资料图片
■本报记者 武晓莉
当你用手机叫车的时候,可能会本能地觉得你的信息就只是被打车软件获取了。其实不仅于此。假如软件中嵌入了外部的人脸识别服务,人脸信息还会同时被第三方收集;
当你用软件找房时,软件为你提供周边房源地图时,就至少和地图服务商共享了你的位置信息;
当你在微信上找代驾时,除了微信,代驾公司其实也通过小程序拿到了你的个人信息;
……
在APP个人信息保护实践中,这种外部接入场景触发了一系列的个人信息保护难题:个人信息主体、主产品或服务提供方及外部接入方之间的法律关系如何界定?主产品或服务提供方、外部接入方分别承担怎么样的个人信息保护义务?个人信息主体的权益受到损害时,各方的责任如何分配?等等。2020版《个人信息安全规范》(以下简称2020版《安全规范》)给出了规制路径,相关法律专家也对此进行了解读。
委托处理场景如何识别
“外部接入场景下,在APP用户即个人信息主体的感知中,其使用或接受的是APP提供方——个人信息控制者提供的产品或服务(也就是主产品或服务),然而,外部接入方产品或服务其实也会存在收集用户个人信息的行为。”北京观韬中茂(上海)律师事务所李思筱律师指出,此前的《信息安全技术 个人信息安全规范》并未对此做系统性规定。但在实际监管过程中,外部接入场景下的个人信息保护问题越来越突出,2020版《安全规范》在这个问题上迈出了一大步。主要是通过新增第三方接入管理,并明确委托处理、共同个人信息控制者的适用关系等条款,基本上解决了此类场景等大部分问题。
“虽然2020版《安全规范》对委托处理未做具体定义,但根据条款的措辞来看,个人信息控制者的行为属于委托行为,其与外部接入方的关系应为委托关系。”李思筱认为。根据《合同法》中“受托人应当按照委托人的指示处理委托事务”的规定,受托人根据与委托人的约定,按照委托人的指示处理委托事务的,双方的法律关系为委托关系。委托处理场景下,第三方对相关个人信息处理目的、方式和行为等,通常是依照主产品或服务提供方的指示和双方约定进行的。
以常用的打车软件(主产品或服务)为例,软件中嵌入了人脸识别SDK(软件工具包),通过收集司机的面部识别特征来对入驻司机的身份进行核验。人脸识别服务供应商完全依照打车软件运营公司的委托,对司机面部识别特征进行收集和使用。收集的面部信息仅用于在司机接单驾驶服务中,判断司机是否为活体,并识别是否为本人驾驶等。在委托处理完成后,人脸识别服务供应商将删除或匿名化处理收集的司机个人信息。
共同控制场景如何识别
“如何辨析第三方场景是否属于共同个人信息控制者,主要取决于外部接入方对个人信息是否具有控制权。”李思筱说,“2020版《安全规范》未明确界定标准。参考其中相关概念的定义以及境外立法中类似概念的定义,我们总结了两个认定要素,即双方都具有决定相关个人信息处理目的、方式等的能力,相关个人信息处理的目的、方式等由双方共同决定,要同时满足这两个条件。”
以某租房APP为例,为了给用户提供地图找房服务,接入了某地图服务应用程序API(应用编程接口)。用户在租房APP中使用地图找房服务时,租房APP会告知用户需要获得其定位信息。与此同时,地图服务应用程序的API接口也收集了用户的实时位置信息,用以向用户提供周边地图及房源信息。
李思筱说,上述场景中,为提供地图找房服务收集用户实时位置信息的个人信息处理行为,由租房APP提供方及地图服务应用程序API接口提供方共同决定,且双方具有决定相关个人信息处理目的、方式等的能力,因此,双方至少在用户实时位置信息收集阶段,构成了共同个人信息控制者。
还有一种不属于上述两种场景的,可以归为其他外部接入场景。
以微信为例,当用户在微信中使用接入其中的某代驾小程序时,虽然仍停留在微信中,但实际上却是在使用代驾小程序运营公司独立提供的服务。而且,从技术原理上来说,小程序无需调用微信APP提供的辅助接口,就能够直接对用户使用代驾服务时所需的用户个人信息进行收集、使用。而且,上述收集、使用行为并不以微信APP同意为前提。不仅如此,用户在使用代驾小程序时产生的数据信息,微信APP并无法获得。
不同场景下保护义务如何分配
“辨析不同法律关系的目的,是厘清不同接入场景下,各方应该对用户个人信息保护承担何种义务。”观韬所王渝伟律师说。
根据2020版《安全规范》的规定,在委托处理场景中,APP商家具有个人信息控制者、委托方双重身份,其应承担的个人信息保护义务较多。一是遵守规范中的全部相关要求;二是要确保委托行为在已获得的个人信息主体授权范围内、进行安全影响评估、对受委托者进行监督、记录和存储委托处理个人信息情况、得知或者发现受委托者未按照委托要求处理个人信息等。而外部接入方在此场景下承担的义务主要是与APP商的合同义务。
“共同控制场景下,个人信息安全方面的责任和义务的明确,是商家双方通过合同等形式在内部分配的。”王渝伟说,“从2020版《安全规范》内容看,在这种场景下,外部接入方可以用自己的方式向用户告知相关收集、使用行为并获取同意。也就是说,如果不单独告知用户和获取同意,也是不违规的。但是,主产品或服务提供方的责任比较重,不仅有义务向用户明确告知,而且要承担因外部接入方引起的个人信息安全责任。”
王渝伟表示,根据2020版《安全规范》的相关规定,在其他外部接入场景下,APP方要对第三方接入进行从流程、安全评估、告知用户、签署合同、个人信息安全管理监督以及自动化工具个人信息收集、使用检测与审计等方方面面的管理工作。外部接入方需要根据相关实际法律关系或约定承担相应的义务。
王渝伟认为,第三方SDK违法违规收集个人信息、外部接入场景下的个人信息保护等问题一直比较突出,合规义务该谁承担等问题也引起了行业内的广泛讨论和关注,这些也是促成相关规范修订的重要原因。“2020版《安全规范》显然已经补上了监管的短板,监管层的个人信息保护思路正逐步清晰。”王渝伟说。
●编后
从APP个人信息安全问题的现状、隐患,到APP注销条件设置的合理性边界,再到APP外部接入场景下个人信息保护的义务如何界定,APP个人信息保护问题为什么如此复杂,症结到底在哪?对于运营者来说,以得寸进尺、掩耳盗铃的方式收集用户个人信息,以刻意制造障碍的心态或者懒政的方式,给用户使用和注销制造障碍,在用户个人信息保护义务方面扯皮推诿,无非都是出于APP运营者重利的考量。
但是,随着监管水平的提升、监管力度的增加,以及全社会对个人信息保护问题的重视,上述情况恐怕很难继续下去了。只有切实把保障用户权益放在首位,主动合法合规经营,让用户方便、明白、安心地使用,才能真正保护社会公共利益的诉求,才是真正赢得用户、留住用户的最佳手段。