面临着更高的要求。


根据《信息安全技术 个人信息安全规范》,收集个人敏感信息前,应征得个人信息主体的明示同意,并应确保个人信息主体的明示同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿,相较于其他类型的个人信息,个人敏感信息在获取时要求主体“明示同意”、“完全知情”、“自主给出”,授权意思要“具体”、“清晰明确”,具体到设置上:


(1)针对授权主体“明示同意”、“完全知情”、“自主给出”的要求,用户协议及隐私政策不建议以默认同意的方式签订,可通过勾选、弹窗确认等方式将用户授权的环节固定化,特别的,在收集年满14周岁未成年人的个人信息前,要征得未成年人或其监护人的明示同意,不满14周岁的,征得其监护人的明示同意;


(2)针对授权意思“具体”、“清晰明确”的要求,企业可在用户协议及隐私政策中,对于个人敏感信息授权相关的内容明确标识或突出显示,如字体加粗、标星号、下划线、斜体、颜色等。



哪些个人信息收集使用方式是错误的?


在个人信息保护法出台之前,我国对个人信息保护的原则及禁止性规定主要集中在《中华人民共和国网络安全法》第四章(网络信息安全),网络安全法具有较高位阶,不会对做出过于细则的规定,鉴于此,2019年12月30日工信部等四部门发布了《App违法违规收集使用个人信息行为认定方法》,对法律所禁止的个人信息收集使用方式进行了反向列举式回应,包括以下几个方面:


网络安全法的原则性规定

认定方法所

回应的问题

认定方法所列

举的典型情形

第四十一条第一款:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”

何种情况属于“未公开收集使用规则”

1、未以明显方式提示隐私政策;

2、刻意使用灰色字体、缩小字号、遮挡、置于边缘与背景颜色相近等方式使隐私政策不突出显示;

3、隐私政策通过搜索、咨询客服等方式才能访问到;

隐私政策文本列宽设置大于屏幕、无法完整显示

何种情况属于“未明示收集使用个人信息的目的、方式和范围”

1、未逐一列出;

2、发生变化后未通过适当方式通知用户;

3、申请收集信息时未同步告知目的,或目的难以理解;

内容晦涩繁琐

何种情况属于“未经用户同意收集使用个人信息”

1、用户同意前就开始收集;

2、用户不同意后仍然收集,或频繁要求同意;

3、超出用户授权范围收集;

4、以默认等非明示方式征求用户同意;

5、未经用户同意更改其权限设置;

6、定向推送时未提供非定向推送信息选项;

7、欺诈、诱骗用户;

8、未提供撤回同意的途径;

违反企业所声明的规则

第四十一条第二款:“网络运营者不得收集与其提供的服务无关的个人信息……”

何种情况属于“违反必要原则,收集与其提供的服务无关的个人信息”

1、与现有业务功能无关;

2、因用户不同意收集而拒绝提供业务功能;

3、因用户不同意新增业务功能新增收集范围,而拒绝提供原功能;

4、收集频度超出业务需要;

以多种理由强制要求收集;

第四十二条第一款:“网络运营者……未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”

何种情况属于“未经同意向他人提供个人信息”

1、未经同意,也未做匿名化处理,直接向第三方提供;

2、未经同意,也未做匿名化处理,将自身服务器数据向第三方提供;

3、接入第三方应用,未经用户同意向第三方提供

第四十三条:“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。”

何种情况属于“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”

1、未提供更正、删除、注销功能;

2、为更正、删除、注销功能设置不合理条件;

虽提供了功能但未及时响应,需人工处理的,未在承诺时限内完成(承诺时限不得超过15个工作日,无承诺时限的以15个工作日为限)


认定方法列举的禁止情形较为具体,其中值得注意的是,网络运营者不仅要按照以上认定做好自身产品设置,对委托的第三方或嵌入的第三方代码、插件的收集使用行为亦要明示其目的、方式和范围,通过嵌入的第三方代码、插件向第三方提供个人信息的行为,若未经用户同意或做匿名化处理,也属于禁止范畴。


此外,很多互联网企业会也会基于算法技术对用户提供个性化展示,基于个人的网络浏览历史、兴趣爱好、消费记录和习惯精准推送新闻、短视频信息,根据认定方法,企业推送过程中使用个性化展示的,应该注意:


(1)为个人信息主体提供简单直观的退出或关闭个性化展示模式的选项;


(2)当个人信息主体选择退出或关闭个性化展示模式时,向用户提供删除或匿名化定向推送活动所基于的个人信息的选项。




关于用户个人信息的使用


1、基于自身业务使用个人信息,有何注意事项?


对于互联网企业,特别是金融借贷、社交通讯、网上购物、短视频与直播企业而言,基于个人信息形成的大数据在企业决策和运营中具有重要的价值,通常是历经多年积累的结果,数据分析的过程也凝聚了企业的人力投入,在司法层面,已有法院肯定了企业对于这种用户数据整体所享有的合法权益。但数据的来源方是个人用户,企业基于协议授权获得了用户的许可,自然应在协议范围内使用,同时按照法律的规定对个人信息承担保护责任。


在管理层面,海量的用户信息一旦泄漏,面临的不仅是用户的投诉和企业的损失,还可能受到监管处罚,我们建议企业设置专门的数据管理部门或负责人员,对于数据的使用设置内部审批流程,控制能够接触到核心数据的人员数量,同时数据的任何拷贝、下载和修改都应当保留记录,在内部员工泄漏或外部黑客攻击时有据可查,及时补救,及时告知用户并向有关主管部门报告。在可能涉及到对外展示用户数据的场景,企业根据需要也可以对需展示的个人信息通过假名、加密等技术手段进行去标识化处理,防止第三方未经授权实际接触到用户个人信息。


在使用层面,企业征求用户同意使用其个人信息,实际是一个签订合同的过程,企业应该按照用户协议、隐私协议及用户实际使用中的授权情况使用,不超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因业务需要,确需超出协议范围使用个人信息的,应再次征得个人信息主体明示同意。


2、将个人信息转授权第三方使用,有何注意事项?


企业获得个人信息是基于用户授权,企业将个人信息转授权给第三方使用,首先需要确保自身具有转授权的权利。腾讯诉抖音、多闪大数据不正当竞争一案中,法院肯定了新浪微博诉脉脉不正当竞争案(案号(2016)京 73 民终 588 号)中法院的观点,认为开放平台数据提供方向第三方开放数据的前提是数据提供方取得用户同意,同时,第三方平台在使用用户信息时还应当明确告知用户其使用的目的、方式和范围,再次取得用户的同意,即“用户授权”+“平台授权”+“用户授权”的三重授权原则,法院认为该原则已成为开放平台领域网络经营者应当遵守的商业道德。


在实操过程中,企业不仅要在法律允许和服务所需的范围内收集个人信息,还应在用户协议、隐私政策中明确约定用户数据的转授权范围,并以明示方式提示用户注意,保证企业在授权第三方使用个人信息时授权链条的完整性,此外,根据网络安全法第四十二条的规定,未经被收集者同意,不得向他人提供个人信息,但经过处理无法识别特定个人且不能复原的除外,和个人信息对外展示的场景类似,企业也可考虑在向第三方授权时对授权数据进行去标识化处理,达到无法识别特定个人的程度,对数据资产在法律允许的范围内使用。


转创君
企业概况
联系我们
专家顾问
企业文化
党风建设
核心团队
资质荣誉
领导资源
专家库
公司公告
资源与智库
战略合作伙伴
质量保证
咨询流程
联系我们
咨询
IPO咨询
中国企业国际化发展战略
投融资规划
企业管理咨询
人力资源管理
风险管理
竞争战略
集团管控
并购重组
家族办公室
资产管理
股权设计
企业管治与内部审计
企业估值
价值办公室
内控咨询
投资银行
管治、内控及合规服务
法律咨询
服务
管理咨询服务
投融资规划
人力资源
资产评估服务
会计服务
科技服务
资质认证
ESG服务
商务咨询
内部控制服务
转创投服
金融服务咨询
企业服务
财会服务
翻译服务
财审
金融会计专题
法证会计
国际财务管理
会计中心
财务咨询
内部审计专题
审计创新与全球化
代理记账中心
会计师事务所
审计中心
审计及鉴证
专项审计
审计工厂
审计咨询服务
税律
财税中心
转创税务
华税律所
税务师事务所
IPO财税
国际税收
涉税服务
金融
纳斯达克
并购交易服务
北交所
IPO咨询
深交所
上交所
直通新三板
董秘工作平台
独立董事事务
SPAC
资本市场服务中心
澳洲上市
加拿大上市
估值分析事务
香港联交所
新交所
金融分析师事务所
合规
合规与政府管制
企业合规
网络安全与隐私保护
法证会计与反舞弊
反洗钱与制裁合规
反垄断中心
企业合规管理咨询
合规中心
转创全球企业合规
合规律师事务所
金融安全与合规
海关及全球贸易合规
ESG合规
反欺诈中心
合规中心(产业)
知识产权合规专题
私募股权基金合规
法信
征信管理
信用中心
法信中心
信用评级
价值办公室
联合资信
国际信用
安企中心
转创法信
诚信管理
产服
产业中心
企业与产业管理
行业中心
转创产研
城市中国
转创科研
全球城市
乡村振兴战略
创新创业中心
转型升级中心
数据经济与网安
绿创中心
双碳与可持续发展
管理
并购重组
转创国际企业研究所
创新创业
转型升级
投融资与股权激励
ESG中心
管理咨询
资产评估中心
人力资源
IPO咨询
法律
刑事法律服务
资本市场法律服务
财税金融法律事务
转创国际合规律师
民商事法律服务
公司法律服务
公共法律服务中心
转创国际法律事务所
内控
危机管理
金融风险专题
风险管理中心
网络安全与隐私保护
企业风险管理
独立董事
风险控制师事务所
国际风险研究
风险管理咨询
监督中心
管制中心
风控中心
内部控制中心
经济安全与企业内控
监管中心
转创
转创深圳(深莞)
转创广佛
转创国际福建
转创梅州
客汕经济
转创珠三角
转创潮州
转创网校
转创国际汕头
转创揭阳
18318889481 17875936848
在线QQ
在线留言
返回首页
返回顶部
留言板
发送