前言

2019年第四季度以来,法律圈频出各类新法,那么在数据保护领域就更不例外了,也是持续出台或更新立法,代表了国家对网络安全和个人信息保护执法与监管的不断重视,同时也为企业落地数据合规实践提出了更高的要求与责任。

本文将梳理第四季度较为企业与大众关心的六部代表性法律法规(《儿童个人信息网络保护规定》、《网络信息内容生态治理规定》、《网络音视频信息服务管理规定》、《中国人民银行金融消费者权益保护实施办法》、《民法典(草案)》以及《App违法违规收集使用个人信息行为认定方法》),并通过条文层面上的分析与立法背景上的洞察,提供实践操作层面的解读,帮助企业在2020年适应并把握好网络安全与个人信息保护方面这些新规的立法本意与合规要求。

(续)

五、新规解读之五:《民法典(草案)》——个人信息保护部分(20191216日)

《中华人民共和国民法典(草案)》(以下简称“《民法典(草案)》”)于2019年12月16日出台,其中对人格权部分进行了详细规定,下文主要介绍民法典(草案)中关于个人信息保护方面的相关规定。

《中华人民共和国民法总则》(以下简称“《民法总则》”)仅在第一百一十一条对个人信息的保护进行了规定,即“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”此条款明确了个人信息收到法律保护,同时强调了获取方的两点核心义务:1.依法获取和使用个人信息;2.保障信息安全。同时,也对两类禁止性行为进行了规制。

《民法典(草案)》在涵盖了上述要点的基础上,对个人信息保护做出了更加细致的规定。第一千零三十四条沿用了《民法总则》第一百一十一条“自然人个人信息受到法律保护”的表述,没有单独将个人信息保护列为一项具体人格权,而本条中的第三款“个人信息中的私密信息,同时适用隐私权保护的有关规定。”明确了个人信息与个人隐私之间存在一定范围内的重合。但是,关于“私密信息”的范围,《民法典(草案)》中没有给出清晰的界定,还有待于相关立法机关的进一步解释。

同时,此条的第二款明确定义了个人信息的范围,与2017年生效的《中华人民共和国网络安全法》(以下称“《网络安全法》”)的界定一致,而纵观《民法典(草案)》个人信息保护部分的规定与《网络安全法》中的规定较为相似,我们总结了其中的相似条款以及条款所对应的核心要点,详见下表:

除上述条款外,《民法典(草案)》第一千零三十七条明确规定了责任豁免的情形,当收集、处理自然人的个人信息符合下列情况之一,行为人无需承担民事责任:

  • 在该自然人或者其监护人同意的范围内实施的行为;
  • 处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;
  • 为维护公共利益或者该自然人合法权益,合理实施的其他行为。

《民法典(草案)》第一千零三十七条首次从法律层面规定了收集、处理个人信息的责任豁免情形,并且明确了除征得同意外,收集、处理个人信息的其他合法性事由。

综上所述,在个人信息保护方面,《民法典(草案)》是在《民法总则》基础上的延伸,整体的延伸体系仍是以《网络安全法》中的规定作为主线向外扩展,融入了《信息安全技术 个人信息安全规范》的相关内容,从法律层面上进一步完善了个人信息保护的权利义务体系,为个人信息主体依法维权、企业合规措施的落地提供了明确的指导意见。

相关法规链接:

  • 《民法典(草案)》:

http://www.npc.gov.cn/zgrdw/npc/lfzt/rlyw/node_35174.htm

  • 《网络安全法》:

http://www.xinhuanet.com//politics/2016-11/07/c_1119867015.htm

  • 《信息安全技术 个人信息安全规范》:

六、新规解读之六:《App违法违规收集使用个人信息行为认定方法》(20191230日)

从整体来看,2019年12月30日公布的正式生效版《App违法违规收集使用个人信息行为认定方法》(以下简称“《认定方法》”)对了2019年5月5日的征求意见稿(以下简称“《征求意见稿》”)做了较大幅度的更改。首先,《认定方法》删除了原有的“七、侵犯未成年人在网络空间合法权益的情形”的规定,结合上文第一部分对未成年人网络保护新规解读的探讨,笔者认为《认定方法》普适于各类App运营方,同时保护各类个人信息主体。对于特殊类别的保护人群,将由特殊法律与部门规章进行特别保护即可。而其他六条则在具体行为认定情形的层面上做出了或多或少的修改,下文将做具体介绍。

1. 可被认定为未公开收集使用规则的行为

首先,《认定方法》删除了“App中没有用户协议”或“用户协议没有收集使用规则”这一行为属于“未公开收集使用”的情形,明确要求App必须有隐私政策。同时,它强调和明确了隐私政策中包含的收集使用规则应是针对个人信息的收集使用规则。其次,《认定方法》强调了App通知用户阅读隐私政策应在首次运行时,同时删除了之前App可以通过链接等方式通知的选项;再次,它排除了将隐私政策链接无效或文本无法正常显示的情形归为未公开收集使用规则的行为。但相比于《征求意见稿》,《认定方法》扩大了对隐私政策等使用规则难以访问的范围,只将“多于4次点击才能访问隐私政策”的情形作为其中一个例子。此外,《认定方法》删除了之前征求意见稿的“其他情形”这一兜底条款,改为“难以阅读隐私政策等收集使用规则”这一情形,并且进行了相应的举例说明。因此,App的开发者应当制定单独的隐私政策,并且以在产品设计上通过合理的方式给予用户直接且方便的访问途径,使得用户能够快速的找到并且清晰明确的了解该App收集、使用用户个人信息以及所采取的保护措施等内容。

2. 可被认定为未明示收集使用个人信息的目的、方式和范围的行为

《认定方法》与《征求意见稿》相比,对这一情形的规定作了较大的修改,不光通过举例等方式对原有条文进行了更准确的解释和说明,在条文篇幅和整体结构上也形成了成体系的条文规定:

  • 收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等。(《认定方法》第二节第2条)
  • 有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等。(《认定方法》第二节第4条)
  • 在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解。(《认定方法》第二节第3条)

此外,《认定方法》在原有基础上还新增了一个情形:

  • 未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等。(《认定方法》第二节第1条)

这说明我国目前已经意识到了第三方主体对于App收集个人信息活动的比重逐渐加大,另有在实践中SDK隐瞒收集个人信息的问题泛滥。为在立法保护层面上与实践同步,《认定方法》明确指出违规行为的形态,有利于对App开发者收集个人信息活动的全面保护。此规定也更好的帮助了SDK的提供方履行合规义务,多数的运营商在收集用户个人信息时,无法直接从用户处取得授权,需要请求App的开发者进行协助,而《认定方法》从监管的要求上强制要求App开发者履行此项告知义务,对于SDK提供方履行合规义务、App开发者降低合规风险以及用户行使知情权等多个维度起到了良好的规制和帮助作用。

3. 可被认定为未经用户收集使用个人信息的行为

首先,《认定方法》在这一类别下针对“打开可收集个人信息权限”这一情形新增了以下几类违规行为:

  • 征得用户同意前就打开可收集个人信息的权限;
  • 用户明确表示不同意后,打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用;
  • 实际打开的可收集个人信息权限超出用户授权范围;以及
  • 未经用户同意更改其设置的可收集个人信息权限状态,如App更新时自动将用户设置的权限恢复到默认状态。

其次,在涉及用户使用或者同意方面会被认定为“未经用户收集使用个人信息”的行为,《认定方法》也另外做出了补充,新增了:

  • 以默认选择同意隐私政策等非明示方式征求用户同意;
  • 以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的;
  • 未向用户提供撤回同意收集个人信息的途径、方式;
  • 违反其所声明的收集使用规则,收集使用个人信息;以及
  • 利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项。

2019年我国对于App违法违规收集个人信息的监管力度不断加强,为了更好地规制监管行动中所发现的违法违规情形以及为企业提供明确性的指导意见,《认定方法》在原《征求意见稿》的基础上,重点从用户行为的角度补充了App开发者存在违规收集个人信息的数类情形。明确要求App开发者不得通过默认勾选隐私政策等非明示的方式征求用户授权同意,充分保障用户自主选择的权利。同时,由于此前部分App开发者利用产品更新的契机通过技术手段在App更新后自动将未获得用户授权的权限开启或者直接将用户选择的权限状态恢复到默认状态,并且直接收集用户信息。这些都属于未经用户同意的违规收集情形,侵犯了用户的知情权。《认定方法》在进一步保障用户主体权益的同时也对App开发者在隐私产品设计上提出了更严格的要求,要求App开发者应当通过合理的隐私产品设计履行合法合规收集个人信息的义务,并赋予用户合理的行权途径。同时,本条款在原《征求意见稿》规定的基础上,要求App开发者应当为用户提供“撤回同意”的途径和方式,并且要给予用户可通过其画像向其个性化展示与非基于其画像进行普通广告展示的选项,充分保障了用户对自身个人信息的控制权。

4. 可被认定为违反必要原则,收集与其提供的服务无关的个人信息的行为

与上文类似,《认定方法》同样在这一类别下针对“打开可收集个人信息的权限”这一情形新增了收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;以及要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用这些行为。其次,《认定方法》也新增了将仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息这一行为认定为违反必要原则,收集与其提供的服务无关的个人信息的情形。上述修改更加严格落实了《网络安全法》的必要性原则,对App肆意的收集以及滥用用户个人信息,导致用户个人信息甚至隐私被泄露的违规乱象起到了针对性地规制作用。

5. 可被认定为未经同意向他人提供个人信息的行为

《认定方法》并未对这一类别进行太大的改动。首先,这两条在实质上并未做太大的改动:“既未经用户同意,也未做匿名化处理,App客户端直接向第三方提供个人信息,包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息”,以及“既未经用户同意,也未做匿名化处理,数据传输至App后台服务器后,向第三方提供其收集的个人信息”。但新增了“App接入第三方应用,未经用户同意,向第三方应用提供个人信息”这一情形,体现了监管机关对于平台类App以及集成了多个第三方服务App在个人信息共享方面合规性的监管力度,相应App的开发者运营者应当予以重视。

6. 可被认定为未按法律规定提供删除或更正个人信息功能未公布投诉、举报方式等信息的行为

《认定方法》首先将“未公布投诉、举报方式等信息”这一类别融合到了第六节中,与原有的“未按法律规定提供删除或更正个人信息功能”并列,一同进行了规定。其次,具体规定层面上,现行版本新增了两个情形:为更正、删除个人信息或注销用户账号设置不必要或不合理条件;以及未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理的。与此同时,《认定方法》也在保留的行为情形中进行更准确的解释或说明:强调未提供更正、删除个人信息及注销用户账号功能应为“有效的功能”;将人工处理中增加“承诺时限不得超过15个工作日”这一时限规定;以及在更正、删除个人信息或注销用户账号等用户操作已执行完毕这一行为上,新增了“但App后台并未完成的”这一前提条件,明确了App开发者应当在前端和后端同时履行相应的更改或删除义务。企业应当严格依照法律法规要求,响应用户所提出的请求,真正落实对用户个人信息的更正或删除的处理行为。

总体来看,《认定方法》的修改结合了当下监管中发现的App违法违规的具体情形,从原则性要求及实践性要求两个维度完善了App开发者保障用户个人信息安全所应承担的合规义务。同时《认定方法》更注重于落地性以及行为的有效性层面,对组织提供了明确的合规指引,有利于组织层面对具体措施的落实与实施;同时也体现了现在国家无论在立法还是执法层面上均注重日新月异的科学技术发展,这进一步也确保了对最新科学技术的有效运用与合规管理。

相关法规链接:

  • 《App违法违规收集使用个人信息行为认定方法》:

http://www.cac.gov.cn/2019-12/27/c_1578986455686625.htm

2019年下半年以来,国家不断推进各个领域内的数据合规和信息保护进程,以确保落实有效的管理措施以及为企业提供实践上的合规指引。笔者认为,在下半年层出不穷的法律法规中,本文探讨的最新推出的这六部相对可以代表国家的监管动态,企业可以从���入手,把握2020年国家监管态度以进一步有效落实数据合规和个人信息保护工作的实施。(完)