从墨迹科技IPO被否谈应用软件（App）应如何收集个人信息

2019-10-18

导语
2019年10月11日，中国证券监督管理委员会（以下简称“证监会”）发布《第十八届发审委2019年第142次会议审核结果公告》^[1]（以下简称“《公告》”）称，北京墨迹风云科技股份有限公司（以下简称“墨迹科技”）首发申请未通过。根据《公告》，发审委对墨迹科技提出询问的主要问题之一便是其用户数据收集、使用及处理合规问题。可见，数据合规问题也是证监会对拟IPO企业（尤其是互联网企业）的合规关注点之一，而数据生命周期管理始于对数据的收集、获取，企业的数据合规工作应当从“头”开始。本文主要结合相关规定和监管案例，简要谈谈企业运营App应如何合规收集用户个人信息。

《中华人民共和国网络安全法》^[2]（以下简称“《网络安全法》”）第四十一条第一款规定，“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意”。违反该规定，根据情节严重程度，可能会被采取警告、没收违法所得、罚款、责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等行政处罚措施^[3]。App运营商为用户提供网络产品、服务，作为《网络安全法》规定的“网络运营者”^[4]，其无疑也必须遵守《网络安全法》关于对个人信息收集、使用的规定。

近年来国家从立法和执法监管方面都在加强规范相关主体收集个人信息的行为，App运营商也应当更加重视用户个人信息收集合规工作，以免受到相关行政处罚，或者对企业的IPO等发展进程带来不利影响。结合相关规定和实务中主要违规问题，我们认为，App在收集用户个人信息时，应遵循下列原则：

一、收集个人信息的必要性、最小化原则

《网络安全法》规定网络运营者收集个人信息应当遵循必要性的原则。《信息安全技术-个人信息安全规范》（GB/T 35273—2017）^[5]（以下简称“《安全规范》”）则要求个人信息控制者^[6]收集个人信息时应当遵循最小化要求，要求收集的个人信息类型应当与实现产品或服务的业务功能有直接关联，从收集的频率和数量上达到“最小化”。必要性原则和最小化原则本质上都是要求不能过度收集个人信息。但实践中，App超范围收集个人信息、过度索权的问题尤为突出，针对此现象，相关监管部门也在加强整治工作。我们将结合一些违规收集个人信息的案例，分析遵循收集个人信息时违反必要性原则和最小化要求的一些典型特征。

1.典型特征一：所收集的个人信息并非实现该App功能的必要数据。

在广东省公安厅于2019年8月14日公布的超范围收集用户信息App名单中^[7]，有多款贷款类App皆存在“读取用户联系人数据”这项超范围收集用户信息的情况。我们理解，贷款类App向用户提供借款需要评估用户的资信状况，当然需要用户提供一些个人信息，例如身份证件信息、工作单位、收入状况等，这些信息可以评估申请人是否有稳定还款来源以决定是否发放贷款。但是联系人的信息或者数量跟个人的资信状况并无直接联系，用户不提供其联系人数据也不会实质影响贷款类App向其提供借款这项服务。App运营商在收集个人信息时，务必要考虑，如果缺少该项个人信息的，是否会造成彻底无法向用户提供其产品、服务。如果并不会有该等后果的，App运营商则不能要求收集该项个人信息，否则有违规的风险。

另外，一些App的用户协议或者隐私政策会规定为了改善程序功能、提供用户体验、定向推送等目的而收集个人信息。实际上，这些功能对于大部分App来讲，并不是其主要或者核心的功能，只是一种附加功能，缺少该功能并不实质影响用户对App的使用。根据App违法违规收集使用个人信息专项治理工作组在2019年5月5日发布的《App违法违规收集使用个人信息行为认定方法（征求意见稿）》（以下简称“《认定办法》”），该等行为已经被列为违法违规收集使用个人信息的情形之一，为了提高用户体验等而收集个人信息并不能成为正当、合理的理由。

简而言之，App运营商在收集个人信息时，应当同时考虑收集该项个人信息类型的必要性和所收集的目的。如果缺少该等个人信息或目的所指向的功能而不实质影响用户的使用的，则不应当收集相关个人信息。

2.典型特征二：要求用户“一揽子授权”或强制要求用户授权

一些App会要求用户“一揽子授权”或强制要求用户授权，即要求用户一次性同意开启多个可收集个人信息权限，用户不同意则无法安装使用App。App专项治理工作组在2019年7月11日发布了《关于10款App存在无隐私政策等问题的通报》（以下简称“《通报》”），其中就20款App存在上述问题进行通报，并明确说明该等情形违反了《网络安全法》第四十一条第一款规定。

运营商出于商业利益考虑，希望获得海量的用户数据以便能够更精准地进行用户画像并进行营销推广，要求用户同意提供尽可能多的个人信息。为了达到获得用户授权同意的目的，有时候便会不加区分地将所有功能所需要的个人信息打包捆绑在一起要求用户一次性授权同意，不同意则无法使用全部功能。虽然用户看似有权选择不同意，但其实是“不得不”同意，用户实质上被剥夺了选择权。《认定办法》明确规定该种情形属于违法违规收集个人信息的情形^[8]，《信息安全技术-个人信息安全规范（征求意见稿）》^[9]（以下简称“《安全规范征求意见稿》”）也明确提出不得强迫接受多项业务功能^[10]，因此，App运营商应尽可能不要捆绑多种类型个人信息要求用户一次性授权同意。

我们认为，解决上述问题的方法是区分不同场景所需要收集的个人信息类型。

《安全规范征求意见稿》在其附录C《实现个人信息主体自主意愿的方法》中要求划分产品或服务的基本业务功能和扩展业务功能，我们认为可以借鉴该等区分，先行厘清其所提供的产品或服务的基本业务功能和扩展业务功能，以及两个功能项下分别需要用户同意提供的个人信息类型，才能进而做到分项、分次向用户获得授权同意。对于何为“基本业务功能”，《安全规范征求意见稿》并没有明确定义，而是要求应根据一般用户的最可能的认识和理解，而不是个人信息控制者自身的想法来确定用户的主要需求和期待来划定基本业务功能^[11]。基于此，App运营商应当站在用户的立场来考虑其产品或服务的基本业务功能，而不能凭自身的需求和认识来确定。

二、公开收集个人信息规则

《网络安全法》明确规定要求收集个人信息要公开收集、使用的规则，而《公告》中发审委也明确要求墨迹科技代表说明是否就其获取用户数据及标签的过程及方法对用户有明示提示，可见向用户公开收集、获取个人信息规则的重要性。

一般而言用户协议、隐私政策便是App关于收集用户个人信息的规则。但实务中App无用户协议、隐私政策的现象也十分突出。除了《通报》中点名过10款App无隐私政策外，在今年广东警方开展的“净网2019”专项行动和App违法违规专项治理行动中，也披露了大量无用户协议和/或隐私政策的App^[12]。

所谓“公开收集个人信息规则”，并不是在用户具有访问用户协议、隐私政策的可能性时便满足了该项要求。《认定办法》列举的没有公开收集使用规则的情形包括：（1）没有隐私政策、用户协议，或者隐私政策、用户协议中没有相关收集使用规则的内容；（2）在App安装、使用等过程中均未通过弹窗、链接等方式提示用户阅读隐私政策，或隐私政策链接无效、文本无法正常显示；（3）进入App主功能界面后，多于4次点击、滑动才能访问到隐私政策。另外《安全规范》则要求“隐私政策应公开发布且易于访问，例如，在网站主页、移动应用程序安装页、社交媒体首页等显著位置设置链接”^[13]。

结合上述规定，关于“公开收集个人信息规则”的公开度的要求，我们理解，实际上应达到使得用户可以显著了解规则的存在、容易访问接触到该规则的程度。为达到该等程度，除了应当避免有《认定办法》列举的前述几种情形外，建议还应注意在注册页面的显眼位置放置关于用户协议、隐私政策的链接，相关字体不宜过小、字体颜色应当突出，或者以弹窗等更明显的形式向用户提示。

三、获得被收集者的同意

根据《公告》内容，发审委关注了墨迹科技收集用户个人信息时用户授权法律上是否完备的问题，而实务中该问题也是App运营中突出合规问题之一。根据工业和信息化部（以下简称“工信部”）在2019年9月19日发布的《工业和信息化部关于电信服务质量的通告（2019年第3号）》，工信部在2019年第二季度组织了对61家互联网企业和51家手机应用商店的应用软件进行检查，发现超过20款App存在未经用户同意收集、使用用户个人信息的情况，相关企业因此被责令整改。

关于收集个人信息时如何获得收集者的同意，《安全规范》从以下几个方面提出了不同的要求^[14]：

1.区分直接获取个人信息和间接获取个人信息

《安全规范》规定，在直接获取个人信息时，要求明确告知所提供产品或服务的不同业务功能分别收集的个人信息类型，以及收集、使用个人信息的规则。告知前述内容是为了使得用户是在知情的基础上做出授权同意的选择。

在间接获取个人信息时，应要求个人信息提供方说明个人信息来源，并对其个人信息来源的合法性进行确认。另外还应了解个人信息提供方已获得的个人信息处理的授权同意范围，如超出该授权同意范围，应在获取个人信息后的合理期限内或处理个人信息前，征得个人信息主体的明示同意^[15]。

2.个人敏感信息

《安全规范》规定，在收集个人敏感信息^[16]时应取得个人的明示同意，并且告知的内容有更加详细的要求，即涉及核心功能所必需收集个人敏感信息的，应告知信息的类型以及拒绝提供、拒绝同意的后果；涉及附加功能所必需收集个人敏感信息的，应告知信息的类型，允许用户逐项提供、同意，用户不同意的不能以此为由拒绝提供核心功能。

3.未成年人个人信息

《安全规范》规定在涉及不满14周岁的未成年人的个人信息时，应当征得其监护人的明示同意；涉及的是已经年满14周岁的未成年人的个人信息的，应征得未成年人或其监护人的明示同意。

关于如何实现获得被收集者的同意，我们注意到目前有些App会在注册页为用户默认勾选“我已阅读并同意《用户协议》和《隐私政策》”，认为用户注册后即获得了用户的授权同意。我们认为此种做法是否合适值得商榷。2018年年初，某支付App在向用户提供“个人年度账单”时为用户默认勾选同意《芝麻信用协议》并且该项选择放在并不显眼的地方，许多用户在未察觉的情况下“被同意”了《芝麻信用协议》，其做法引发了不小的风波，该App企业也相继被工信部、网信办约谈，要求“本着充分保障用户知情权和选择权的原则立即进行整改”^[17]，其后，该App取消了为用户默认勾选同意选项。基于此，我们认为，用户默认勾选同意实现获得授权并非最佳实践，更合适的做法是由用户自己主动勾选同意选项，或者同时提供“同意”和“不同意”的选项，给用户更清晰明确的选择路径，而实现真正的授权同意，降低违规风险。

四、结语

上述原则是App在收集个人信息时应当遵守的原则，上述监管案例体现了App运营商在违反上述原则时所遭受的监管措施，我们相信，监管部门在后续的执法监管活动中应该也会持续关注App是否存在该等问题。除了民事纠纷或行政、刑事监管问题，墨迹科技IPO被否也给广大App运营商敲醒警钟，用户个人信息处理不合规的代价可能远比想象严重。收集个人信息是处理用户个人信息的首要环节，App运营商应当从“第一关”开始便做好个人信息安全合规工作，以免因此付出巨大代价。

文章引用：

[1]见中国证券监督管理委员会于2019年10月11日发布《第十八届发审委2019年第142次会议审核结果公告》，http://www.csrc.gov.cn/pub/zjhpublic/G00306202/201910/t20191011_364295.htm。

[2]《中华人民共和国网络安全法》（主席令第五十三号），全国人民代表大会，2016年11月7日发布，2017年6月1日生效。

[3]《中华人民共和国网络安全法》（主席令第五十三号）第六十四条规定。

[4]《中华人民共和国网络安全法》（主席令第五十三号）第七十六条规定，“网络运营者，是指网络的所有者、管理者和网络服务提供者。”

[5]《信息安全技术-个人信息安全规范》（GB/T 35273—2017），全国信息安全标准化技术委员会，2017年12月29日发布，2018年5月1日实施。

[6]根据《信息安全技术-个人信息安全规范》（GB/T 35273—2017）第3.4条的规定，个人信息控制者为“有权决定个人信息处理目的、方式等的组织或个人”。按照此定义，App运营商属于“个人信息控制者”。《信息安全技术-个人信息安全规范》（GB/T 35273—2017）是推荐性国家标准，不具有法律上的强制执行力，但实务中具有较高的参考意义，建议企业应当将该规范作为网络安全合规工作的重要指引。

[7]见广东省公安厅政府信息公开目录，http://gdga.gd.gov.cn/gkmlpt/content/2/2582/post_2582482.html。

[8]《App违法违规收集使用个人信息行为认定方法（征求意见稿）》第四条第3项。根据《关于征求<App违法违规收集使用个人信息行为认定方法（征求意见稿）>意见的通知》，起草该文件的目的之一是为“App评估和处置提供参考”，根据我们理解，该文件会作为相关部门的执法监管重要参考文件，因此App的个人信息安全工作建议也应当参考该文件。

[9]《信息安全技术-个人信息安全规范（征求意见稿）》，全国信息安全标准化技术委员会，2019年6月25日发布。

[10]见《信息安全技术-个人信息安全规范（征求意见稿）》第5.3条第a)项。

[11]见《信息安全技术-个人信息安全规范（征求意见稿）》附录C第C.1条。

[12]见广东省公安厅政府信息公开目录，http://gdga.gd.gov.cn/gkmlpt/content/2/2530/post_2530378.html；http://gdga.gd.gov.cn/gkmlpt/content/2/2582/post_2582482.html；http://gdga.gd.gov.cn/gkmlpt/content/2/2596/post_2596763.html。

[13]见《信息安全技术-个人信息安全规范》（GB/T 35273—2017）第5.6条第d)项。

[14]见《信息安全技术-个人信息安全规范》（GB/T 35273—2017）第5.3条、5.5条。

[15]根据《信息安全技术-个人信息安全规范》（GB/T 35273—2017）第3.6条，“明示同意”是指“个人信息主体通过书面声明或主动做出肯定性动作，对其个人信息进行特定处理做出明确授权的行为。肯定性动作包括个人信息主体主动作出声明(电子或纸质形式)、主动勾选、主动点击‘同意’、‘注册’、‘发送’、‘拨打’等。”

[16]根据《信息安全技术-个人信息安全规范》（GB/T 35273—2017）第3.2条，“个人敏感信息”是指“一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。”

[17] 《百度、支付宝、今日头条被工信部约谈！原因与你有关》，2018年1月12日，搜狐央视网消息，http://www.sohu.com/a/216319504_428290。 

本文作者：

声明：

本文由德恒律师事务所律师原创，仅代表作者本人观点，不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容，请注明出处。