方寸之間,以“度”為尺—個(gè)人信息處理“必要性原則”之解析與實(shí)務(wù)建議
作者:張丹 夏星悅 2022-07-28近年來,因App非法獲取個(gè)人信息、超范圍收集個(gè)人信息、過度索權(quán)而被網(wǎng)信部門通報(bào)批評、要求整改甚至下架App的案例屢見不鮮,近期被國家網(wǎng)信辦處以人民幣80.26億罰款的某互聯(lián)網(wǎng)平臺(tái)公司就涉及違法收集、過度收集個(gè)人信息,而其在去年7月4日和9日就因旗下26款打車類App存在嚴(yán)重違法違規(guī)收集使用個(gè)人信息問題而被國家網(wǎng)信辦要求下架。
實(shí)際上,國家對于個(gè)人信息處理活動(dòng)有著較為明確的規(guī)定、要求以及所需遵循的原則,在《全國人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》、《網(wǎng)絡(luò)安全法》、《民法典》及《個(gè)人信息保護(hù)法》(下稱“《個(gè)保法》”)都提及個(gè)人信息處理活動(dòng)應(yīng)遵循“合法、正當(dāng)、必要”原則,然而仍舊有相當(dāng)多的App過度索權(quán)、超范圍收集個(gè)人信息。當(dāng)然企業(yè)有商業(yè)利益的考量,希望在法律風(fēng)險(xiǎn)最小的范圍內(nèi)實(shí)現(xiàn)較多的商業(yè)訴求。然而由于法律法規(guī)的原則性規(guī)定,對于個(gè)人信息處理原則的理解存在偏差,無法準(zhǔn)確評估個(gè)人信息處理行為所可能導(dǎo)致的法律風(fēng)險(xiǎn)。基于此,本文將首先從個(gè)人信息處理中的“必要性原則”的法律內(nèi)涵解讀著手,之后將進(jìn)一步梳理常見類型的個(gè)人信息處理的合規(guī)要求,以幫助各位讀者厘清處理個(gè)人信息的合規(guī)界限。
【第一部分】個(gè)人信息處理“必要性原則”及相關(guān)處理原則的解讀
1. 個(gè)人信息處理之“必要性原則” 1.1. “必要性原則”的淵源與法律內(nèi)涵 “必要性原則”源于行政法領(lǐng)域的“比例原則”。“比例原則”具有“適當(dāng)性原則”“必要性原則”“均衡性原則”的要求。按照“比例原則”的邏輯,就個(gè)人信息處理的必要性而言,需要在合法、正當(dāng)?shù)哪康南拢驮撃康亩宰鞒霰匾膫€(gè)人信息處理,不得超過合理的限度[1];在數(shù)個(gè)可實(shí)現(xiàn)初始目的的方式上,采用對個(gè)人信息主體權(quán)益最小的方式,若處理一般信息即可實(shí)現(xiàn)處理目的的,不得處理敏感信息。 在法律規(guī)定層面,早在2012年,《全國人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》(下稱“《決定》”)首次提出個(gè)人信息處理應(yīng)遵循“必要性原則”。該《決定》第二條指出:“網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位在業(yè)務(wù)活動(dòng)中收集、使用公民電子信息,應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則,明示收集、使用信息的目的、方式和范圍,并經(jīng)被收集者同意,不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息。”此后,個(gè)人信息處理的“必要性原則”亦出現(xiàn)在《消費(fèi)者權(quán)益保護(hù)法》第二十九條、《網(wǎng)絡(luò)安全法》第四十一條第(1)款、《電子商務(wù)法》第二十三條、《民法典》第一千零三十五條第(1)款以及《個(gè)保法》第五條等法律規(guī)定中。然而,縱觀這些法律規(guī)定,我們會(huì)發(fā)現(xiàn),這些法律均未賦予“必要性原則”明確的法律定義和具體的適用標(biāo)準(zhǔn),需要進(jìn)行解釋后方可適用,因此,我們有必要梳理各相關(guān)法律規(guī)定中關(guān)于“必要性原則”的具體規(guī)定,從中提煉出一般標(biāo)準(zhǔn)。 1.2. 國內(nèi)個(gè)人信息保護(hù)相關(guān)規(guī)定中“必要性原則”的具體體現(xiàn)與要求
如上表所示,各規(guī)定都強(qiáng)調(diào)不得過度收集個(gè)人信息。而這個(gè)“度”的標(biāo)準(zhǔn)是怎樣的呢?我們認(rèn)為,應(yīng)限定在實(shí)現(xiàn)個(gè)人信息處理的合法、正當(dāng)目的的最小范圍中。此外,《個(gè)保法》與《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(GB/T35273-2020)(下稱“《個(gè)人信息安全規(guī)范》”)都規(guī)定了個(gè)人信息的及時(shí)刪除原則,所以總結(jié)而言,“必要性原則”在個(gè)人信息處理中的具體要求主要有以下幾點(diǎn): (1)收集的個(gè)人信息應(yīng)具有明確、合理、具體的個(gè)人信息處理目的; (2)個(gè)人信息處理應(yīng)當(dāng)與擬實(shí)現(xiàn)的信息處理目的直接相關(guān)。 (3)個(gè)人信息處理應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的之最小范圍。 (4)個(gè)人信息處理應(yīng)當(dāng)采取對個(gè)人權(quán)益影響最小的方式。 (5)個(gè)人信息的保存期限應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最短期限。 以上五點(diǎn)要求實(shí)則暗含了三大原則,即“目的明確原則”、“最小化原則”以及“存儲(chǔ)期限限制原則”。限于文章篇幅,我們以下將聚焦對“目的明確原則”和“最小化原則”進(jìn)行解讀。 2.個(gè)人信息處理之“目的明確原則” 在我國個(gè)人信息保護(hù)相關(guān)法律體系中,《個(gè)保法》首次在該法第六條中明確規(guī)定了個(gè)人信息處理應(yīng)遵循“目的明確原則”。這一原則具有以下兩層含義。 2.1. 目的明確、合理 “目的明確原則”要求個(gè)人信息處理者處理個(gè)人信息的目的要明確、合理,且需要及時(shí)、明確、準(zhǔn)確地向個(gè)人信息主體披露其個(gè)人信息處理的目的。《個(gè)人信息安全規(guī)范》亦規(guī)定,不應(yīng)通過捆綁產(chǎn)品或服務(wù)各項(xiàng)業(yè)務(wù)功能的方式,要求個(gè)人一次性接受并授權(quán)其未申請或使用的業(yè)務(wù)功能收集個(gè)人信息的請求。使用個(gè)人信息時(shí),不應(yīng)超出與收集個(gè)人信息時(shí)所聲稱的目的具有直接或合理關(guān)聯(lián)的范圍。值得注意的是,《個(gè)人信息安全規(guī)范》在此處運(yùn)用的是“與目的直接或合理關(guān)聯(lián)的范圍”,而《個(gè)保法》所使用的“與目的直接相關(guān)”的表述,我們理解由于《個(gè)保法》法律層級更高,故應(yīng)限縮至“與目的直接相關(guān)的范圍”。 而對于目的的“合理性”要求,則強(qiáng)調(diào)個(gè)人信息處理者在目的合法的前提下,亦不得違反公序良俗。 2.2. 行為與目的直接相關(guān)
如上表所示,不同于歐盟GDPR所采用的“數(shù)據(jù)兼容處理(compatible processing of data)”原則[5]和美國CCPA與CPRA所采用的“目的+場景符合”的雙重認(rèn)定標(biāo)準(zhǔn)[6],我國《個(gè)保法》選用是更為嚴(yán)格的“與處理目的直接相關(guān)”原則,即沒有該等個(gè)人信息的參與,產(chǎn)品或服務(wù)的功能就無法實(shí)現(xiàn),并且在個(gè)人信息處理活動(dòng)須圍繞初始目的展開,在初始目的實(shí)現(xiàn)、初始目的無法實(shí)現(xiàn)或初始目的變更等情況發(fā)生時(shí),個(gè)人信息處理者均應(yīng)該采取相應(yīng)措施。我國作此規(guī)定有助于個(gè)人信息主體通過預(yù)先了解個(gè)人信息的處理目的,從而判斷是否允許個(gè)人信息處理者處理其個(gè)人信息,以及個(gè)人權(quán)益可能遭受侵害的風(fēng)險(xiǎn)等。 3.個(gè)人信息處理之“最小化原則” 《個(gè)保法》第六條規(guī)定除了凝聚了“目的明確原則”,還體現(xiàn)了“最小化原則”。“最小化原則”要求處理個(gè)人信息應(yīng)當(dāng)采取對個(gè)人權(quán)益影響最小的方式,并限于實(shí)現(xiàn)處理目的的最小范圍,不得過度收集個(gè)人信息。一方面,個(gè)人信息的收集應(yīng)當(dāng)以必要為原則,不必要的個(gè)人信息的收集不僅會(huì)增加個(gè)人信息權(quán)益侵害風(fēng)險(xiǎn),同時(shí)也會(huì)增加數(shù)據(jù)泄露的風(fēng)險(xiǎn);另一方面,是否必要,還需要從處理目的能否實(shí)現(xiàn)的角度加以判斷,只要收集的個(gè)人信息對于處理目的而言已經(jīng)足夠了,就不應(yīng)當(dāng)收集了。 3.1. 采取對個(gè)人權(quán)益影響最小方式 一般而言,個(gè)人信息越敏感其處理活動(dòng)對個(gè)人權(quán)益影響越大,因而在同樣可以實(shí)現(xiàn)處理目的的情況下,應(yīng)盡可能采用收集一般個(gè)人信息的方式實(shí)現(xiàn)處理目的。如小區(qū)物業(yè)、辦公門禁,可以使用刷卡進(jìn)出的就不宜采用指紋或人臉識(shí)別的方式進(jìn)出。評估個(gè)人信息的權(quán)益影響可以參考《信息安全技術(shù) 個(gè)人信息安全影響評估指南》(GB/T 39335-2020)的規(guī)定執(zhí)行。 3.2. 處理個(gè)人信息限于處理目的的最小范圍 根據(jù)《個(gè)人信息安全規(guī)范》第5.2條規(guī)定,收集個(gè)人信息的頻率和數(shù)量均應(yīng)是實(shí)現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能目的所必需。《信息安全技術(shù) 移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(App)收集個(gè)人信息基本要求》(GB/T 41391-2022) (下稱“《基本要求》”)第6.1條進(jìn)一步規(guī)定,對于實(shí)現(xiàn)處理目的所必要的最小范圍中“范圍”的理解,應(yīng)包括收集個(gè)人信息的類型、頻率、數(shù)量、精度等。如在互聯(lián)網(wǎng)借貸場景中,個(gè)人信息處理者僅需收集粗略位置信息即可完成反欺詐等風(fēng)控行為,收集精準(zhǔn)位置信息或行蹤軌跡就超出了必要的范圍。因此,我們理解,為達(dá)到“最小范圍”要求,應(yīng)確保:(1)收集個(gè)人信息,尤其是個(gè)人敏感信息,應(yīng)擬實(shí)現(xiàn)業(yè)務(wù)功能之目的直接相關(guān);(2)收集個(gè)人信息的數(shù)量與頻率為實(shí)現(xiàn)目的最低;(3)若可以采用去標(biāo)識(shí)化或匿名化手段,盡量使用此類消除或降低個(gè)人信息主體可識(shí)別性的方式。
【第二部分】 “必要性原則”的典型應(yīng)用場景分析
如本文引言所提及,在近期的某互聯(lián)網(wǎng)平臺(tái)的巨額處罰案中,被罰主體的違法事實(shí)主要包括違法收集個(gè)人信息、過度收集個(gè)人信息、明文存儲(chǔ)個(gè)人信息以及未向個(gè)人信息主體明確告知處理個(gè)人信息的范圍、目的等。其中過度收集個(gè)人信息的違法行為占到了違法事項(xiàng)的二分之一以上。 1. 違法收集與過度收集個(gè)人信息的區(qū)別 顧名思義,個(gè)人信息處理者違反法律規(guī)定而收集個(gè)人信息的行為屬于違法收集,我們認(rèn)為,個(gè)人信息處理者未合理履行告知義務(wù)、未滿足個(gè)人信息處理的合法性基礎(chǔ)收集個(gè)人信息的屬于違法收集;由于法律法規(guī)等并不能對所有個(gè)人信息處理場景均予以詳細(xì)具體的規(guī)制,就產(chǎn)生了法律規(guī)定和處理者實(shí)際收集行為之間的間隙,個(gè)人信息處理者雖可能未違反某一具體法律條款,但依照個(gè)人信息的“必要性原則”而存在超出必要性收集個(gè)人信息的情形就屬于過度收集。 2.個(gè)人信息收集滿足“必要性”的評估自查 商業(yè)場景下,個(gè)人信息的收集是否違反“必要性原則”需要就具體場景予以判斷,我們可通過下表進(jìn)行合規(guī)自查:
備注:基本業(yè)務(wù)功能是指所提供的實(shí)現(xiàn)用戶主要使用目的的業(yè)務(wù)功能;擴(kuò)展業(yè)務(wù)功能是指所提供的基本業(yè)務(wù)功能以外的其他業(yè)務(wù)功能;必要個(gè)人信息是指基本業(yè)務(wù)功能正常運(yùn)行所必需的個(gè)人信息;非必要但有關(guān)聯(lián)個(gè)人信息是指與所提供服務(wù)相關(guān)但可選收集的個(gè)人信息,該類信息可由個(gè)人拒絕或撤回同意收集。無關(guān)個(gè)人信息是指與所提供服務(wù)目的無直接關(guān)聯(lián)的個(gè)人信息,即沒有該等個(gè)人信息的參與,不會(huì)影響任何一項(xiàng)業(yè)務(wù)功能的正常實(shí)現(xiàn)和服務(wù)質(zhì)量。必要個(gè)人信息的范圍可參考《常見類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》或《基本要求》附錄A,該規(guī)定給出了三十九類基本業(yè)務(wù)功能對應(yīng)的個(gè)人信息范圍,個(gè)人信息處理者要求個(gè)人提供的個(gè)人信息不應(yīng)超出必要個(gè)人信息范圍。 無關(guān)個(gè)人信息屬于不應(yīng)收集、也不應(yīng)向個(gè)人征求同意的個(gè)人信息。基本業(yè)務(wù)功能和擴(kuò)展業(yè)務(wù)功能收集無關(guān)個(gè)人信息均屬于違法收集行為,無論是否取得了個(gè)人的同意均不影響其違法性;其次,基本業(yè)務(wù)功能和擴(kuò)展業(yè)務(wù)功能收集非必要但有關(guān)聯(lián)個(gè)人信息時(shí),要根據(jù)個(gè)人信息處理的“必要性原則”的內(nèi)涵和外延謹(jǐn)慎評估是否存在過度收集的情形,如收集的個(gè)人信息是否限于實(shí)現(xiàn)處理目的所必要的最小范圍,是否采取了對個(gè)人權(quán)益影響最小的方式。 3. 典型個(gè)人信息處理的必要性分析 3.1. 圖片信息 圖片信息不僅僅可以展現(xiàn)圖片內(nèi)容信息,還可以體現(xiàn)圖片的拍照時(shí)間、拍照設(shè)備、拍照參數(shù)、圖片名稱、圖片位置等可關(guān)聯(lián)出個(gè)人的圖片信息。因而,基于圖片信息的豐富性,圖片信息的收集應(yīng)符合“必要性原則”。 個(gè)人信息處理者收集圖片信息主要通過移動(dòng)智能終端的拍照或屏幕截屏功能或是通過讀取、寫入方式訪問相冊中的圖片信息,無論通過何種方式獲取,均應(yīng)向個(gè)人信息主體逐一告知不同業(yè)務(wù)功能下收集使用圖片信息的目的、方式和范圍,以及圖片信息存儲(chǔ)的地域、期限、超期處理的方式,采取的技術(shù)保護(hù)措施等,并獲得個(gè)人信息主體的明示同意。 根據(jù)《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(App)收集使用個(gè)人信息必要性原則評估規(guī)范第3部分:圖片信息》,圖片信息的收集應(yīng)與業(yè)務(wù)功能場景直接相關(guān),不應(yīng)僅以改善服務(wù)質(zhì)量、提升使用體驗(yàn)、研發(fā)新產(chǎn)品、增強(qiáng)安全性等為由強(qiáng)制個(gè)人信息主體同意收集跟場景無關(guān)的圖片信息;當(dāng)個(gè)人信息主體僅選取一張或幾張圖片時(shí),非個(gè)人信息主體主動(dòng)觸發(fā)(如預(yù)覽),個(gè)人信息處理者不應(yīng)讀取圖片庫中的其他圖片信息。根據(jù)《基本要求》附錄C,個(gè)人信息處理者未經(jīng)個(gè)人單獨(dú)同意,不應(yīng)分析圖片中的生物識(shí)別信息,或用于分析挖掘個(gè)人的特定身份、興趣愛好、健康狀況等。如個(gè)人信息處理者在個(gè)人信息主體分享圖片時(shí)讀取了圖片所包含的位置信息就違反了“必要性原則”,屬于過度收集。 3.2. 剪切板信息 在林某與“好購”App侵權(quán)糾紛一案中,林某認(rèn)為剪貼板可以存儲(chǔ)身份證號、手機(jī)號、照片等涉及隱私的個(gè)人信息,但“好購”App的《隱私政策》并無收集手機(jī)用戶剪貼板上信息的相關(guān)說明,也未履行告知提醒義務(wù)或征得用戶同意。廣州互聯(lián)網(wǎng)法院認(rèn)為,“好購”App監(jiān)測、讀取用戶手機(jī)剪貼板信息的行為,系以技術(shù)手段侵入林某虛擬私密空間的行為,會(huì)導(dǎo)致林某手機(jī)中的私密信息可能被好購公司收集、上傳、使用,該可能性一旦實(shí)現(xiàn),所能夠造成的私密信息泄露會(huì)對林某的合法權(quán)益造成較大損害。好購公司未將“好購”App能夠監(jiān)測、讀取個(gè)人手機(jī)剪貼板的事實(shí)告知林某,該行為造成林某私密信息處于不安全的高風(fēng)險(xiǎn)狀態(tài),給林某的生活安寧造成一定的侵?jǐn)_和不安。“好購”App未經(jīng)許可,監(jiān)測、讀取林某手機(jī)剪貼板信息的行為侵害了林某的隱私權(quán)。 從該案可見,由于剪切板中豐富的內(nèi)容不僅可能涉及個(gè)人信息,還可能涉及隱私信息。個(gè)人信息處理者如讀取剪切板信息,應(yīng)滿足“必要性原則”的內(nèi)涵和外延。如用戶在某即時(shí)通信平臺(tái)上不能直接打開某寶、某音等App的鏈接,需要復(fù)制一個(gè)口令,等再次打開某寶、某音時(shí)會(huì)自動(dòng)跳轉(zhuǎn)到對應(yīng)的商品/服務(wù)頁面。我們認(rèn)為,該等讀取剪切板信息的行為并不符合"必要性原則",因?yàn)橛脩粢部赏ㄟ^已知的商品名稱、商戶名稱、其他關(guān)鍵字等信息在某寶、某音上搜索。 根據(jù)國家標(biāo)準(zhǔn)《信息安全技術(shù) 移動(dòng)智能終端的移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(App)個(gè)人信息處理活動(dòng)管理指南(征求意見稿)》7.2.2b)和k),當(dāng)App讀取剪切板時(shí)應(yīng)向用戶提示并限制App在后臺(tái)訪問剪切板的能力。由于無法判斷剪切板信息是否涉及敏感個(gè)人信息、隱私信息、商業(yè)秘密或其他信息,個(gè)人信息處理者在讀取剪切板信息前,應(yīng)按照敏感個(gè)人信息的處理標(biāo)準(zhǔn)履行告知義務(wù),并評估收集場景中剪切板信息的處理行為是否與處理目的直接相關(guān),是否符合最小范圍,是否可能對個(gè)人信息主體權(quán)益造成重大影響。 3.3. 應(yīng)用列表信息 應(yīng)用列表信息包括應(yīng)用軟件包名、名稱、業(yè)務(wù)類型、安裝包MD5、文件路徑、安裝時(shí)間、更新時(shí)間、文件大小等信息。常見的軟件列表使用場景有以向個(gè)人提供“應(yīng)用分發(fā)、升級、備份、刪除”等功能為目的的場景;以向個(gè)人提供“殺毒、文件掃描”等功能為目的的場景;以向用戶提供“調(diào)用、喚醒第三方應(yīng)用”等功能為目的的場景;以“統(tǒng)計(jì)軟件安裝數(shù)據(jù)”為目的的場景等。 為了符合“必要性原則”,個(gè)人信息處理者不應(yīng)超出業(yè)務(wù)場景的實(shí)際需要收集應(yīng)用列表信息。如不同的業(yè)務(wù)功能所收集的應(yīng)用列表信息也有所不同,“調(diào)用、喚醒第三方應(yīng)用”業(yè)務(wù)功能應(yīng)僅收集應(yīng)用軟件名稱類信息而不能收集其他應(yīng)用列表信息,且僅可以在調(diào)用/喚醒時(shí)收集應(yīng)用列表信息,而不應(yīng)在調(diào)用/喚醒完成后繼續(xù)收集應(yīng)用列表信息。可以在移動(dòng)智能終端完成處理的,個(gè)人信息處理者不應(yīng)收集應(yīng)用列表信息至后臺(tái),如判斷特定App是否安裝。此外,應(yīng)默認(rèn)不收集應(yīng)用列表信息,僅在個(gè)人使用到相關(guān)業(yè)務(wù)功能時(shí)同步告知使用目的并取得個(gè)人同意后再行收集。非基于業(yè)務(wù)功能所必需或超范圍收集應(yīng)用列表信息,就會(huì)違反“必要性原則”,存在過度收集的情形。 3.4. 人臉識(shí)別信息 人臉識(shí)別信息屬于敏感個(gè)人信息,基于人臉識(shí)別信息違法收集或過度收集的熱點(diǎn)事件層出不窮,最高人民法院曾出臺(tái)《關(guān)于審理使用人臉識(shí)別技術(shù)處理個(gè)人信息相關(guān)民事案件適用法律若干問題的規(guī)定》司法解釋,《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見稿)》第二十五條也規(guī)定,數(shù)據(jù)處理者不得將人臉、步態(tài)、指紋、虹膜、聲紋等生物特征作為唯一的個(gè)人身份認(rèn)證方式。根據(jù)《個(gè)保法》,人臉識(shí)別信息作為敏感個(gè)人信息應(yīng)符合以下處理要求: A. 取得個(gè)人單獨(dú)同意 B. 具有特定的處理目的和充分的必要性 C. 已采取嚴(yán)格的保護(hù)措施 D. 向個(gè)人告知處理的必要性和對個(gè)人權(quán)益的影響 E. 處理前進(jìn)行個(gè)人信息保護(hù)影響評估 F. 非必要處理的,還應(yīng)提供替代性方案 “人臉識(shí)別第一案”中,杭州野生動(dòng)物世界擅自將指紋識(shí)別升級為“刷臉”入園,否則將無法入園。法院認(rèn)為“人臉識(shí)別信息相比其他生物識(shí)別信息而言,呈現(xiàn)出敏感度高,采集方式多樣、隱蔽和靈活的特性,不當(dāng)使用將給公民的人身、財(cái)產(chǎn)帶來不可預(yù)測的風(fēng)險(xiǎn),應(yīng)當(dāng)作出更加嚴(yán)格的規(guī)制和保護(hù)。經(jīng)營者只有在消費(fèi)者充分知情同意的前提下方能收集和使用,且須遵循合法、正當(dāng)、必要原則。”[7]因此,個(gè)人信息處理者在收集此類信息前,應(yīng)謹(jǐn)慎評估收集該信息目的的合法、正當(dāng)及必要性,并準(zhǔn)確、具體地告知用戶收集之目的并獲得其單獨(dú)同意。如確需收集的,還應(yīng)做好嚴(yán)格的保護(hù)措施,如將該等敏感個(gè)人信息與一般個(gè)人信息隔離保存、采用加密手段、僅限內(nèi)部特定少數(shù)人員進(jìn)行訪問等,并且在個(gè)人信息處理目的實(shí)現(xiàn)或有其他法律規(guī)定情形發(fā)生時(shí),及時(shí)刪除該等信息或作匿名化處理。 3.5. 位置信息 位置信息主要通過傳感器、GPS、IP地址、基站、藍(lán)牙、WIFI等方式定位,或個(gè)人自行選擇地址/填寫位置信息,從圖片、視頻數(shù)據(jù)中獲取位置信息。位置信息分為粗略位置信息(省份、城市、時(shí)區(qū)等)和精準(zhǔn)位置信息,粗略位置信息屬于一般個(gè)人信息,而精準(zhǔn)位置信息屬于敏感個(gè)人信息。當(dāng)業(yè)務(wù)功能的實(shí)現(xiàn)僅需要粗略位置信息時(shí),個(gè)人信息處理者應(yīng)僅收集粗略位置信息而不應(yīng)收集精準(zhǔn)位置信息。如基于廣告服務(wù)或互聯(lián)網(wǎng)借貸的風(fēng)控服務(wù),個(gè)人信息處理者應(yīng)僅收集粗略位置信息,而不應(yīng)收集精準(zhǔn)位置信息。 個(gè)人信息處理者應(yīng)允許個(gè)人在使用服務(wù)時(shí)選擇“使用應(yīng)用時(shí)允許、單次允許、禁止獲取位置信息”選項(xiàng)。對于地圖服務(wù)或調(diào)度服務(wù),個(gè)人信息處理者可收集精準(zhǔn)位置信息,但收集頻率應(yīng)符合業(yè)務(wù)功能所需。根據(jù)《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(App)收集使用個(gè)人信息必要性原則評估規(guī)范第2部分:位置信息》,個(gè)人信息處理者不應(yīng)在用戶不知情的情況下收集使用位置信息;相關(guān)服務(wù)是否可以在后臺(tái)調(diào)用位置信息應(yīng)根據(jù)實(shí)際業(yè)務(wù)場景需要進(jìn)行判定(除所提供業(yè)務(wù)功能確需后臺(tái)持續(xù)收集位置信息外,不應(yīng)申請后臺(tái)訪問位置信息)。如個(gè)人已不使用導(dǎo)航、調(diào)度等服務(wù),而使用其他業(yè)務(wù)功能,個(gè)人信息處理者不應(yīng)再繼續(xù)收集位置信息。 3.6. 設(shè)備信息 設(shè)備信息分為基本設(shè)備信息(設(shè)備廠商名稱、設(shè)備型號等)、不可變設(shè)備標(biāo)識(shí)(IMEI、MEID、硬件序列號等)和可變設(shè)備標(biāo)識(shí)(IP地址、Android ID等)。2019年8月5日國家市場監(jiān)督管理總局和中國國家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布的《信息安全技術(shù)移動(dòng)互聯(lián)網(wǎng)應(yīng)用(App)收集個(gè)人信息基本規(guī)范(草案)》曾規(guī)定,“App不得收集不可變更的設(shè)備唯一標(biāo)識(shí)(如IMEI號、MAC地址等),用于保障網(wǎng)絡(luò)安全或運(yùn)營安全的除外”;《基本要求》附錄C中亦明確“不應(yīng)收集不可變更的唯一設(shè)備識(shí)別碼”。可見相較于基本設(shè)備信息和可變設(shè)備標(biāo)識(shí)來說,不可變設(shè)備標(biāo)識(shí)屬于對個(gè)人信息權(quán)益影響更大的信息類別。 設(shè)備信息往往用于統(tǒng)計(jì)、推送、用戶畫像、廣告營銷等場景,這些場景可通過收集可變設(shè)備標(biāo)識(shí)而實(shí)現(xiàn)處理目的,如個(gè)人信息處理者收集不可變更的設(shè)備唯一標(biāo)識(shí)就違反了“必要性原則”。對于非基本業(yè)務(wù)功能所需的個(gè)人信息,個(gè)人信息處理者收集處理前應(yīng)取得個(gè)人的明示同意,清晰準(zhǔn)確地告知個(gè)人信息主體設(shè)備信息處理的范圍、目的和方式,如個(gè)人信息處理者告知內(nèi)容與實(shí)際處理行為不完全一致,就可能存在過度收集的情形。
【第三部分】合規(guī)建議
合規(guī)不是一日之功,違規(guī)卻可能是一念之差。個(gè)人信息保護(hù)合規(guī)制度的建設(shè)和完善是企業(yè)整體合規(guī)體系的重要一環(huán),若無法準(zhǔn)確、有效地把握個(gè)人信息處理“最小必要”的尺度,將有可能陷入違法收集或過度收集的風(fēng)險(xiǎn)之中。特別是,如果是違法、過度收集特定類型個(gè)人信息收集量持續(xù)增加,可能不僅危害個(gè)人信息權(quán)益,也危害著社會(huì)公共利益與國家安全,所面臨的也不僅僅是民事賠償或行政處罰,甚至有可能涉嫌刑事犯罪。因此,企業(yè)在日常開展業(yè)務(wù)過程中,應(yīng)牢記個(gè)人信息處理“最小必要”這一度量衡,并做好個(gè)人信息權(quán)益影響評估工作。 此外,近年來,國家不斷加強(qiáng)對網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個(gè)人信息的保護(hù)力度,先后頒布了《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》、《網(wǎng)絡(luò)安全審查辦法》、《數(shù)據(jù)出境安全評估辦法》等法律法規(guī),不少個(gè)人信息保護(hù)與數(shù)據(jù)合規(guī)的相關(guān)規(guī)定(如:《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》(征)、《個(gè)人信息出境標(biāo)準(zhǔn)合同規(guī)定》(征))相信在不久的將來也將靴子落地,企業(yè)應(yīng)密切關(guān)注相關(guān)立法與監(jiān)管動(dòng)態(tài),及時(shí)調(diào)整企業(yè)現(xiàn)有信息個(gè)人信息保護(hù)制度與最新立法規(guī)定之間的間隙,如需要,可借助外部資源的力量,提供必要幫助。 最后,從近期國家網(wǎng)信辦對某互聯(lián)網(wǎng)平臺(tái)公司處以80.26億罰款的處罰決定答記者問內(nèi)容中,我們了解到,主管部門將依法加大網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個(gè)人信息保護(hù)等領(lǐng)域執(zhí)法力度,各地的網(wǎng)信部門也正相繼開展年度網(wǎng)絡(luò)安全專項(xiàng)檢查活動(dòng),如遇抽檢,企業(yè)應(yīng)以積極、配合的心態(tài)配合主管部門進(jìn)行了解企業(yè)合規(guī)工作情況以及不足之處,這也有助于促進(jìn)企業(yè)健康、合規(guī)、規(guī)范、有序發(fā)展。
注釋 [1] 楊合慶主編:《中華人民共和國個(gè)人信息保護(hù)法釋義》,法律出版社,第25頁。 [2] General Data Protection Regulation (GDPR) of EU, available at https://gdpr.eu,last visited on 23 Jul.2022. [3] The California Consumer Privacy Act (CCPA)of 2018,available at https://www.consumerprivacyact.com/section-1798-140-definitions/, last visited on 23 Jul.2022. [4] The California Privacy Rights Act (CPRA) of 2020,available at https://www.caprivacy.org/annotated-cpra-text-with-ccpa-changes/ , last visited on 23 Jul.2022. [5] 指數(shù)據(jù)控制者可以對數(shù)據(jù)執(zhí)行被認(rèn)為與收集數(shù)據(jù)時(shí)的初始目的相互兼容的所有操作。 [6] 當(dāng)個(gè)人信息的后續(xù)處理與收集時(shí)的初始目的或收集時(shí)的場景相符,即可被認(rèn)定為是正當(dāng)?shù)男畔⑻幚砘顒?dòng)。 [7] 郭兵、杭州野生動(dòng)物世界有限公司服務(wù)合同糾紛民事二審民事判決書,浙江省杭州市中級人民法院(2020)浙01民終10940號。
