國(guó)家市場(chǎng)監(jiān)督管理總局主管

中國(guó)消費(fèi)者協(xié)會(huì)主辦

維護(hù)消費(fèi)者合法權(quán)益,引導(dǎo)消費(fèi)者合理消費(fèi)

當(dāng)前位置:首頁(yè) > 科技
APP,你還把我的信息給了誰(shuí)?
2021-01-06 08:46 本文來(lái)源:中國(guó)消費(fèi)者報(bào)•中國(guó)消費(fèi)網(wǎng) 作者:武曉莉

中國(guó)消費(fèi)者報(bào)訊(記者武曉莉) 當(dāng)你用手機(jī)叫車(chē)的時(shí)候,可能會(huì)本能地覺(jué)得你的信息就只是被打車(chē)軟件獲取了。其實(shí)不僅于此。假如軟件中嵌入了外部的人臉識(shí)別服務(wù),人臉信息還會(huì)同時(shí)被第三方收集;

當(dāng)你用軟件找房時(shí),軟件為你提供周邊房源地圖時(shí),就至少和地圖服務(wù)商共享了你的位置信息;

當(dāng)你在微信上找代駕時(shí),除了微信,代駕公司其實(shí)也通過(guò)小程序拿到了你的個(gè)人信息;

……

在APP個(gè)人信息保護(hù)實(shí)踐中,這種外部接入場(chǎng)景觸發(fā)了一系列的個(gè)人信息保護(hù)難題:個(gè)人信息主體、主產(chǎn)品或服務(wù)提供方及外部接入方之間的法律關(guān)系如何界定?主產(chǎn)品或服務(wù)提供方、外部接入方分別承擔(dān)怎么樣的個(gè)人信息保護(hù)義務(wù)?個(gè)人信息主體的權(quán)益受到損害時(shí),各方的責(zé)任如何分配?等等。2020版《個(gè)人信息安全規(guī)范》(以下簡(jiǎn)稱(chēng)2020版《安全規(guī)范》)給出了規(guī)制路徑,相關(guān)法律專(zhuān)家也對(duì)此進(jìn)行了解讀。

委托處理場(chǎng)景如何識(shí)別

“外部接入場(chǎng)景下,在APP用戶即個(gè)人信息主體的感知中,其使用或接受的是APP提供方——個(gè)人信息控制者提供的產(chǎn)品或服務(wù)(也就是主產(chǎn)品或服務(wù)),然而,外部接入方產(chǎn)品或服務(wù)其實(shí)也會(huì)存在收集用戶個(gè)人信息的行為。”北京觀韜中茂(上海)律師事務(wù)所李思筱律師指出,此前的《信息安全技術(shù) 個(gè)人信息安全規(guī)范》并未對(duì)此做系統(tǒng)性規(guī)定。但在實(shí)際監(jiān)管過(guò)程中,外部接入場(chǎng)景下的個(gè)人信息保護(hù)問(wèn)題越來(lái)越突出,2020版《安全規(guī)范》在這個(gè)問(wèn)題上邁出了一大步。主要是通過(guò)新增第三方接入管理,并明確委托處理、共同個(gè)人信息控制者的適用關(guān)系等條款,基本上解決了此類(lèi)場(chǎng)景等大部分問(wèn)題。

“雖然2020版《安全規(guī)范》對(duì)委托處理未做具體定義,但根據(jù)條款的措辭來(lái)看,個(gè)人信息控制者的行為屬于委托行為,其與外部接入方的關(guān)系應(yīng)為委托關(guān)系。”李思筱認(rèn)為。根據(jù)《合同法》中“受托人應(yīng)當(dāng)按照委托人的指示處理委托事務(wù)”的規(guī)定,受托人根據(jù)與委托人的約定,按照委托人的指示處理委托事務(wù)的,雙方的法律關(guān)系為委托關(guān)系。委托處理場(chǎng)景下,第三方對(duì)相關(guān)個(gè)人信息處理目的、方式和行為等,通常是依照主產(chǎn)品或服務(wù)提供方的指示和雙方約定進(jìn)行的。

以常用的打車(chē)軟件(主產(chǎn)品或服務(wù))為例,軟件中嵌入了人臉識(shí)別SDK(軟件工具包),通過(guò)收集司機(jī)的面部識(shí)別特征來(lái)對(duì)入駐司機(jī)的身份進(jìn)行核驗(yàn)。人臉識(shí)別服務(wù)供應(yīng)商完全依照打車(chē)軟件運(yùn)營(yíng)公司的委托,對(duì)司機(jī)面部識(shí)別特征進(jìn)行收集和使用。收集的面部信息僅用于在司機(jī)接單駕駛服務(wù)中,判斷司機(jī)是否為活體,并識(shí)別是否為本人駕駛等。在委托處理完成后,人臉識(shí)別服務(wù)供應(yīng)商將刪除或匿名化處理收集的司機(jī)個(gè)人信息。

共同控制場(chǎng)景如何識(shí)別

“如何辨析第三方場(chǎng)景是否屬于共同個(gè)人信息控制者,主要取決于外部接入方對(duì)個(gè)人信息是否具有控制權(quán)。”李思筱說(shuō),“2020版《安全規(guī)范》未明確界定標(biāo)準(zhǔn)。參考其中相關(guān)概念的定義以及境外立法中類(lèi)似概念的定義,我們總結(jié)了兩個(gè)認(rèn)定要素,即雙方都具有決定相關(guān)個(gè)人信息處理目的、方式等的能力,相關(guān)個(gè)人信息處理的目的、方式等由雙方共同決定,要同時(shí)滿足這兩個(gè)條件。”

以某租房APP為例,為了給用戶提供地圖找房服務(wù),接入了某地圖服務(wù)應(yīng)用程序API(應(yīng)用編程接口)。用戶在租房APP中使用地圖找房服務(wù)時(shí),租房APP會(huì)告知用戶需要獲得其定位信息。與此同時(shí),地圖服務(wù)應(yīng)用程序的API接口也收集了用戶的實(shí)時(shí)位置信息,用以向用戶提供周邊地圖及房源信息。

李思筱說(shuō),上述場(chǎng)景中,為提供地圖找房服務(wù)收集用戶實(shí)時(shí)位置信息的個(gè)人信息處理行為,由租房APP提供方及地圖服務(wù)應(yīng)用程序API接口提供方共同決定,且雙方具有決定相關(guān)個(gè)人信息處理目的、方式等的能力,因此,雙方至少在用戶實(shí)時(shí)位置信息收集階段,構(gòu)成了共同個(gè)人信息控制者。

還有一種不屬于上述兩種場(chǎng)景的,可以歸為其他外部接入場(chǎng)景。

以微信為例,當(dāng)用戶在微信中使用接入其中的某代駕小程序時(shí),雖然仍停留在微信中,但實(shí)際上卻是在使用代駕小程序運(yùn)營(yíng)公司獨(dú)立提供的服務(wù)。而且,從技術(shù)原理上來(lái)說(shuō),小程序無(wú)需調(diào)用微信APP提供的輔助接口,就能夠直接對(duì)用戶使用代駕服務(wù)時(shí)所需的用戶個(gè)人信息進(jìn)行收集、使用。而且,上述收集、使用行為并不以微信APP同意為前提。不僅如此,用戶在使用代駕小程序時(shí)產(chǎn)生的數(shù)據(jù)信息,微信APP并無(wú)法獲得。

不同場(chǎng)景下保護(hù)義務(wù)如何分配

“辨析不同法律關(guān)系的目的,是厘清不同接入場(chǎng)景下,各方應(yīng)該對(duì)用戶個(gè)人信息保護(hù)承擔(dān)何種義務(wù)。”觀韜所王渝偉律師說(shuō)。

根據(jù)2020版《安全規(guī)范》的規(guī)定,在委托處理場(chǎng)景中,APP商家具有個(gè)人信息控制者、委托方雙重身份,其應(yīng)承擔(dān)的個(gè)人信息保護(hù)義務(wù)較多。一是遵守規(guī)范中的全部相關(guān)要求;二是要確保委托行為在已獲得的個(gè)人信息主體授權(quán)范圍內(nèi)、進(jìn)行安全影響評(píng)估、對(duì)受委托者進(jìn)行監(jiān)督、記錄和存儲(chǔ)委托處理個(gè)人信息情況、得知或者發(fā)現(xiàn)受委托者未按照委托要求處理個(gè)人信息等。而外部接入方在此場(chǎng)景下承擔(dān)的義務(wù)主要是與APP商的合同義務(wù)。

“共同控制場(chǎng)景下,個(gè)人信息安全方面的責(zé)任和義務(wù)的明確,是商家雙方通過(guò)合同等形式在內(nèi)部分配的。”王渝偉說(shuō),“從2020版《安全規(guī)范》內(nèi)容看,在這種場(chǎng)景下,外部接入方可以用自己的方式向用戶告知相關(guān)收集、使用行為并獲取同意。也就是說(shuō),如果不單獨(dú)告知用戶和獲取同意,也是不違規(guī)的。但是,主產(chǎn)品或服務(wù)提供方的責(zé)任比較重,不僅有義務(wù)向用戶明確告知,而且要承擔(dān)因外部接入方引起的個(gè)人信息安全責(zé)任。”

王渝偉表示,根據(jù)2020版《安全規(guī)范》的相關(guān)規(guī)定,在其他外部接入場(chǎng)景下,APP方要對(duì)第三方接入進(jìn)行從流程、安全評(píng)估、告知用戶、簽署合同、個(gè)人信息安全管理監(jiān)督以及自動(dòng)化工具個(gè)人信息收集、使用檢測(cè)與審計(jì)等方方面面的管理工作。外部接入方需要根據(jù)相關(guān)實(shí)際法律關(guān)系或約定承擔(dān)相應(yīng)的義務(wù)。

王渝偉認(rèn)為,第三方SDK違法違規(guī)收集個(gè)人信息、外部接入場(chǎng)景下的個(gè)人信息保護(hù)等問(wèn)題一直比較突出,合規(guī)義務(wù)該誰(shuí)承擔(dān)等問(wèn)題也引起了行業(yè)內(nèi)的廣泛討論和關(guān)注,這些也是促成相關(guān)規(guī)范修訂的重要原因。“2020版《安全規(guī)范》顯然已經(jīng)補(bǔ)上了監(jiān)管的短板,監(jiān)管層的個(gè)人信息保護(hù)思路正逐步清晰。”王渝偉說(shuō)。

●編后

從APP個(gè)人信息安全問(wèn)題的現(xiàn)狀、隱患,到APP注銷(xiāo)條件設(shè)置的合理性邊界,再到APP外部接入場(chǎng)景下個(gè)人信息保護(hù)的義務(wù)如何界定,APP個(gè)人信息保護(hù)問(wèn)題為什么如此復(fù)雜,癥結(jié)到底在哪?對(duì)于運(yùn)營(yíng)者來(lái)說(shuō),以得寸進(jìn)尺、掩耳盜鈴的方式收集用戶個(gè)人信息,以刻意制造障礙的心態(tài)或者懶政的方式,給用戶使用和注銷(xiāo)制造障礙,在用戶個(gè)人信息保護(hù)義務(wù)方面扯皮推諉,無(wú)非都是出于APP運(yùn)營(yíng)者重利的考量。

但是,隨著監(jiān)管水平的提升、監(jiān)管力度的增加,以及全社會(huì)對(duì)個(gè)人信息保護(hù)問(wèn)題的重視,上述情況恐怕很難繼續(xù)下去了。只有切實(shí)把保障用戶權(quán)益放在首位,主動(dòng)合法合規(guī)經(jīng)營(yíng),讓用戶方便、明白、安心地使用,才能真正保護(hù)社會(huì)公共利益的訴求,才是真正贏得用戶、留住用戶的最佳手段。

責(zé)任編輯:27