刘玉红:DSI数安智库专家,北京市盈科(深圳)律师事务所律师,长沙仲裁委员会仲裁员,第11届深圳市律师协会影视传媒法律委员会主任,中国影视行业法律人才专家库专家。
2022年 6月27日,国家互联网信息办公室发布《互联网用户账号信息管理规定》,自2022年8月1日起施行。该规定共计24条,规范了互联网用户注册、使用和互联网信息服务提供者管理账号信息行为,旨在加强对互联网用户账号信息的管理,势必要求弘扬社会主义核心价值观,维护国家安全和社会公共利益。
该规定引发了笔者关于互联网信息服务提供者对个人信息收集使用限度的思考,一个互联网企业如果非法、过度收集个人信息,轻则需承担民事侵权责任,重则涉嫌犯罪需承担相应的刑事责任,因此互联网企业如何把握个人信息收集的尺度对于企业运营与发展具有重大意义。
一、互联网用户账号信息包含个人信息,互联网信息服务提供者在履行互联网用户账号信息管理主体责任时,应审慎收集、使用个人信息
根据《互联网用户账号信息管理规定》第二十三条的定义,互联网信息服务提供者,是指向用户提供互联网信息发布和应用平台服务,包括但不限于互联网新闻信息服务、网络出版服务、搜索引擎、即时通讯、交互式信息服务、网络直播、应用软件下载等互联网服务的主体。互联网用户账号信息,是指互联网用户在互联网信息服务中注册、使用的名称、头像、封面、简介、签名、认证信息等用于标识用户账号的信息。而根据《个人信息保护法》第四条规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”因此,互联网用户账号信息包含个人信息。
自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。因此,互联网信息服务提供者在履行互联网用户账号信息管理主体责任时,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息,不得从事危害国家安全、公共利益的个人信息处理活动。
二、互联网信息服务提供者在个人信息的收集使用方面应遵循合法、正当、必要原则,不得违法、不当、过度收集使用个人信息
1、互联网信息服务提供者需充分履行告知义务,确保个人信息主体在个人信息收集时的明示同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意思表示,不得以欺诈、诱骗、误导的方式收集个人信息;
如互联网信息服务提供者在提供服务之前应要求互联网用户进行实名认证,通过验证手机号码、输入姓名与对应的身份证号码或者以两者结合的方式来确保是其本人使用,在进行此项实名认证的前置程序后方可进行个人信息收集前的授权程序。
2、互联网信息服务提供者应采取公开、明确、清晰、具体的方式告知其将进行的个人信息收集行为,不得隐瞒产品或服务所具有的收集个人信息的功能;
3、互联网信息服务提供者获取个人信息的需经法定途径与法定程序,不得从非法渠道如窃取、购买等渠道获取个人信息。
1、目的正当。互联网信息服务提供者拟收集个人信息的,需根据合法的、与拟提供服务相关的、特定的目的进行收集,不得出于非法或与拟提供服务无关的目的擅自收集个人信息。
例如,提供网络购物服务的互联网平台,不得收集用户的购买记录用于区别定价(俗称“杀熟”),但可以在征得用户同意的前提下,收集购买记录用于推荐类似产品以改善用户体验;提供网络婚恋交友服务的互联网平台,收集用户的个人身份信息如学历、收入等信息仅可用于佐证用户个人账号信息资料的真实性但未经用户明确授权同意,不得用于线上或线下提供婚庆推广等服务。
2、手段正当。收集个人信息之前需要经过个人授权同意,同时需向个人以明确、易懂、合理的方式向互联网账号用户展示清晰具体的个人信息处理目的、处理方式、处理范围等收集规则。
例如,互联网信息服务提供者在为互联网用户提供账号注册信息时必须在用户协议、隐私政策等文件中以包括但不限于标红、加粗的方式告知互联网用户其即将收集的个人信息的目的、种类、范围、方式、用途等并征求互联网用户的授权同意(通常以用户勾选同意的方式确认用户作出授权),不得强迫用户接受其用户隐私政策或采用欺诈、诱骗等方式收集用户个人信息。
1、收集的个人信息的类型应与实现产品或服务的业务功能有直接关联,不得超范围收集与实现产品或服务的业务功能间接关联或者无关联的信息。
2、收集的个人信息是与互联网信息服务提供者提供的服务或者业务功能有直接关联的、必不可少的信息,若相关信息能被替代或可有可无则不应当收集。
3、只收集经个人同意或法定许可所需的最少个人信息类型和数量。
《互联网用户账号信息管理规定》第十一条规定了互联网用户申请注册提供互联网新闻信息服务、网络出版服务等依法需要取得行政许可的互联网信息服务的账号,或者申请注册从事经济、教育、医疗卫生、司法等领域信息内容生产的账号,互联网信息服务提供者应当要求用户提供服务资质、职业资格、专业背景等相关材料,予以核验并在账号信息中加注专门标识。在这种情况下,在用户在能够满足对服务资质、职业资格、专业背景的基本认证时,互联网信息服务提供者不得过度要求用户提供其他证明资料。如一名律师拟开设账号,仅需上传相应的律师执业证及年度审核通过页面即可,不应要求其提供相关的合同、在职证明等。
三、互联网信息服务提供者收集使用个人信息不必征得个人同意的情形
《个人信息保护法》第十三条的规定,个人信息处理者无需取得个人同意可处理个人信息的情形有:(1)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(2)为履行法定职责或者法定义务所必需;(3)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(4)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(5)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息。
笔者认为,互联网信息服务提供者在向互联网个人用户提供服务、或者履行互联网用户账号信息管理主体责任时,无需取得用户同意可处理个人信息的情形有两点:(1)互联网信息服务提供者必须处理用户的某些个人信息才能与之缔结合同或履行合同。例如,A公司经营一家网店销售食品,顾客B浏览该网站后想向A公司购买某些食品。此时,A公司为了向B交货,就必须收集B的收货地址、姓名和必要的联系方式。如果B通过银行转账或信用卡支付,那么A公司就需要处理顾客B的银行账户或信用卡信息。当然,如果是货到付款,则A公司无需处理此等信息。(2)用户自行公开或者依法公开的个人信息,在不侵犯用户其他合法权益的前提下,互联网信息服务者可以直接使用。
声明:本文仅代表作者个人观点,不代表本公众号及其运营单位意见或立场。
