App隐私政策如何合规又给力

2020年11月21日，上海法治报发表文章《“人脸识别第一案”宣判！法学博士拒绝“刷脸”入园，状告杭州野生动物世界》。该案判决引起社会广泛关注。2020年12月16日，在百度上输入“人脸识别第一案”，可以找到相关结果约3,330,000个1。可以说，“人脸识别第一案”背后，是社会各界对于个人信息2被随意采集、过度使用甚至不当泄露等现象日益增加的焦虑感。

另一方面，行政监管在行动。自2020年5月14日至2020年12月21日，工业和信息化部信息通信管理局通报了七批444款侵害用户权益的APP3，并下架了其中的117款。4

数字显示，截至2020年3月，我国互联网用户已达9亿，应用程序数量超过300万个。5

伴随着App不断地深入社会生活，个人信息保护的问题越来越突出，制订和执行一款既合规又给力的隐私政策成为App运营者的当务之急。在分析梳理监管部门通报问题的基础上，同时结合笔者协助客户制订和执行App隐私政策的感受，本文尝试总结在制订和执行App隐私政策过程中需要特别注意的地方。

App必备隐私政策，隐私政策必备基本条款。6

条款一，明示收集、使用个人信息的目的、方式和范围。《网络安全法》要求App运营者本着合理、必要的原则说明收集、使用个人信息的目的、方式和范围。7分析监管部门的通报，我们发现大部分问题集中在“违规收集”上，大部分“违规收集”表现在“超范围收集”上。

关于“个人信息”，《网络安全法》采用的是定义加列举的方式8，但没有列举移动终端设备信息。考虑到“人手一机”的社会生活实际情况，移动终端设备信息关联移动终端设备的地理位置进而关联移动终端设备使用人的地理位置，因此移动终端设备信息是可以与其他信息结合识别自然人个人身份的信息，应当属于个人信息的范畴。

关于“必要”，《常见类型移动互联网应用程序（App）必要个人信息范围（征求意见稿）》9认为，必要个人信息是指保障App基本功能正常运行所必需的个人信息，缺少该信息则App无法提供基本功能服务。实践中，判断“必要”并不困难。网络购物App，收货人联系方式和地址就是必要信息；婚恋媒介App，性别和年龄就是必要信息。

关于“使用”，在可能的情况下，App运营者要选择去标识化使用个人信息并在隐私政策中说明。比如：网约车、外卖等App运营者可以去标识化地向司机、具体店家和送货人员提供用户手机号码。

需要注意的是，隐私政策不但要说明本App收集、使用个人信息的目的、方式和范围，而且还要列明嵌入在本App的第三方SDK收集、使用个人信息的目的、方式和范围。

条款二，明示用户的知情权和选择权。隐私政策要明确告知用户有选择同意或不同意收集、使用个人信息的权利，还要提供用户撤回同意的方式和途径。从监管部门通报的内容看，App运营者采集个人信息要征求用户同意，采集身份证号码、银行卡号等个人敏感信息时还要额外、同步告知采集目的，保障用户的知情权。个人敏感信息是一个新概念。《信息安全技术个人信息安全规范》（GB/T35273-2020）定义了“个人敏感信息”10，《个人信息保护法（草案）》采用的是“敏感个人信息”11。从条文上理解，两个概念的含义不完全相同，但这并不影响律师事务所协助客户理解并执行这两个相似不相同的概念。

虽然《信息安全技术个人信息安全规范》（GB/T35273-2020）仅仅是推荐性国家标准，没有法律强制效力，法律草案更不是正式的法律，但是监管部门在通报中要求采集个人敏感信息时要同步告知采集目的。监管走在了法律前面。本文并不讨论行政行为的合法性，单从维护App运营者经济利益的角度来讲，律师事务所在协助客户制订App隐私政策时也要适当超前。

上述两个条款应当属于App隐私政策的核心条款。下面的条款主要解决用户进出自由、进出通畅的问题，但也必不可少，有相当数量的App因此被监管部门通报甚至下架。

条款三，明示用户删除或者更正个人信息的方法或渠道。当用户发现网络运营者违反规定或者双方的约定收集、使用其个人信息的，可以自由、通畅地要求网络运营者删除其个人信息；当用户发现网络运营者收集、存储的其个人信息有错误的，可以自由、通畅地要求网络运营者予以更正。

条款四，明示用户投诉、举报的方式或渠道。隐私政策中要提供用户投诉、举报的方式或渠道，以便App运营者及时受理并处理有关个人信息安全的投诉和举报。

徒法不足以自行。App运营者要制订完善的隐私政策，更要执行该等完善的隐私政策。从监管部门通报的问题来看，App运营者必须克服以下两类隐私政策执行瑕疵：

一是和本App隐私政策的执行直接相关，主要表现为：

欺骗、误导用户同意。App运营者要诚实、准确地提示用户处理个人信息的目的和范围，保障用户的知情权和选择权。

强制、频繁、过度征求用户同意，干扰用户正常使用。App运营者不但不应当强制、频繁、过度征求用户同意，而且对于用户没有选择余地的App，比如：门禁App，运营者要提供可行的替代方案。比如：有的写字楼宇使用了门禁App，同时提供不需要个人信息现场领取二维码或磁卡后刷码刷卡进出的方式。

未及时响应用户投诉和举报。有的App运营者虽然提供了投诉和举报的电话号码，但是均提示“座机忙，请挂机。”有的未在隐私政策中声明的期限内响应用户的投诉和举报。

未提供通畅的注销功能。有的App运营者要求用户注销账户时提供人脸识别确认，这是为注销设置障碍，显然不符合法律的精神。

二是和App隐私政策的执行间接相关。主要表现为：

应用分发平台描述App含糊其辞甚至欺骗、误导下载。App上架时，运营者要诚实、准确地描述App的功能和用途。

在用户同意之前就开始收集个人信息或采用自启动的方式收集个人信息。这两种行为本质上就是窃取个人信息。

明文上传用户账号和密码。App明文上传用户账号和密码，会使得账号和密码在App运营者和用户之间里外打通，这不但违反了《网络安全法》，也不符合《电子签名法》的规定12。因不构成可靠的电子签名，通过此电子签名完成的交易或行为难以查明责任人。明文上传用户账号和密码，App运营者貌似获得了更多的信息，但实际是自己伤害自己。

非法获取、出售个人信息。监管部门通告13部分App未经用户同意即向第三方服务器发送数据，但是监管机构没有通报该行为是否涉嫌犯罪以及是否移送公安机关侦查。律师事务所在提供法律服务的过程中，一定要向客户释明非法获取、出售个人信息属于超范围使用个人信息，情节严重的涉嫌侵犯公民个人信息罪14。客观地说，非法出售个人信息并非App运营者的初衷，也非App的盈利点，往往是掌握相关数据的员工个人行为，但发生员工个人行为的原因是隐私政策的执行出了问题。

法律、法律草案、国家标准和行业标准洋洋洒洒几千万言，但其核心在于：必要、同意、诚信。收集个人信息限于必要范围，运营者告知、用户同意，不要超范围使用个人信息。

1.https://www.baidu.com/s?ie=utf-8&f=8&rsv_bp=1&rsv_idx=1&ch=3&tn=98012088_10_dg&wd=%E4%BA%BA%E8%84%B8%E8%AF%86%E5%88%AB%E7%AC%AC%E4%B8%80%E6%A1%88&fenlei=256&oq=126%25E9%2582%25AE%25E7%25AE%25B1&rsv_pq=b9c6b012000e2d96&rsv_t=95721UH5AssxV%2BYMr6Nf2vxH%2FwiO5%2FfOuR5k44gBznyttAUVCDB8qwlW2JqcRVCr6kLOHAA&rqlang=cn&rsv_dl=tb&rsv_enter=0&rsv_btype=t&inputT=9404&rsv_sug3=67&rsv_sug1=57&rsv_sug7=101&prefixsug=%25E4%25BA%25BA%25E8%2584%25B8%25E8%25AF%2586%25E5%2588%25AB%25E7%25AC%25AC%25E4%25B8%2580%25E6%25A1%2588&rsp=0&rsv_sug4=10165

2.《网络安全法》第七十六条规定“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”

3.本文App指应用程序

4.https://www.miit.gov.cn/jgsj/xgj/fwjd/index.html

5.http://www.npc.gov.cn/npc/c30834/202010/569490b5b76a49c292e64c416da8c994.shtml

6.《网络安全法》第四十一条规定“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。”

7.同注释6。

8.同注释2。

9.http://www.cac.gov.cn/2020-12/01/c_1608389002456595.htm

10.《信息安全技术个人信息安全规范》第3.2条规定“个人敏感信息一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。”

11.《个人信息保护法（草案）》第二十九条第二款规定“敏感个人信息是一旦泄露或者非法使用，可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息，包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。”

12.《电子签名法》第十三条规定“电子签名同时符合下列条件的，视为可靠的电子签名：（一）电子签名制作数据用于电子签名时，属于电子签名人专有；（二）签署时电子签名制作数据仅由电子签名人控制；（三）签署后对电子签名的任何改动能够被发现；（四）签署后对数据电文内容和形式的任何改动能够被发现。当事人也可以选择使用符合其约定的可靠条件的电子签名。”

13.2020年11月13日，国家互联网信息办公室App违法违规收集使用个人信息治理工作组发布《关于35款App存在个人信息收集使用问题的通告》。

查阅地址

http://www.cac.gov.cn/2020-11/17/c_1607178245870454.htm

14.《刑法》第二百五十三条之一规定“

违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。

窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。

单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”

shlxwx@lawyers.org.cn欢迎来稿~