中心研究|关于APP与关联方共享个人信息问题研究
全文共计约3000字,细读时间约10分钟
文| 杨婕 信通院互联网法律研究中心研究员
随着互联网和电子商务的高速发展,APP与关联方共享用户个人信息已呈普遍态势,众多APP的隐私条款中都提及关联方,并表示会与关联方共享用户个人信息。由此引发了一系列问题:到底什么是关联方?APP为何要与关联方共享个人信息?我国立法中对于关联方之间共享个人信息有何规定?APP与关联方共享用户个人信息存在哪些问题?APP与关联方共享个人信息具有哪些合规路径?
01
关联方的内涵较为宽泛
关联方的认定及披露一直是证监会、交易所、证监局等监管部门关注的重点,对保护市场投资者尤其是中小投资者权益有着重要的意义。我国《公司法》《上市公司信息披露管理办法》《企业会计准则》《税收征收管理法实施细则》等法律中均涉及关联方的相关规则,但是不同立法对于关联方的认定存在一定差异。
综合来看,关联方是指,在企业财务和经营决策中,如果一方有能力直接或者间接控制、共同控制另一方或者对另一方施加重大影响;亦或是两方或者多方同受一方控制,则各主体间为关联方。即建立控制、共同控制和施加重大影响是关联方认定的主要标准。关联方分为关联法人及关联自然人两类,主要的形式包括:母子公司之间、同一母公司下的各子公司之间;不存在投资关系,但存在控制和被控制关系的企业之间;合营企业;联营企业;主要投资者个人、关键管理人员或者与其关系密切的家庭成员;受主要投资者个人、关键管理人员或者其关系密切的家庭成员直接控制的其他企业。由此可以看出,关联方涉及范围非常广泛,涉及主体多样。
02
APP为何要与关联方共享个人信息?
通过梳理一些APP的隐私政策,可以总结出APP与关联方共享用户个人信息存在多种原因。
一是商业营销合作。APP与关联方进行个人信息共享,以进行广告投放推广和统计分析。
二是完成服务功能。APP某些服务由关联方提供,需要与关联方共享用户信息以完成相关服务。
三是实现服务一致化。为向用户提供一致化服务以便于用户进行统一管理,APP会将用户个人信息与关联方共享。
四是防范安全风险。判断用户账号及交易风险,包括验证身份,预防、发现、调查可能存在的欺诈、网络病毒、网络攻击等安全风险。
五是委托处理个人信息。为提升个人信息处理效率,降低个人信息处理成本或提高个人信息处理准确性,委托关联方来处理用户个人信息。
六是发生公司合并情形。关联方有可能进行合并、收购、资产转让或类似的交易,用户个人信息有可能作为此类交易的一部分而被共享。
03
关联方之间共享个人信息有何立法规定?
根据第一部分的分析可以了解,各关联方属于不同的法人或者自然人,不属于同一主体。因而与关联方共享个人信息属于个人信息处理中的个人信息提供行为。根据《民法典》《网络安全法》等立法中的规定,对外提供个人信息应当遵循以下的要求:
一是应当遵循合法、正当、必要的原则,例如《网络安全法》规定网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息;
二是未经被收集者同意,不得向他人提供个人信息,例如《网络安全法》中规定未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外;
三是明示提供个人信息的目的、方式和范围,例如《网络安全法》中规定,网络运营者公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意;
四是采取技术措施和其他必要措施,确保个人信息安全,例如《网络安全法》中规定,网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
04
APP与关联方共享用户个人信息存在哪些问题?
一是隐私政策中对于关联方的告知比较笼统。多数APP的隐私政策并未列明关联方涵盖哪些主体,仅概括性的阐述关联方的内涵,甚至有些APP的隐私政策对关联方的内涵也不加解释,用户无法知悉APP将会与哪些关联方共享用户个人信息,而且APP隐私政策对于共享的个人信息类型等信息也并未清楚说明。
二是用户难以作出自愿、明确的同意。当前APP对于与关联方共享个人信息多采用概括授权的方式,当用户同意APP隐私政策时,亦被迫表示同意共享个人信息给APP关联方。用户缺乏选择权,无法选择是否同意共享,无法选择共享主体,因而无法做出自愿、明确的同意。
三是与关联方共享个人信息的必要性不够充分。本文第二部分已经说明APP与关联方共享用户个人信息的原因多样,部分共享行为不具有充分的必要性,与服务场景无关,不属于实现服务所需要。
四是对关联方后续个人信息处理行为缺乏约束。仅部分APP在隐私政策中承诺,将要求关联方对获取的用户个人信息采取保护措施,并对关联方的个人信息行为进行监督。多数APP不会评估关联方的个人信息安全保护能力,而且将用户个人信息提供共享给关联方后,对于关联方后续的个人处理行为(是否超出用户同意范围处理个人信息,或者是否利用个人信息从事违法行为)放任不管。
五是默认与关联方共享个人信息属于同意的例外情形。个别APP在隐私政策中有如下的表述,“未经您本人允许,我们不会向除公司及其关联方外的任何公司、组织和个人,共享、转让、公开披露您的个人信息”,即将与关联方共享个人信息默认归入了无需获得个人同意的情形。
05
APP与关联方共享个人信息的合规建议
一是列明关联方涵盖的范围,确保用户充分知情。考虑到关联方涉及范围非常广泛,企业应当采取在隐私政策中明确列举关联方涵盖的主体,如果涉及主体繁多,也应当告知用户查询关联方的渠道,保障用户的知情权。
二是不得将与关联方共享个人信息作为同意的例外。当前,“知情同意”规则仍是我国个人信息保护的核心制度,企业与关联方共享个人信息应当获得用户的同意,不得作为用户同意的例外情形。
三是完善告知形式和告知内容,确保用户做出自愿、明确的意思表示。企业应当以明确、易懂、合理的方式向用户公开其与关联方共享个人信息的目的、个人信息类型,以及关联方可能采取的个人信息处理方式、处理类型、保存期限等内容。此外,企业应当尊重用户选择权,采取非默认勾选的方式征得用户同意,不得采用用户不同意,不提供服务的方式,强迫用户授权。
四是确保与关联方共享个人信息的必要性及关联方的个人信息安全保护能力。与关联方共享用户个人信息,应当具有明确、合理的目的,并遵循最小必要原则,不得仅以改善服务质量、提升使用体验等为由,强制要求用户同意与关联方共享个人信息。此外,企业应与关联方签订个人信息处理协议,明确关联方处理个人信息时不得超出用户授权,同时确保关联方采取足够的管理措施和技术手段保护个人信息,防止出现用户个人信息泄露、损毁、丢失等情形。
五是对关联方后续个人信息处理行为进行监督。企业应当对关联方获取到用户个人信息后进行的处理活动和信息安全风险进行管理监督。一旦出现安全事件后,也应及时向主管机构报告,配合主管机构开展响应和处置工作。
敬请期待
3月20日:简评美国弗吉尼亚州消费者数据保护法案
3月22日:美国打压我国科技公司的政策工具梳理
3月23日:公共部门的人脸识别:政策图景
3月26日:日本出台《数字社会形成基本法》
3月29日:执法的跨境数据访问:印度的战略选择是什么?
4月15日: 欧洲数据保护委员会发布《关于<执法指令>中充分性的建议》
5月06日:美国发布《国家安全战略指南》
中心研究| 商务部《阻断办法》解读与“国际阻断立法”比较研究
中心研究| 数据治理 |数据价值演变下的个人信息保护:反思与重构
域外观察| 数字市场秩序 | 欧盟公布《数字服务法案》和《数字市场法案》,单一数字市场促进举措大力推进
中心研究| 数据跨境流动 |RCEP迈出全球数据跨境流动规则体系构建重要一步
中心研究|未成年网络保护 | 《未成年人保护法》修订:十大制度亮点推动未成年人网络保护进入新阶段
域外观察|欧洲议会发表了《欧洲数字主权》报告
中心研究|关于美国实体清单制裁事件有关情况的梳理
全文翻译| 新加坡发布《个人数据保护法(修订)》草案
全球跨境数据流动国际规则及立法趋势观察和思考
域外观察│美国制裁华为相关法律问题梳理中心研究│个人信息保护中的“用户同意”规则:问题与解决
中心研究│人工智能发展与个人隐私保护问题全文翻译| 新加坡发布《个人数据保护法(修订)》草案