查看原文
其他

网安法中的“范围”如何理解和落地:从头条案说起

洪延青 网安寻路人 2020-02-26

《网络安全法》第四十一条:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”这条原则性的规定,几乎每个词都需要细化才能落地,这也是中央网信办组织编制国家标准《个人信息安全规范》的初衷之一。


今天,借着正在审理过程中的"称App软件擅自上传通讯录,‘今日头条’被指侵犯个人隐私”一案,和大家重点聊聊《网络安全法》第四十一条中的“范围”这个词。6月20日上午北京市海淀法院的庭审实录,请见【"今日头条"擅自上传通讯录侵犯个人隐私案 | 庭审实录全文】本短文所引述的庭审内容,源自于该链接中的庭审实录。




说老实话,第四十一条中的“范围”这个词,太难理解了。


其实“方式”这个词,也很难理解。在《个人信息安全规范》中,我们细化了收集信息的“方式”:直接收集和间接收集。前者包括由个人信息主体主动提供、通过与个人信息主体交互、自动记录个人信息主体行为这三种。后者包括:共享、转让、收集公开信息这三种。


而使用信息的“方式”,我们区分了好两个维度:一个维度是控制权是否转移:包括不涉及转移的委托处理和涉及转移的共享、转让、公开披露。在不涉及控制权转移时,我们又分区了三个层次:第一个是原始信息和“加工处理而产生的信息”。第二个是区分直接用户画像、间接用户画像,以及画像的标签内容和用途。第三个层次是信息的直接展示、自动化决策、个性化展示等。


但是对于“范围”,标准作出细化的程度远远不及“方式”。到底什么是收集的“范围”,有人认为是个人信息类型或类别的意思;有人认为和时间、地理等维度相关,比如在APP使用过程中或者在后台运营时,或者精准地理位置或粗略地理位置;有人还认为范围是指收集主体的范围,是在集团、分公司、附属公司、业务线、关联方、第三方等......


反观目前正在审理的"称App软件擅自上传通讯录,‘今日头条’被指侵犯个人隐私”一案,在公号君看来,其实原、被告双方的争议核心就在于《网络安全法》中的“范围”这两个字。


[原告]: 被告北京字节跳动科技有限公司运营的“今日头条”APP,在《用户协议及隐私条款》中未明确将收集用户个人信息的前提下,擅自上传并保存了原告通讯录。在原告更换手机安装该软件并明确拒绝授权读取通讯录时,依然向原告推荐之前通讯录的联系人,严重侵犯了原告隐私权,违反了信息收集的“合理、必要”原则。


第一个问题“擅自上传并保存了原告通讯录”,看起来是“同意”的问题,但其实是“范围”的问题。


感兴趣的读者看这篇文章【专题研究|App申请安卓系统权限机制分析与建议】。通讯录在安卓6及以上版本的设计中是敏感权限。APP需要读或写通讯录时,安卓会弹窗征求用户同意,只有在用户点击同意后才能开启这个权限。因此只要用户手机不太老,都需要用户点击同意后,APP才能读或写。当然,如果APP设置的targetSdkVersion<23,用户是在一开始而非APP实际运行过程中,点击同意的。


为什么说是“范围”问题。原告和其代理律师提出了【见“今日头条被指侵犯个人隐私”案开庭 通讯录是否为隐私成焦点】:


刘新焱在庭审上提出,即使App具有社交功能,在向用户推荐好友的时候,也不需要把用户的通讯录复制和存储到后台服务器上。“因为从技术上来讲,在后台服务器上完成和在前端完成都是可以的”,他强调,“存储不是必要的”。


但在被告看来,授权通讯录好友是推荐好友的必要方式,识别判断功能在App本地无法实现,一定要上传到服务器,而且存储也有利于提高用户体验。


这两段中,双方争议实际上是——即便用户点击了“同意”,用户同意的范围是读这个动作,还是包括了读和上传两个动作。在安卓系统设计中,通讯录权限包括【见专题研究|App申请安卓系统权限机制分析与建议】:




可知,如果仅仅依赖安卓的弹窗来告知并获得用户的同意,就有可能给用户造成“范围”上的错误认知:用户觉得我只是同意你读而已,没有同意你上传至APP后台;而APP会认为,你给我这个权限了,就是同意我收集了,什么叫收集,如果在收集本地处理,不是收集,只有上传到后台了,才是收集。因此,在公号君看来,这个争议点,其实是同意收集的“范围”问题,而非是否同意的问题。


第二个问题“在原告更换手机安装该软件并明确拒绝授权读取通讯录时,依然向原告推荐之前通讯录的联系人”,更是“范围”的问题。


[原告]:......视频中,在原告主动授权后,“今日头条”可以对原告的通讯录内容进行读取并进行匹配,但原告此时使用的是一部刚刚经过恢复出厂设置,没有任何通讯录内容的手机,在此情况下应用自然应当识别原告的手机并无法向原告推荐通讯录好友信息。但此时我们看到的是,应用虽然没有识别到任何新的通讯录信息,但仍然可以基于原告以前的通讯录内容进行推荐,这种情况下必然意味着被告在不停的读取、上传、保存属于原告的通讯录信息,即使在原告变更、新增、甚至清除原通讯录内容的情况下,被告均会进行记录并且累计获取并使用以上信息,导致原告的通讯录内容只能不断被获取,而不能被停止。


再看【“今日头条被指侵犯个人隐私”案开庭 通讯录是否为隐私成焦点】中原告律师接受采访的解释:


原告称,今日头条App虽然没有识别到任何新的通讯录信息,但仍然可以基于原告以前的通讯录内容进行推荐,这种情况下必然意味着被告在不停的读取、上传、保存属于原告的通讯录信息,即使在原告变更、新增、甚至清除原通讯录内容的情况下,被告均会进行记录并且累计获取并使用以上信息,导致原告的通讯录内容只能不断被获取,而不能被停止。


在通讯录被读取并上传以后,原告曾试图用授权今日头条App读取空白通讯录的方式覆盖此前已经被读取的通讯录内容,但失败了。


翻译一下原告的诉求:就算我同意了你收集我原有的通讯录,那我用一部空白通讯录手机登录APP,且授权你同意读取本手机的通讯录,那APP就应该用“空白通讯录”取代“原来收集的通讯录”——这显然是一个同意收集的“范围”问题。分析如下:


同意APP读手机A的通讯录A1——同意1的范围


同意APP读手机B的通讯录B1——同意2的范围


用户用手机B登录账号,同意读并上传B1,是希望用同意2覆盖同意1?还是APP提供者所理解的:用户既给了同意1,还给了同意2?


公号君认为,在目前业界常见的告知同意的细粒度下,这其中包括APP的隐私政策、及时告知、增强告知,以及手机操作系统提供的控制细粒度下,这两种理解都是可能的。【值得注意的是,最新的IOS和安卓操作系统,进一步提升了用户控制机制的细粒度,见App们,准备好接招了吗?


如果上面再加上一个时间维度,情况更复杂:如果通讯录A1,用户做了变更,还继续授权APP读和上传,APP该如何理解用户的行为?如果这时候用户还用另外一部手机登录了APP且依然同意读通讯录B1,且用户还对B1做了变更,APP又该如何理解用户的行为?




上述简单的分析,其实就可以看出,同意收集使用的“范围”指向的对象,至少可以有三个方面:


一是动作的范围:个人信息的读、写、上传、更改......


二是设备的范围:手机A、台式机B、智能手表C......


三是时间的范围:变更前、变更后、一次性读和上传、持续地读和上传.......


显然,上述范围指向的三个方面,不是“目的”和“方式”能够涵盖的,都只能放在所谓的“范围”下面。


其实,"称App软件擅自上传通讯录,‘今日头条’被指侵犯个人隐私”一案,以及由此引发出的对“范围”的细致划分,都体现出用户对个人信息的告知和控制的细粒度的需求在逐渐提升。但公允地说,放眼全球没有哪个法域做到了如此的细粒度控制措施。


对此,《个人信息安全规范》生效版本和修改版本均用以下路径解决这个问题:


对个人信息用授权同意;对个人敏感信息,做到“收集个人敏感信息前,应征得个人信息主体的明示同意,并应确保个人信息主体的明示同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示”。


本质上还是用一种概括式的方式,对收集、使用信息时,个人对“范围”给出的同意,作出效果上的要求。


以上路径,也借此机会向大家求教——“范围”这个问题该如何破?




关于DPO沙龙活动的有关情况,请见:


DPO社群成果

  1. 印度《2018个人数据保护法(草案)》全文翻译(中英对照版)(DPO沙龙出品)

  2. 巴西《通用数据保护法》全文中文翻译(DPO沙龙出品)

  3. 美国联邦隐私立法重要文件编译第一辑(DPO沙龙出品)

  4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译(DPO沙龙出品)

  5. 第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)

  6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)

  7. 第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)

  8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译(DPO沙龙出品)

  9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》(DPO沙龙出品)

  10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

  11. 第29条工作组《数据可携权指南》全文翻译(DPO沙龙出品)

  12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制(DPO沙龙出品)

  13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况(DPO沙龙出品)

  14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译(DPO沙龙出品)

  15. 第29条工作组关于GDPR《透明度准则的指引》全文翻译(DPO沙龙出品)

  16. “108号公约”全文翻译(DPO沙龙出品)

  17. 美国司法部“云法案”白皮书全文翻译(DPO社群出品)

  18. EDPB关于GDPR中合同必要性指引的中文翻译(DPO沙龙出品)

  19. 新加坡《防止网络虚假信息和网络操纵法案》中文翻译(DPO沙龙出品)


线下沙龙实录见:

  1. 数据保护官(DPO)沙龙第一期纪实

  2. 第二期数据保护官沙龙纪实:个人信息安全影响评估指南 

  3. 第三期数据保护官沙龙纪实:数据出境安全评估

  4. 第四期数据保护官沙龙纪实:网络爬虫的法律规制

  5. 第四期数据保护官沙龙纪实之二:当爬虫遇上法律会有什么风险

  6. 第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论

  7. 数据保护官(DPO)沙龙走进燕园系列活动第一期

  8. 第六期数据保护官沙龙纪实:2018年隐私条款评审工作

  9. 第八期数据保护官沙龙纪实:重点行业数据、隐私及网络安全

  10. 第十期数据保护官沙龙纪实:数据融合可给企业赋能,但不能不问西东

  11. 第十一期数据保护官沙龙纪实:企业如何看住自家的数据资产?这里有份权威的安全指南

  12. 第十二期数据保护官纪实:金融数据保护,须平衡个人隐私与公共利益

  13. 第十三期DPO沙龙纪实:厘清《数据安全管理办法》中的重点条款


线上沙龙见:

  1. DPO社群对数据堂事件的精彩点评

  2. DPO社群线上讨论第二期:“出售 & 提供” 个人信息之法律与实务对话

  3. 用户授权第三方获取自己在平台的数据,可以吗?不可以吗?(DPO沙龙线上讨论第三期)


时评见:

  1. 数据安全事件时评第一期

  2. 数据安全事件时评第二期

  3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目:数据可移植性的开源计划

  4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

  5. 【时事七】美国通过《NIST小企业网络安全法》

  6. 【时事八】国际数据流动:欧盟委员会启动对日本的充分性决定流程

  7. 【时评九】加州IoT设备网络安全法对物联网法律之影响(附法案翻译)

  8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

  9. 【时评十一】社交网络平台,需要多点爱还是多点管?

  10. 日本拟效仿德国:对IT巨头非法收集个人信息适用“反垄断法”

  11. 扎克伯格最新愿景:将Facebook打造成“关注隐私的社交网络“

  12. 德国最高数据保护官员就美国“云法案”提出警告


DPO社群成员观点

  1. 个人信息委托处理是否需要个人授权?(DPO社群成员观点)

  2. 企业如何告知与保护用户的个人信息主体权利(DPO社群成员观点)

  3. GDPR“首张”执行通知盯上AlQ公司的前期后后(DPO社群成员观点)

  4. 隐私条款撰写调研报告(DPO社群成员观点)

  5. 我看到的数据安全(DPO社群成员观点)

  6. 数据爬取的法律风险综述(DPO社群成员观点)

  7. 银行业金融数据出境的监管框架与脉络(DPO社群成员观点)

  8. 解析公安机关《互联网个人信息安全保护指引(征求意见稿)》(DPO社群成员观点)

  9. 详解GDPR向Google亮剑缘由(DPO社群成员观点)

  10. 从生产安全体系视角看数据安全(DPO社群成员观点)

  11. 从Android Q看安卓系统的授权机制的三次重大演进(DPO社群成员观点)

  12. APP安全认证公告和实施规则解读:治理思路的创新与多样化(DPO社群成员观点)

  13. 从数据融合角度分析CNIL处罚谷歌案(DPO社群成员观点)

  14. 历史和国际比较视角DPO法律制度探源(DPO社群成员观点)

  15. 谷歌数据融合合规之路:从欧盟监管机构调查与处罚来看——上篇(DPO社群成员观点)

  16. 数据保护官岗位角色技术能力分析(DPO社群成员观点)

  17. 中国企业境外投资中儿童个人信息保护(DPO社群成员观点)

  18. 企业上市过程面临的数据合规问题和相关风险:境内篇(DPO社群成员观点)

  19. 企业上市过程面临的数据合规问题和相关风险:境外篇(DPO社群成员观点)

  20. 数据保护岗位需求与能力发展(DPO社群成员观点)

  21. DPO互助平台对企业数据治理实务的指导(DPO社群成员观点)

  22. 对网络安全负责人岗位的思考(DPO社群成员观点)

  23. 结合良好实践,细说APP自评估指南之一(DPO社群成员观点)

  24. 《个人信息安全规范》的效力与功能

  25. 结合良好实践,细说APP自评估指南之二(DPO社群成员观点)

  26. 《网络安全法》中数据出境安全评估真的那么“另类”吗

  27. 实施已满三月,区块链新规“回头看”(DPO社群成员观点)

  28. 从“布拉格提案”看美国政府的策略

  29. 《欧盟GDPR合规指引》前言:从一个损毁的雕像说起

  30. 对《网络安全审查办法(征求意见稿)》的几点观察

  31. 使命与界限:近期个人信息和数据安全新规的一些思考(DPO社群成员观点)

  32. 解析《个人信息出境安全评估办法(征求意见稿)》实体保护规则背后的主要思路

  33. “惟危惟微,允执厥中”:对《数据安全管理办法》中“定向推送”部分的思考

  34. 《儿童个人信息网络保护规定(征求意见稿)》评析:与美国COPPA对比的视角


Modified on

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存