编者按:随着互联网经济的发展与社会数字化进程的加快,在零售等领域,数字化营销应运而生。网络直播营销作为数字化营销的一种,越来越受到企业的青睐。针对网络直播营销活动涉及的监管、数据安全、消费者权益保护、知识产权保护等法律问题,本律师团队将推出系列文章,为直播营销平台、直播人员、直播间运营者、商家等提供合规建议。
近期,国家互联网信息办公室针对人民群众反映强烈的App非法获取、超范围收集、过度索权等侵害个人信息的现象,组织对运动健身、新闻资讯、网络直播、应用商店、女性健康等常见类型公众大量使用的部分App的个人信息收集使用情况进行了检测。2021年6月11日,国家互联网信息办公室发布《关于Keep等129款App违法违规收集使用个人信息的通报》(下称《通报》),公布了各类App在个人信息收集使用方面存在的问题,并要求存在问题的App运营者在通报发布之日起完成整改,否则将依法处置。网络直播类App如虎牙直播、腾讯NOW直播、一直播、蜜桃直播等36款App均在通报之列,这些App存在的共性问题主要是“违反必要原则,收集与其提供的服务无关的个人信息等”。笔者以H公司的隐私条款为例,梳理个人信息等数据处理的常见风险,供直播App合规运营参考。
一、直播APP收集必要个人信息的范围
个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。[1]互联网中的用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。[2]App是指移动智能终端预置、下载安装的应用软件,基于应用软件开放平台接口开发的、用户无需安装即可使用的小程序。App所需必要个人信息,是指保障App基本功能服务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务。按照《常见类型移动互联网应用程序必要个人信息范围规定》的规定,网络直播类APP,基本功能服务为“向公众持续提供实时视频、音频、图文等形式信息浏览服务”,无须个人信息,即可使用基本功能服务。[3]
二、直播APP隐私政策的合规要点
App非法获取、超范围收集、过度索权等侵害个人信息的现象,监管部门将重拳出击治理。实践中,App运营商均会在网站及应用程序公布“隐私政策”,即告知用户收集个人信息的目的、方式和范围,以及保护个人信息的措施。“隐私政策”应当具有独立性、易读性,清晰说明各项业务功能及所收集个人信息类型,清晰说明个人信息处理规则及用户权益保障,不应设置免责等不合理条款。[4]笔者以H公司的隐私政策为例,梳理直播App隐私政策的合规要点:
1.应当明确隐私政策适用产品或服务的具体范围,不应以“等”“包括但不限于”等模糊用语扩大适用范围。
该部分为H公司隐私政策所适用的产品和服务范围。收集个人信息,应当与实现产品或服务业务直接关联。《个人信息安全规范》第5.3条规定,[5]不应通过捆绑产品或服务各项业务功能的方式,要求个人信息主体一次性接受并授权同意其未申请或使用的业务功能收集个人信息的请求。H公司隐私政策中含有“其他互联网产品”“包括但不限于”“其他”表述,存在扩大隐私政策适用范围的风险。H公司该条款未明确隐私政策适用产品具体名称,存在未经用户同意私自搜集用户信息的风险。
2.收集个人信息应当征得自然人或其监护人同意,不应以默示同意方式收集。
我国法律明确规定,收集个人信息,应当征得自然人或其监护人同意。[6]《个人信息安全规范》第3.6条规定,该同意指明示的同意,即通过书面、口头等方式主动作出纸质或电子形式的声明,或者自主作出的肯定性动作,对其个人信息进行特定处理作出明确授权的行为,不包括默示。以默认选择同意隐私政策等非明示方式征求用户同意,属于《App违法违规收集使用个人信息行为认定方法》所明确的未经用户同意收集使用个人信息的违法行为。[7]H公司该条款存在未经用户同意收集使用个人信息的风险。
3.收集个人信息应遵循“最小必要”原则,收集信息类型应与实现产品或服务的业务功能有直接关联。
《个人信息安全规范》第5.2条规定,收集的个人信息类型应与产品或服务的业务功能有直接关联,直接关联是指没有上述个人信息的参与,产品或服务的功能无法实现。H公司直播系网络直播类App,基本功能服务为“向公众持续提供实时视频、音频、图文等形式信息浏览服务”,按照《常见类型移动互联网应用程序必要个人信息范围规定》的规定,该基本功能服务无需个人信息即可使用。实践中,用户一般通过手机号码注册账号。H公司该条款在账号注册时,不仅要求提供手机号码,还要求提供性别、生日、地区等信息,违反“最小必要”原则。
依照《个人信息安全规范》第5.3条的规定,在App存在多个业务功能时,不能要求个人信息主体一次性接受并授权同意其未申请或使用的业务功能收集个人信息的请求,应通过勾选、主动点击、填写等方式作为特定功能业务开启需要收集信息的条件。H公司该条款中,在客户反馈等功能中,将收集地址、账号等信息作为前置同意条件, H公司该条款存在违反必要原则,收集与其提供的服务无关的个人信息的风险。
4.收集个人信息应明确收集信息种类,不能使用“等”等概括性语言。
《个人信息安全规范》明确规定,应详细列举收集和使用个人信息的业务功能,不应使用概括性语言综述所收集的个人信息。未逐一列出APP收集使用个人信息的范围,属于《App违法违规收集使用个人信息行为认定方法》所明确的“未明示收集使用个人信息的目的、方式和范围”的行为。H公司该条款使用的“等”字,不符合前述规范的要求。
5.应当明确不同类型个人信息预计的保留期限,以及需要删除或者销毁的截止日期。
《个人信息安全规范》明确规定,根据个人信息的使用情况,注明不同类型个人信息预计的保留时间(如:自收集日期开始5年内)以及需要删除或销毁的截止日期(如:2019年12月31日或个人信息主体注销账户时)。H公司该条款未明确个人信息存储和删除的具体期限,不符合前述规范的要求。
6.应当明确共享与转让的个人信息类型、原因、接收方,以及共享是否带来高危风险。
《个人信息安全规范》第9.2条规定,个人信息控制者共享、转让个人信息时,应充分重视风险。个人信息控制者应说明是否需要共享、转让个人信息,并详细描述需要共享、转让的个人信息类型和原因、个人信息的接收方、对接收方的约束和管理准则、接收方使用个人信息的目的、个人信息共享、转让过程中的安全措施,及共享、转让个人信息是否对个人信息主体带来高危风险。个人信息共享应取得用户的授权同意,个人生物识别信息原则上不应共享、转让。H公司该条款规定共享个人信息方包括H公司关联公司、服务平台或服务提供商、广告与分析类服务商/广告主,共享范围较为广泛。
其中共享目的“推荐您可能更感兴趣的音视频内容、广告和资讯”,难言符合必要性,也可能被认为属于一项“一揽子授权”,剥夺了用户决定是否同意该等共享的选择权。H公司该条款存在“未经同意向他人提供个人信息”的风险。从个人信息处理的合法、正当、必要原则上讲,应赋予用户选择不共享的权利。
三、直播APP隐私政策示范文本
《个人信息安全规范》附件“个人信息保护政策模版”可供直播APP订立隐私政策参考:
参考资料:
[1]《民法典》第一千零三十四条第二款。
[2]《电信和互联网用户个人信息保护规定》第四条。
[3]《常见类型移动互联网应用程序必要个人信息范围规定》(2021年5月1日起施行)第二条第二款、第三条、第五条第(二十七)项。
[4] 参见全国信息安全标准化技术委员会、中国消费者协会等成立的“App专项治理工作组”于2019年9月发布的《App违法违规收集使用个人信息自评估指南》。
[5] 全国信息安全标准化技术委员会组织制定的《信息安全技术 个人信息安全规范》(GB/T35273-2020),2020年10月1日起实施。
[6]《民法典》第一千零三十五条,《网络安全法》第四十一条、《儿童个人信息网络保护规定》第九条。
[7]《App违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号)第三条第4项。
本文作者
李 垚 律师
专业领域:
公司合规、并购融资、争议解决
团队简介
本律师团队由锦天城律师事务所高级合伙人彭胜锋律师领衔,专注股权诉讼、投资并购、企业法律顾问领域的法律服务。本律师团队现为欧派家居(603833.SH)、许继电气(000400.SZ)、斯凯奇中国(SKECHERS CHINA)、凯捷咨询(中国)、中船黄埔文冲、广州中远海运、红海人力集团、省广众烁、辽宁省政府广东办事处等单位提供法律服务。
联系我们
联系人:汪律师
联系电话:13922469313
地址 :广州市天河区珠江新城珠江西路5号广州国际金融中心33层02-07单元、35层01-02单元
因近期微信官方调整推送规则,如未经常留言或点击“在看”将影响您接收本公众号消息。为确保我们能更及时准确地向您推送文章,请您将“三知法行”公众号添加“☆”标置顶,并点击下方“赞”和“在看”,谢谢!