首 頁關于我們產品介紹防偽技術解決方案成功案例防偽紀實法律法規客服專區曝光打假聯系我們

聚焦APP個人信息保護(下) APP,你還把我的信息給了誰?

信息來源:http://zxb.ccn.com.cn/shtml/zgxfzb/20210106/164140.shtml

當你用手機叫車的時候,可能會本能地覺得你的信息就只是被打車軟件獲取了。其實不僅于此。假如軟件中嵌入了外部的人臉識別服務,人臉信息還會同時被第三方收集;

當你用軟件找房時,軟件為你提供周邊房源地圖時,就至少和地圖服務商共享了你的位置信息;

當你在微信上找代駕時,除了微信,代駕公司其實也通過小程序拿到了你的個人信息;

……

在APP個人信息保護實踐中,這種外部接入場景觸發了一系列的個人信息保護難題:個人信息主體、主產品或服務提供方及外部接入方之間的法律關系如何界定?主產品或服務提供方、外部接入方分別承擔怎么樣的個人信息保護義務?個人信息主體的權益受到損害時,各方的責任如何分配?等等。2020版《個人信息安全規范》(以下簡稱2020版《安全規范》)給出了規制路徑,相關法律專家也對此進行了解讀。

委托處理場景如何識別

“外部接入場景下,在APP用戶即個人信息主體的感知中,其使用或接受的是APP提供方——個人信息控制者提供的產品或服務(也就是主產品或服務),然而,外部接入方產品或服務其實也會存在收集用戶個人信息的行為。”北京觀韜中茂(上海)律師事務所李思筱律師指出,此前的《信息安全技術 個人信息安全規范》并未對此做系統性規定。但在實際監管過程中,外部接入場景下的個人信息保護問題越來越突出,2020版《安全規范》在這個問題上邁出了一大步。主要是通過新增第三方接入管理,并明確委托處理、共同個人信息控制者的適用關系等條款,基本上解決了此類場景等大部分問題。

“雖然2020版《安全規范》對委托處理未做具體定義,但根據條款的措辭來看,個人信息控制者的行為屬于委托行為,其與外部接入方的關系應為委托關系。”李思筱認為。根據《合同法》中“受托人應當按照委托人的指示處理委托事務”的規定,受托人根據與委托人的約定,按照委托人的指示處理委托事務的,雙方的法律關系為委托關系。委托處理場景下,第三方對相關個人信息處理目的、方式和行為等,通常是依照主產品或服務提供方的指示和雙方約定進行的。

以常用的打車軟件(主產品或服務)為例,軟件中嵌入了人臉識別SDK(軟件工具包),通過收集司機的面部識別特征來對入駐司機的身份進行核驗。人臉識別服務供應商完全依照打車軟件運營公司的委托,對司機面部識別特征進行收集和使用。收集的面部信息僅用于在司機接單駕駛服務中,判斷司機是否為活體,并識別是否為本人駕駛等。在委托處理完成后,人臉識別服務供應商將刪除或匿名化處理收集的司機個人信息。

共同控制場景如何識別

“如何辨析第三方場景是否屬于共同個人信息控制者,主要取決于外部接入方對個人信息是否具有控制權。”李思筱說,“2020版《安全規范》未明確界定標準。參考其中相關概念的定義以及境外立法中類似概念的定義,我們總結了兩個認定要素,即雙方都具有決定相關個人信息處理目的、方式等的能力,相關個人信息處理的目的、方式等由雙方共同決定,要同時滿足這兩個條件。”

以某租房APP為例,為了給用戶提供地圖找房服務,接入了某地圖服務應用程序API(應用編程接口)。用戶在租房APP中使用地圖找房服務時,租房APP會告知用戶需要獲得其定位信息。與此同時,地圖服務應用程序的API接口也收集了用戶的實時位置信息,用以向用戶提供周邊地圖及房源信息。

李思筱說,上述場景中,為提供地圖找房服務收集用戶實時位置信息的個人信息處理行為,由租房APP提供方及地圖服務應用程序API接口提供方共同決定,且雙方具有決定相關個人信息處理目的、方式等的能力,因此,雙方至少在用戶實時位置信息收集階段,構成了共同個人信息控制者。

還有一種不屬于上述兩種場景的,可以歸為其他外部接入場景。

以微信為例,當用戶在微信中使用接入其中的某代駕小程序時,雖然仍停留在微信中,但實際上卻是在使用代駕小程序運營公司獨立提供的服務。而且,從技術原理上來說,小程序無需調用微信APP提供的輔助接口,就能夠直接對用戶使用代駕服務時所需的用戶個人信息進行收集、使用。而且,上述收集、使用行為并不以微信APP同意為前提。不僅如此,用戶在使用代駕小程序時產生的數據信息,微信APP并無法獲得。

不同場景下保護義務如何分配

“辨析不同法律關系的目的,是厘清不同接入場景下,各方應該對用戶個人信息保護承擔何種義務。”觀韜所王渝偉律師說。

根據2020版《安全規范》的規定,在委托處理場景中,APP商家具有個人信息控制者、委托方雙重身份,其應承擔的個人信息保護義務較多。一是遵守規范中的全部相關要求;二是要確保委托行為在已獲得的個人信息主體授權范圍內、進行安全影響評估、對受委托者進行監督、記錄和存儲委托處理個人信息情況、得知或者發現受委托者未按照委托要求處理個人信息等。而外部接入方在此場景下承擔的義務主要是與APP商的合同義務。

“共同控制場景下,個人信息安全方面的責任和義務的明確,是商家雙方通過合同等形式在內部分配的。”王渝偉說,“從2020版《安全規范》內容看,在這種場景下,外部接入方可以用自己的方式向用戶告知相關收集、使用行為并獲取同意。也就是說,如果不單獨告知用戶和獲取同意,也是不違規的。但是,主產品或服務提供方的責任比較重,不僅有義務向用戶明確告知,而且要承擔因外部接入方引起的個人信息安全責任。”

王渝偉表示,根據2020版《安全規范》的相關規定,在其他外部接入場景下,APP方要對第三方接入進行從流程、安全評估、告知用戶、簽署合同、個人信息安全管理監督以及自動化工具個人信息收集、使用檢測與審計等方方面面的管理工作。外部接入方需要根據相關實際法律關系或約定承擔相應的義務。

王渝偉認為,第三方SDK違法違規收集個人信息、外部接入場景下的個人信息保護等問題一直比較突出,合規義務該誰承擔等問題也引起了行業內的廣泛討論和關注,這些也是促成相關規范修訂的重要原因。“2020版《安全規范》顯然已經補上了監管的短板,監管層的個人信息保護思路正逐步清晰。”王渝偉說。

●編后

從APP個人信息安全問題的現狀、隱患,到APP注銷條件設置的合理性邊界,再到APP外部接入場景下個人信息保護的義務如何界定,APP個人信息保護問題為什么如此復雜,癥結到底在哪?對于運營者來說,以得寸進尺、掩耳盜鈴的方式收集用戶個人信息,以刻意制造障礙的心態或者懶政的方式,給用戶使用和注銷制造障礙,在用戶個人信息保護義務方面扯皮推諉,無非都是出于APP運營者重利的考量。

但是,隨著監管水平的提升、監管力度的增加,以及全社會對個人信息保護問題的重視,上述情況恐怕很難繼續下去了。只有切實把保障用戶權益放在首位,主動合法合規經營,讓用戶方便、明白、安心地使用,才能真正保護社會公共利益的訴求,才是真正贏得用戶、留住用戶的最佳手段。(中國消費者報記者 武曉莉)

网易足彩