网安法中的“范围”如何理解和落地:从头条案说起
《网络安全法》第四十一条:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”这条原则性的规定,几乎每个词都需要细化才能落地,这也是中央网信办组织编制国家标准《个人信息安全规范》的初衷之一。
今天,借着正在审理过程中的"称App软件擅自上传通讯录,‘今日头条’被指侵犯个人隐私”一案,和大家重点聊聊《网络安全法》第四十一条中的“范围”这个词。6月20日上午北京市海淀法院的庭审实录,请见【"今日头条"擅自上传通讯录侵犯个人隐私案 | 庭审实录全文】本短文所引述的庭审内容,源自于该链接中的庭审实录。
说老实话,第四十一条中的“范围”这个词,太难理解了。
其实“方式”这个词,也很难理解。在《个人信息安全规范》中,我们细化了收集信息的“方式”:直接收集和间接收集。前者包括由个人信息主体主动提供、通过与个人信息主体交互、自动记录个人信息主体行为这三种。后者包括:共享、转让、收集公开信息这三种。
而使用信息的“方式”,我们区分了好两个维度:一个维度是控制权是否转移:包括不涉及转移的委托处理和涉及转移的共享、转让、公开披露。在不涉及控制权转移时,我们又分区了三个层次:第一个是原始信息和“加工处理而产生的信息”。第二个是区分直接用户画像、间接用户画像,以及画像的标签内容和用途。第三个层次是信息的直接展示、自动化决策、个性化展示等。
但是对于“范围”,标准作出细化的程度远远不及“方式”。到底什么是收集的“范围”,有人认为是个人信息类型或类别的意思;有人认为和时间、地理等维度相关,比如在APP使用过程中或者在后台运营时,或者精准地理位置或粗略地理位置;有人还认为范围是指收集主体的范围,是在集团、分公司、附属公司、业务线、关联方、第三方等......
反观目前正在审理的"称App软件擅自上传通讯录,‘今日头条’被指侵犯个人隐私”一案,在公号君看来,其实原、被告双方的争议核心就在于《网络安全法》中的“范围”这两个字。
[原告]: 被告北京字节跳动科技有限公司运营的“今日头条”APP,在《用户协议及隐私条款》中未明确将收集用户个人信息的前提下,擅自上传并保存了原告通讯录。在原告更换手机安装该软件并明确拒绝授权读取通讯录时,依然向原告推荐之前通讯录的联系人,严重侵犯了原告隐私权,违反了信息收集的“合理、必要”原则。
第一个问题“擅自上传并保存了原告通讯录”,看起来是“同意”的问题,但其实是“范围”的问题。
感兴趣的读者看这篇文章【专题研究|App申请安卓系统权限机制分析与建议】。通讯录在安卓6及以上版本的设计中是敏感权限。APP需要读或写通讯录时,安卓会弹窗征求用户同意,只有在用户点击同意后才能开启这个权限。因此只要用户手机不太老,都需要用户点击同意后,APP才能读或写。当然,如果APP设置的targetSdkVersion<23,用户是在一开始而非APP实际运行过程中,点击同意的。
为什么说是“范围”问题。原告和其代理律师提出了【见“今日头条被指侵犯个人隐私”案开庭 通讯录是否为隐私成焦点】:
刘新焱在庭审上提出,即使App具有社交功能,在向用户推荐好友的时候,也不需要把用户的通讯录复制和存储到后台服务器上。“因为从技术上来讲,在后台服务器上完成和在前端完成都是可以的”,他强调,“存储不是必要的”。
但在被告看来,授权通讯录好友是推荐好友的必要方式,识别判断功能在App本地无法实现,一定要上传到服务器,而且存储也有利于提高用户体验。
这两段中,双方争议实际上是——即便用户点击了“同意”,用户同意的范围是读这个动作,还是包括了读和上传两个动作。在安卓系统设计中,通讯录权限包括【见专题研究|App申请安卓系统权限机制分析与建议】:
可知,如果仅仅依赖安卓的弹窗来告知并获得用户的同意,就有可能给用户造成“范围”上的错误认知:用户觉得我只是同意你读而已,没有同意你上传至APP后台;而APP会认为,你给我这个权限了,就是同意我收集了,什么叫收集,如果在收集本地处理,不是收集,只有上传到后台了,才是收集。因此,在公号君看来,这个争议点,其实是同意收集的“范围”问题,而非是否同意的问题。
第二个问题“在原告更换手机安装该软件并明确拒绝授权读取通讯录时,依然向原告推荐之前通讯录的联系人”,更是“范围”的问题。
[原告]:......视频中,在原告主动授权后,“今日头条”可以对原告的通讯录内容进行读取并进行匹配,但原告此时使用的是一部刚刚经过恢复出厂设置,没有任何通讯录内容的手机,在此情况下应用自然应当识别原告的手机并无法向原告推荐通讯录好友信息。但此时我们看到的是,应用虽然没有识别到任何新的通讯录信息,但仍然可以基于原告以前的通讯录内容进行推荐,这种情况下必然意味着被告在不停的读取、上传、保存属于原告的通讯录信息,即使在原告变更、新增、甚至清除原通讯录内容的情况下,被告均会进行记录并且累计获取并使用以上信息,导致原告的通讯录内容只能不断被获取,而不能被停止。
再看【“今日头条被指侵犯个人隐私”案开庭 通讯录是否为隐私成焦点】中原告律师接受采访的解释:
原告称,今日头条App虽然没有识别到任何新的通讯录信息,但仍然可以基于原告以前的通讯录内容进行推荐,这种情况下必然意味着被告在不停的读取、上传、保存属于原告的通讯录信息,即使在原告变更、新增、甚至清除原通讯录内容的情况下,被告均会进行记录并且累计获取并使用以上信息,导致原告的通讯录内容只能不断被获取,而不能被停止。
在通讯录被读取并上传以后,原告曾试图用授权今日头条App读取空白通讯录的方式覆盖此前已经被读取的通讯录内容,但失败了。
翻译一下原告的诉求:就算我同意了你收集我原有的通讯录,那我用一部空白通讯录手机登录APP,且授权你同意读取本手机的通讯录,那APP就应该用“空白通讯录”取代“原来收集的通讯录”——这显然是一个同意收集的“范围”问题。分析如下:
同意APP读手机A的通讯录A1——同意1的范围
同意APP读手机B的通讯录B1——同意2的范围
用户用手机B登录账号,同意读并上传B1,是希望用同意2覆盖同意1?还是APP提供者所理解的:用户既给了同意1,还给了同意2?
公号君认为,在目前业界常见的告知同意的细粒度下,这其中包括APP的隐私政策、及时告知、增强告知,以及手机操作系统提供的控制细粒度下,这两种理解都是可能的。【值得注意的是,最新的IOS和安卓操作系统,进一步提升了用户控制机制的细粒度,见App们,准备好接招了吗?】
如果上面再加上一个时间维度,情况更复杂:如果通讯录A1,用户做了变更,还继续授权APP读和上传,APP该如何理解用户的行为?如果这时候用户还用另外一部手机登录了APP且依然同意读通讯录B1,且用户还对B1做了变更,APP又该如何理解用户的行为?
上述简单的分析,其实就可以看出,同意收集使用的“范围”指向的对象,至少可以有三个方面:
一是动作的范围:个人信息的读、写、上传、更改......
二是设备的范围:手机A、台式机B、智能手表C......
三是时间的范围:变更前、变更后、一次性读和上传、持续地读和上传.......
显然,上述范围指向的三个方面,不是“目的”和“方式”能够涵盖的,都只能放在所谓的“范围”下面。
其实,"称App软件擅自上传通讯录,‘今日头条’被指侵犯个人隐私”一案,以及由此引发出的对“范围”的细致划分,都体现出用户对个人信息的告知和控制的细粒度的需求在逐渐提升。但公允地说,放眼全球没有哪个法域做到了如此的细粒度控制措施。
对此,《个人信息安全规范》生效版本和修改版本均用以下路径解决这个问题:
对个人信息用授权同意;对个人敏感信息,做到“收集个人敏感信息前,应征得个人信息主体的明示同意,并应确保个人信息主体的明示同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示”。
本质上还是用一种概括式的方式,对收集、使用信息时,个人对“范围”给出的同意,作出效果上的要求。
以上路径,也借此机会向大家求教——“范围”这个问题该如何破?
关于DPO沙龙活动的有关情况,请见:
DPO社群成果
线下沙龙实录见:
线上沙龙见:
时评见:
DPO社群成员观点