资讯内容

App共享第三方合规攻略

2020-05-25 09:41 浏览:701

  文/意见领袖专栏机构北京和昶律师事务所

  本文作者:朱一博

  近日,中信银行因擅自向某公司提供个人信息被卷入风波,致歉、处理责任人等快速反应均未能挽回信用损失,即将面临民事责任、行政处罚等。自然人的个人信息受法律保护,储户是个人信息主体,银行是信息控制者,银行对信息的控制源于储户的授权,其余均属于第三方。因此,除法定情形以外,未经授权向第三方提供个人信息必然违法违规。中信银行事件因小失大,教训惨痛,为我们敲响警钟。

ink="">

  一、信息共享风险预警

  大数据时代,移动应用程序(App)显现蓬勃生机,成为个人信息汇集的中心,App运营商(以下简称App)与第三方的合作日渐密切与多元。第三方主体包括各类产品或服务供应商,如智能设备、服务平台、系统服务、软件服务提供商,具体包括移动运营商、第三方支付机构、广告、咨询、调研、分析、客服、回访、身份验证、安全监测等服务提供商。App中的小程序、第三方应用、第三方代码、插件(如软件开发工具包sdk,sdk详情建议参考《Zoom危机:警惕潜伏在APP后面的SDK大盗》)皆为第三方的缩影。它们通过客户端直接收集信息,或者先将数据传输至App后台服务器,再向第三方提供,主要通过这两种方式实现信息共享。

  互联网非法外之地,与第三方共享个人信息,同样以告知用户并征得用户同意为前提。自“App违法违规收集使用个人信息专项治理行动”开展以来,因信息“私自共享第三方”受到监管部门惩处的App不在少数,耳熟能详的,如闪送(版本5.2.20)、36氦(版本8.6.7)、QQ阅读(版本7.1.1.888)、人人视频(版本4.2.9)、一点资讯(版本5.2.1.0)等。

  同时,App需警惕与第三方合作的安全性。第三方由App引入,对于终端用户而言,App在明,第三方在暗,App需为第三方行为担责。近年来,第三方违规引发的信息安全事件并不鲜见。倘若第三方恶意操作(如恶意推送信息的“寄生推”)、隐蔽收集用户个人信息,或因安全漏洞引发信息泄露,App事前未进行责任切割,未尽到告知、监督义务,就难辞其咎,为第三方所累。

  二、安身法则——“告知”与“监督”

  用户信息安全不容忽视,法律规范接踵而至,与第三方合作已成定局,App怎样才能守住合规底线?《网络安全法》明确,网络运营者收集、使用个人信息,应当遵循知情同意、必要性原则,App与第三方共享信息属于“使用”,因此受上述原则约束。关于App与第三方,目前尚未有法律法规作出具体规定,散见于《App违法违规收集使用个人信息行为认定方法》、《App违法规收集使用个人信息自评估指南》、《个人信息安全规范》GB/T 35273—2020、《数据安全管理办法(征求意见稿)》、《移动互联网应用程序(App)收集使用个人信息自评估指南(征求意见稿)》、《移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)》等文件。

  通过梳理上述规范性文件,App共享第三方合规准则有二,第一:对用户充分告知;第二,对第三方尽到必要的监督责任。不难理解,终端用户为个人信息主体,App对信息的使用受制于权利人的授权,故信息共享需告知并取得权利主体同意,“明明是三个人的电影,请告知他姓名”;在App、终端用户与第三方关系图中(如图1所示),App为连结三方的关键所在,处于对第三方风险披露的最佳位置。同时,收益永远与风险并存,为提高效率、享受便利引入第三方,则监督第三方为应有之责,失责的风险如影相随。

  (图1终端用户、App与第三方关系)

  鉴于尚未有法律法规对App与第三方的权利义务关系作出系统性规定,“告知”与“监督”的具体内容需要从第三方类型、App与第三方的法律关系两个维度展开。

  首先,App中第三方包括嵌入的第三方代码、插件、小程序、第三方应用等,App与第三方共享用户个人信息,应当告知用户以下内容,征得用户同意:(1)逐一列出第三方收集使用个人信息的目的、方式、范围等;(2)数据接收方的类型以及可能产生的后果;(3)共享个人敏感信息,还应告知涉及的个人敏感信息类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意;(4)人生物识别信息原则上不应共享。因业务需要,确需共享,应单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等,并征得个人信息主体的明示同意。

  (图2:个人敏感信息与个人生物识别信息,源于《个人信息安全规范》(GB/T 35273—2020))

  其次,App与第三方除了具有共享关系外,还可能成立委托处理、共同控制、第三方管理三种关系(如图3所示)。通俗的说,委托处理即App将收集的个人信息委托第三方处理;共同控制是指App通过合同等形式与第三方达成合意,共同对用户个人信息进行控制。值得注意的是,App如果部署了收集个人信息的第三方插件,例如软件开发工具包sdk,且该第三方未单独向用户告知并征得同意,则默认App与第三方sdk属于共同控制关系;如果App未委托第三方也未与第三方约定共同控制,只是接入了客观上具备收集个人信息功能的第三方,就属于第三方接入管理。

  (图3,源于《个人信息安全规范》(GB/T 35273—2020))

  合规要求总体包括厘清权责、告知用户、监督第三方(如审计、技术检测、记录留痕等),因法律关系不同,各有侧重。例如,委托处理侧重于对第三方进行监督;共同控制侧重于向用户告知第三方身份以及各自责任,否则将承担因第三方引起的个人信息安全责任;对接入的第三方如若管理不慎,极可能引发信息泄露,因此既要求App向用户明确说明产品或服务由第三方提供,又要求对第三方加强监督。需要关注的是,《数据安全管理办法(征求意见稿)》第30条规定,如果第三方应用发生数据安全事件对用户造成损失,除非网络运营者能证明自己无过错,否则应当承担部分或全部责任。

  三、落地困境与探寻

  为保障用户个人信息安全,实现终端用户、App与第三方之间良性互动,合规的信息共享流程应当是:App筛选第三方合作伙伴→App向用户告知并获得授权→App监督第三方。落实该流程在实践中举步维艰,至少存在以下几方面的问题:

  第一,专业人员配备。筛选合作伙伴是否需要配备专业人员?当前筛选第三方合作伙伴,例如软件开发工具包sdk通常由技术人员进行,因涉及法律问题,是否需要法务人员提前介入,或安排专人与第三方对接?

  第二,App筛选合作对象的判断标准。如何判断第三方合作伙伴是否可靠,在安全性、个人信息保护程度方面有哪些指标?如何获知第三方可能存在的违法违规行为或安全隐患?

  第三,App与第三方权责不对等。筛选、告知、监督的行使,都以App知悉第三方收集、使用个人信息的情况为前提。然而,现行法律规范仅聚焦于App,尚未溯及上游第三方。若第三方不明确收集、使用个人信息的目的、方式、范围,App该如何向用户告知?

  第四,告知方式。第三方合作伙伴数量庞大,如何有效告知?

  第五,App与第三方地位不对等。App与第三方sdk的合作,通常是第三方sdk提供服务开放平台,在线签署开发者服务协议。面对此类第三方,App何尝不是用户。在监管缺位的情况下,App难以与第三方博弈,对第三方监督。

  毋庸置疑,在信息共享流程中,任一环节监管的缺失必将导致个人信息保护流于形式。可以预见,监管的触角必将延伸至第三方,在此之前,App该如何作为?建议如下。

  1.筛选合作伙伴。应当重视第三方的信息安全合规意识和安全措施,包括背景调查、了解隐私政策(关注是否明确收集信息的目的、方式、范围;共享信息;是否转委托;是否收集敏感信息以及采取的安全措施等),有条件的可对第三方收集信息进行技术验证、安全评估。另外,尽可能在合作协议明确双方权责。若能对第三方拟收集的信息进行协商,建议对第三方数据请求的必要性进行评估,拒绝不必要的个人信息收集请求。

  值得一提的是,部分第三方sdk具有较强的合规意识,例如极光sdk,制定了一系列合规文件,包括《极光合规指南》、《极光合规指南之极光开发者服务——安全与合规政策解读》、《极光SDK隐私政策合规落地指引》,将其收集、使用App最终用户个人信息的相关情况绘制成表,涵盖sdk产品名称、App产品所应用系统、场景描述、收集方式、个人信息类型、个人信息字段、用途或目的、是否为必要信息、信息处理方式(替换、匿名化处理),并要求APP在隐私政策中列明。

  2.告知用户。如前所述,告知内容至少包含第三方类型与身份、收集使用个人信息的目的、方式、范围,可以采用隐私政策、弹窗提示、文字备注、文本链接等告知方式,已有部分App做出了大胆尝试,例如,曾因“私自共享第三方”被要求整改的绿城生活与人人视频,在最新的隐私政策中采用直接列明的方式(如图4所示);度小满(有钱花)在隐私政策“如何共享个人信息”第三方合作机构处附上超链接,超链接内列明第三方sdk嵌入情况(如图5所示);抖音采用在隐私政策中附上超链接,超链接内附上接入第三方sdk名称、使用目的以及官网链接(如图6所示)。

  (图4,绿城生活和人人视频隐私政策)

  (图6,抖音隐私政策)

  3.监督第三方。监督方式包括但不限于:通过合同明确对第三方的数据安全、信息保护的要求和责任、对第三方进行审计、合作过程中技术检测、记录和存储第三方收集、使用个人信息的情况,通过留存证据证明已对第三方尽到必要的注意义务。

  中信银行事件揭示公众个人信息保护意识觉醒,以及对信息安全的焦虑。在这场个人信息保卫战中,App是中坚力量,守住用户个人信息的安全线,是对当下“守信”最好的诠释。

推荐阅读