【专栏】企业数据合规(三):收集个人信息的刑事风险
肖飒 · 零壹财经 2022-03-17 14:31:21 阅读:11727
作者:肖飒法律团队 来源:肖飒lawyer
自元宇宙诞生以来,“数据,是元宇宙必不可缺之元素”这样一个命题已经被所有人所接受,而元宇宙参与者的个人信息也无可辩驳的属于此类数据的重要组成部分。
同时,我们也不得不承认元宇宙内伴随着大量的个人信息安全问题。在实现“虚实共生”的愿景下,元宇宙提供者将访问并收集更多的用户信息,包括个人生物特征、医疗健康、金融账户、个人行踪等,这些信息将几乎完全以虚拟形式存在。因此,元宇宙公司关于用户个人信息的保护问题,是监管部门的重点关注的领域。
今天,飒姐团队想和大家一起讨论元宇宙背景下互联网企业应如何合法收集个人信息。
一、关于互联网企业收集用户个人信息的法律规制
01 民事规制
《民法典》专章规定了“隐私权和个人信息保护”,从法典层面强调了对于个人信息保护的力度。
2016年11月7日,我国出台了《网络安全法》完善了个人信息保护规则;2021年8月20日出台了《个人信息保护法》,对于个人信息保护进行了全面的规定。而作为《个人信息保护法》中定义的“信息处理者”——企业,在收集个人信息时也有了法律上新的义务,包括:制度完备义务、安全保障义务、信息主体权益保障义务、事前风险评估义务、合规审计义务、以及特殊处理者的义务等,因此,互联网企业需要依法建立起符合法律要求的个人信息及数据收集合规体系。
02 行政规制
在司法实践中,行政手段是整治违法收集用户个人信息乱象的重要方法,我国颁布了诸多规范性文件对互联网用户个人信息进行保护。2012年发布了《全国人民代表大会常务委员会关于加强网络信息保护的决定》为加强网络信息保护提供了法律依据;2013年出台的《电信和互联网用户个人信息保护规定》明确了电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的规则和安全保障义务等。
2019年国家网信办、工信部、公安部、市监总局联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》《App违法违规收集使用个人信息行为认定方法》,明确了App违法违规收集使用个人信息行为的认定规则;2021年,四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》,进一步规范个人信息处理活动。
03 刑事规制
《刑法》第二百五三十条之一的规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,有可能构成侵犯公民个人信息罪。
二、“明确合理目的”原则及“个人权益影响最小”原则
《个人信息保护法》第六条规定,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。该条明确引入了收集个人信息时的 “个人权益影响最小”原则。
2021年12月9日,国家计算机网络应急技术处理协调中心与中国网络空间安全协会发布《App违法违规收集使用个人信息监测分析报告》,报告中详细列举了App超范围收集个人信息问题的七种情形,主要内容如下:
1. 敏感权限声明超出必要范围。少量App在未提供实际功能的情况下,仍然声明了相关敏感权限,存在热更新后调用和SDK(软件开发工具包)调用权限的风险。
2. 权限索取超出必要范围。一些App超出当前功能需要索取权限,例如某应用的电话拦截功能索要了短信、存储、通讯录等7项敏感权限,整改后只保留了功能实现所必需的3项敏感权限。
3. 收集数据的敏感性超出必要范围。一些App在使用低敏感性数据即可实现功能的情况下,仍然收集高敏感性数据。例如,普通的天气查询功能只需要城市或地区级的粗略位置信息,不应索要精准位置等敏感个人信息。
4. 收集数据的具体内容超出必要范围。一些App在仅需部分数据内容即可实现功能的情况下,却实际收集了全部内容。例如,查找好友功能只需匿名化后的手机号码即可实现功能,不应超范围收集通讯录联系人的姓名、邮箱、地址等内容。
5. 收集方式超出必要范围。App收集个人信息的方式包括单次读取、本地存储、上传云端等,对个人的影响程度依次递增,应在满足功能需求前提下选择影响程度最低的收集方式。例如,只需单次读取或本地存储即可实现功能,不应默认使用上传云端。
6. 收集频率超出必要范围。有的App收集每项个人信息的频率明显超出当前功能的必要范围,例如,某运动健身类应用在用户观看视频等无关功能时,每分钟获取位置信息近百次,明显超出必要范围。
7. 收集场景超出必要范围。很多App除了在功能必需的合理场景收集信息,还在启动、自启动、后台运行、使用不相关功能等其它场景收集信息,违反了必要原则。例如,某应用除了在共享位置时收集位置信息,还在扫码支付等不相关功能收集位置信息,可用于用户消费行为画像分析。
三、企业如何合规收集个人信息
针对与业务功能有关的必要信息来说,根据《个人信息保护法》第十六条的规定,如果用户不同意处理其个人必要信息,则个人信息处理者有权拒绝向其提供产品或者服务。
对于与业务功能有关的非必要信息的收集,根据《App违法违规收集使用个人信息自评估指南》需要满足以下条件:
第一,应向用户明示所收集个人信息的目的。具体来说除了要在隐私政策中向用户进行告知外,对于该类非必要个人信息,还应该通过弹窗的形式向用户进行单独告知;
第二,经用户自主选择同意。所谓自主选择同意是指个人信息处理者通过书面声明或主动做出肯定性动作,对其个人信息进行特定处理做出明确授权的行为。
对于与业务功能无关的个人信息的收集,互联网平台不应收集与业务功能无任何关系的个人信息。此类个人信息会根据平台的不同而有所区别,《常见类型移动互联网应用程序必要个人信息范围规定》列举了各类平台必要个人信息范围,但是对于与业务功能无关的个人信息没有详细规定,这就需要各个互联网平台结合自身情况进行判定。
相关文章
用户评论
所有评论
资讯排行
- 48h
- 7天
专题推荐
more第四届中国零售金融发展峰会(共15篇)
《陆家嘴》交流会第6期(共14篇)
2022第一届中国数字科技投融资峰会(共43篇)
2019年数字信用与风控年会(共15篇)
-
首页
-
评论
-
回顶部
游客
自律公约