从App专项治理看用户个人信息的合理使用_北京转创国际管理咨询有限公司广东分公司

在2020年开局的这一场疫情里，国家层面大数据联防联控带来的成效让我们看到了个人数据的价值。价值伴随着风险，数据能发挥多大的作用，就能造成多大的问题，2020年3月21日，工信部约谈新浪微博，起因是微博用户查询接口被恶意调用导致App数据泄露，据媒体报道涉及的数据量可能高达上亿条，这并非个案，陌陌在去年9月份亦因数据泄漏风险被约谈，作为互联网企业重要资产的用户信息，与公共安全关系甚大，近年来愈发受到监管层面的关注，2020年人大法工委的立法计划中即包括《中华人民共和国个人信息保护法》，我国长期以来没有专门个人信息保护立法的现状将在本年度得到解决，在此之前，工信部等四部门联合开展的App违法违规收集使用个人信息专项治理工作也贯穿了2019年全年，本次专项治理时间跨度久、涉及监管部门范围广、发布文件数量多，我们在此梳理如下：

时间	发文主体	通知/ 文件	主要内容
2019.1.25	中央网信办、工业和信息化部、公安部、市场监管总局	《关于开展App违法违规收集使用个人信息专项治理的公告》	1、编制大众化应用基本业务功能及必要信息规范、App违法违规收集使用个人信息治理评估要点、对App隐私政策和个人信息收集使用情况进行评估； 2、加强对违法违规收集使用个人信息行为的监管和处罚； 3、公安机关开展打击整治网络侵犯公民个人信息违法犯罪； 4、开展App个人信息安全认证。
2019.3.1	App专项治理工作组（全国信息安全标准化技术委员会等协会受委托成立）	《App违法违规收集使用个人信息自评估指南》	主要用于App运营者对其收集使用个人信息的情况进行自查自纠，分三大部分： 1、隐私政策文本； 2、App收集使用个人信息行为； 3、App运营者对用户权利的保障。
2019.4.19	工信部网络安全管理局	《四部门抓紧推进App违法违规收集使用个人信息专项治理》	公布了专项治理中接收到的举报情况，被举报App主要集中在金融借贷、社区社交、网上购物、短视频与直播、即时通讯等领域
2019.10.31	工信部	《关于开展APP侵害用户权益专项整治工作的通知》	明确重点整治四方面重大问题： 1、违规收集用户个人信息方面； 2、违规使用用户个人信息方面； 3、不合理索取用户权限方面； 4、为用户账号注销设置障碍方面明确专项整治工作的三个阶段： 1、企业自查自纠阶段（2019.10.31至2019.11.10）； 2、监督抽查阶段（2019.11.11至2019.11.30）; 结果处置阶段（2019.12.1至2019.12.20）
2019.12.19	工信部信息通信管理局	《关于侵害用户权益行为的APP（第一批）通报》	通报41款App，新浪体育、搜狐新闻在列
2019.12.30	国家网信办、工信部、公安厅及国家市场监督管理	《App违法违规收集使用个人信息行为认定方法》（以下称“认定方法”）	对违规收集用户信息的行为进行了六个方面的反向列举式规定，为监督管理部门认定App违法违规收集使用个人信息行为提供参考，为App运营者自查自纠和网民社会监督提供指引。
2020.1.3	工信部信息通信管理局	《关于下架第一批侵害用户权益APP名单的通报》	下架3款未按要求整改的App
2020.1.9	工信部信息通信管理局	《关于侵害用户权益行为的APP（第二批）通报》	通报15款App，拉勾招聘、天涯社区、一点资讯在列
2020.3.19	全国信息安全标准化技术委员会秘书处	《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南(征求意见稿)》	在 2019 .3. 1版《App违法违规收集使用个人信息自评估指南》的基础上,结合检测评估工作经验，归纳总结出App收集使用个人信息评估点，供App运营者自评估参考
2020.3.7	国家市场监督管理总局、国家标准化管理委员会	国家标准GB/T 35273—2020《信息安全技术个人信息安全规范》	明确了个人信息安全的国家标准

结合以上信息，我们可以较为清晰地看出监管层面的整治态度，本次专项治理工作由网信部门、工信部、公安、市场等部门联合开展，可能涉及的处罚措施包括责令限期整改、公开曝光、暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，侵犯公民个人信息情节严重涉嫌犯罪的，还可能受到刑事处理，此种程度的多部门联合治理尚属首次。结合以上背景，我们拟从互联网企业用户数据的收集和使用环节入手，对用户个人信息的合理使用进行分析，提供相应合规思路，以供参考。

一

关于用户个人信息的收集

1、用户的哪些个人信息依法受到保护？

2017年两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中，对个人信息做出如下定义：以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等，该定义与近日公布的《信息安全技术个人信息安全规范》相同，从以上定义可以看出，对公民个人身份能够起到识别作用，或涉及公民个人隐私的电子信息，均依法按照个人信息受到法律保护。

就互联网企业而言，除了以上已罗列的常见信息类别外，实际注册到使用的各个环节还可能涉及的个人信息包括昵称、性别、头像、短信、手机相册、设备位置、银行卡信息、交易记录等，在实务中仍然可能被认定为个人信息受到保护，腾讯诉抖音、多闪大数据不正当竞争案（（2019）津0116民初2091号）中，来源于微信/QQ开放平台的用户头像、昵称即作为个人信息得到保护，一方面法院认定单个用户的具体头像、昵称属于个人信息，归属于用户，另一方面肯定了平台对基于自身经营活动收集并商业性使用的用户数据整体（即大数据权利）享有的权益，最终法院做出行为保全裁定，要求第三方停止对上述个人信息未经授权的使用行为。判定某项信息是否属于个人信息，监管层面会综合考虑该信息是否对个人起到识别作用或该信息与个人有关联性，原则较为抽象，以列举方式亦难以穷尽，企业可以参照《信息安全技术个人信息安全规范》中提供的示例，至少在业务涉及到以下信息收集场景时注意设置保护措施：

2、对于个人敏感信息，在信息获取上有何特殊要求？

所谓个人敏感信息，即一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息，包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下（含）儿童的个人信息等，此种类别的信息对公告安全影响程度更高，企业获取该类信息时也面临着更高的要求。

根据《信息安全技术个人信息安全规范》，收集个人敏感信息前，应征得个人信息主体的明示同意，并应确保个人信息主体的明示同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿，相较于其他类型的个人信息，个人敏感信息在获取时要求主体“明示同意”、“完全知情”、“自主给出”，授权意思要“具体”、“清晰明确”，具体到设置上：

（1）针对授权主体“明示同意”、“完全知情”、“自主给出”的要求，用户协议及隐私政策不建议以默认同意的方式签订，可通过勾选、弹窗确认等方式将用户授权的环节固定化，特别的，在收集年满14周岁未成年人的个人信息前，要征得未成年人或其监护人的明示同意，不满14周岁的，征得其监护人的明示同意；

（2）针对授权意思“具体”、“清晰明确”的要求，企业可在用户协议及隐私政策中，对于个人敏感信息授权相关的内容明确标识或突出显示，如字体加粗、标星号、下划线、斜体、颜色等。

二

哪些个人信息收集使用方式是错误的？

在个人信息保护法出台之前，我国对个人信息保护的原则及禁止性规定主要集中在《中华人民共和国网络安全法》第四章（网络信息安全），网络安全法具有较高位阶，不会对做出过于细则的规定，鉴于此，2019年12月30日工信部等四部门发布了《App违法违规收集使用个人信息行为认定方法》，对法律所禁止的个人信息收集使用方式进行了反向列举式回应，包括以下几个方面：

网络安全法的原则性规定	认定方法所回应的问题	认定方法所列举的典型情形
第四十一条第一款：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。”	何种情况属于“未公开收集使用规则”	1、未以明显方式提示隐私政策； 2、刻意使用灰色字体、缩小字号、遮挡、置于边缘与背景颜色相近等方式使隐私政策不突出显示； 3、隐私政策通过搜索、咨询客服等方式才能访问到；隐私政策文本列宽设置大于屏幕、无法完整显示
	何种情况属于“未明示收集使用个人信息的目的、方式和范围”	1、未逐一列出； 2、发生变化后未通过适当方式通知用户； 3、申请收集信息时未同步告知目的，或目的难以理解；内容晦涩繁琐
	何种情况属于“未经用户同意收集使用个人信息”	1、用户同意前就开始收集； 2、用户不同意后仍然收集，或频繁要求同意； 3、超出用户授权范围收集； 4、以默认等非明示方式征求用户同意； 5、未经用户同意更改其权限设置； 6、定向推送时未提供非定向推送信息选项； 7、欺诈、诱骗用户； 8、未提供撤回同意的途径；违反企业所声明的规则
第四十一条第二款：“网络运营者不得收集与其提供的服务无关的个人信息……”	何种情况属于“违反必要原则，收集与其提供的服务无关的个人信息”	1、与现有业务功能无关； 2、因用户不同意收集而拒绝提供业务功能； 3、因用户不同意新增业务功能新增收集范围，而拒绝提供原功能； 4、收集频度超出业务需要；以多种理由强制要求收集；
第四十二条第一款：“网络运营者……未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。”	何种情况属于“未经同意向他人提供个人信息”	1、未经同意，也未做匿名化处理，直接向第三方提供； 2、未经同意，也未做匿名化处理，将自身服务器数据向第三方提供； 3、接入第三方应用，未经用户同意向第三方提供
第四十三条：“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。”	何种情况属于“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”	1、未提供更正、删除、注销功能； 2、为更正、删除、注销功能设置不合理条件；虽提供了功能但未及时响应，需人工处理的，未在承诺时限内完成（承诺时限不得超过15个工作日，无承诺时限的以15个工作日为限）

认定方法列举的禁止情形较为具体，其中值得注意的是，网络运营者不仅要按照以上认定做好自身产品设置，对委托的第三方或嵌入的第三方代码、插件的收集使用行为亦要明示其目的、方式和范围，通过嵌入的第三方代码、插件向第三方提供个人信息的行为，若未经用户同意或做匿名化处理，也属于禁止范畴。

此外，很多互联网企业会也会基于算法技术对用户提供个性化展示，基于个人的网络浏览历史、兴趣爱好、消费记录和习惯精准推送新闻、短视频信息，根据认定方法，企业推送过程中使用个性化展示的，应该注意：

（1）为个人信息主体提供简单直观的退出或关闭个性化展示模式的选项；

（2）当个人信息主体选择退出或关闭个性化展示模式时，向用户提供删除或匿名化定向推送活动所基于的个人信息的选项。

三

关于用户个人信息的使用

1、基于自身业务使用个人信息，有何注意事项？

对于互联网企业，特别是金融借贷、社交通讯、网上购物、短视频与直播企业而言，基于个人信息形成的大数据在企业决策和运营中具有重要的价值，通常是历经多年积累的结果，数据分析的过程也凝聚了企业的人力投入，在司法层面，已有法院肯定了企业对于这种用户数据整体所享有的合法权益。但数据的来源方是个人用户，企业基于协议授权获得了用户的许可，自然应在协议范围内使用，同时按照法律的规定对个人信息承担保护责任。

在管理层面，海量的用户信息一旦泄漏，面临的不仅是用户的投诉和企业的损失，还可能受到监管处罚，我们建议企业设置专门的数据管理部门或负责人员，对于数据的使用设置内部审批流程，控制能够接触到核心数据的人员数量，同时数据的任何拷贝、下载和修改都应当保留记录，在内部员工泄漏或外部黑客攻击时有据可查，及时补救，及时告知用户并向有关主管部门报告。在可能涉及到对外展示用户数据的场景，企业根据需要也可以对需展示的个人信息通过假名、加密等技术手段进行去标识化处理，防止第三方未经授权实际接触到用户个人信息。

在使用层面，企业征求用户同意使用其个人信息，实际是一个签订合同的过程，企业应该按照用户协议、隐私协议及用户实际使用中的授权情况使用，不超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因业务需要，确需超出协议范围使用个人信息的，应再次征得个人信息主体明示同意。

2、将个人信息转授权第三方使用，有何注意事项？

企业获得个人信息是基于用户授权，企业将个人信息转授权给第三方使用，首先需要确保自身具有转授权的权利。腾讯诉抖音、多闪大数据不正当竞争一案中，法院肯定了新浪微博诉脉脉不正当竞争案（案号（2016）京 73 民终 588 号）中法院的观点，认为开放平台数据提供方向第三方开放数据的前提是数据提供方取得用户同意，同时，第三方平台在使用用户信息时还应当明确告知用户其使用的目的、方式和范围，再次取得用户的同意，即“用户授权”+“平台授权”+“用户授权”的三重授权原则，法院认为该原则已成为开放平台领域网络经营者应当遵守的商业道德。

在实操过程中，企业不仅要在法律允许和服务所需的范围内收集个人信息，还应在用户协议、隐私政策中明确约定用户数据的转授权范围，并以明示方式提示用户注意，保证企业在授权第三方使用个人信息时授权链条的完整性，此外，根据网络安全法第四十二条的规定，未经被收集者同意，不得向他人提供个人信息，但经过处理无法识别特定个人且不能复原的除外，和个人信息对外展示的场景类似，企业也可考虑在向第三方授权时对授权数据进行去标识化处理，达到无法识别特定个人的程度，对数据资产在法律允许的范围内使用。