任性已成过去时，个人信息收集及使用合规要点

编者注：这个专栏是创新工场投资和投后团队的小伙伴们分享群体思考及实践的所在。创新工场法务团队期待能为大家奉上有价值的创业法律知识，欢迎大家拍砖点赞，也希望大家有所收获。如有具体的主题希望我们研究成文（目前仅限互联网创业哦），请在评论中告诉我。

法律问题有时效性，过去的知识不一定适用于未来，请大家阅读参考时注意发表时间。

本文的作者是创新工场法务 杨甜

2019年1月25日，中央网信办、工信部、公安部、市场监管总局正式发布《关于开展APP违法违规收集使用个人信息专项治理的公告》（以简称“公告”），拟根据《网络安全法》及《消费者权益保护法》等规定，于2019年1月至12月期间在全国范围内开展针对消费者集中反映的App强制授权、过度授权、超范围收集个人信息等问题的专项治理（以下简称“联合治理”）。可以预见，个人信息收集已经进入合规强监管的时代，在未来的一年里，应对不同监管部门针对个人信息收集问题的评估检查将成为互联网企业的必修课之一。

个人信息收集有哪些规定？应当如何收集？本期Newsletter梳理了有关个人信息收集的相关的规定及关注要点，以期在后续合规审查中为大家提供参考。

href="">一、 个人信息保护法律框架

我国在刑法、民事、行政法律、规章方面均对个人信息收集有所规定，形成了不同级别的对个人信息收集、使用、保护、处分等行为的法律框架。

(一) 刑法

2009年2月《刑法修正案（七）》中首次增加了侵害公民个人信息罪的规定。此外，2015年8月在《刑法修正案（九）》中将犯罪主体由相关单位工作人员扩展到所有人，并规定除了违规出售和提供个人信息外，窃取或者以其他方式非法获得公民个人信息也是侵犯个人信息罪的行为。

本次联合治理尤其强调了公安部的参与，这也从侧面说明这次联合治理不只涉及民事和行政责任，也很有可能针对情节极其严重的个人信息收集行为追究刑事责任。

(二) 消费者权益保护法和网络安全法

2013年修改的《消费者权益法》增加了对消费者个人信息的保护，并确定了个人信息保护的基本原则。2017年6月1日生效的《网络安全法》在相关原则的基础上作出了更为细化的规定，被认为是个人信息管理领域最为重要的法律之一。《网络安全法》对于个人信息的收集及使用主要规定如下：

1、 “个人信息”的认定

《网络安全法》第76条规定，个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等。

在此之前，“个人信息”及其他类似概念散见于不同的法规和规范文件中，《网络安全法》首次对“个人信息”提出了较为明确的定义，并进一步扩大了个人信息的保护范围：a）个人信息不再要求有特定的记录方式；b）“个人信息”主要的判断特征是可识别性，只要是通过与其他信息结合即可识别身份的信息都属于个人信息。

2017年5月9日最高人民法院、最高人民法院发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称“解释”），进一步扩大了“个人信息”的认定范围，认为“反映特定自然人活动情况的各种信息”如行踪轨迹、财产状态等，也属于“个人信息”范围。

因此，在实践中，一些企业收集的用户某项服务时间、地点等信息，也可能由于具有一定识别性，反映了特定人活动情况而落入个人信息范畴。

2、 个人信息收集、使用基本原则

根据《网络安全法》规定，企业在收集消费者个人信息应当遵循公开性原则、合法、正当原则以及必要性原则等，具体规定如下：

与此同时，《网络安全法》还明确了使用限制的例外情况，即如果特定信息经过处理无法识别特定个人，并不能复原，则不受上述限制。这也是首次给予脱敏信息在侵权领域的“豁免性”地位。

3、 个人信息储存及跨境转移

《网络安全法》对于特定的个人信息的储存也作出了明确的规定，所谓的特定并非指个人信息的内容或者类型，而是指收集主体和渠道，即“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息”。就列入关键信息基础设施范围内的个人信息存储及转移，根据《网络安全法》，其个人信息原则上应储存在境内，因业务需要，确需向境外提供的，应当按照网信部要求进行安全评估方可进行转移。《网络安全法》特意对“关键信息基础设施”进行了模糊处理，在正式稿中亦将征求意见稿中的界定和范围[1]表述都均予以删除。

但，在2016年6月中央网信办网络安全协调局制定的《国家网络安全检查操作指南》（以下简称“操作指南”）中对关键信息基础设施的判断标准作了细则规定，为《网络安全法》关键信息基础设施的判断提供参考依据。根据《操作指南》，关键信息基础设施的确定包括三个步骤：首先，确定关键业务，《操作指南》对关键业务作了示例，例如工业制造领域关键业务应包括智能制造领域，电信互联网关键业务应包含数据中心/云服务业务领域；其次，确定是否属于支撑该等关键业务的信息系统或工业控制系统；最后，根据关键业务对信息系统或工业控制系统的依赖程度，以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施。《操作指南》则列举了网站类、平台类和生产业务类三种具体情况的相应量化标准。比如对于平台类，规定注册用户超过1000万、活跃用户超过100万或者日交易额超过1000万的，就可认定为关键信息基础设施。

《网络安全法》中对“关键信息基础设施”的定位是否可以直接引用《操作指南》的定义尚不得确定，相关定义也待监管部门的进一步明确。但仍需提醒可能涉及的网络运营者注意相关个人信息的储存位置以免违反相关规定。

(三) 行业标准

除了上述法律外，2018年1月，国家标准化管理委员会（“国标委”），发布了《信息安全技术个人信息安全规范》(以下简称“规范”）。该规范是非强制性指引，其中对个人信息的收集、存储、使用、委托、分享、转让和披露流程都做了更为详细的梳理，提供一些示范样本（如隐私政策模板）并对如何实现个人信息主体选择同意权提供了功能界面模板参考。尽管《规范》为非强制性文件，但它提供了好的做法示例，对于公司在实践中如何更好地在中国实施个人数据保护提供了重要的借鉴。

(四) 法律责任

《网络安全法》第六章规定了详尽的法律责任：网络运营者、网络产品或服务的提供者侵害个人信息依法得到保护的权利，主要法律责任包括责令改正、警告、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，罚款等；关键信息基础设施的运营者在境外存储网络数据，或者向境外提供网络数据的，则可能面临警告，没收违法所得，责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，罚款等处罚。

除了以上的行政处罚外，App运营商如因违法《网络安全法》的规定而导致严重后果的还可能受到刑事追诉并承担相关民事责任。

href="">二、 个人信息保护实践中需关注的事项

有关个人信息保护的法律框架在上文中已作了大致介绍，在实践如何中把握监管思路及趋势，借助中国消费者协会在2018年11月发布的《100款App个人信息收集与隐私测评报告》（以下简称“测评报告”）中列举的部分典型案例及其他已有案件，小编对实践中较为常见的涉嫌违反个人信息收集的情形作了如下梳理。

（一） 过度收集个人信息

在实践中，过度收集个人信息是实践中较为普遍的问题，位置信息、通讯录、手机号码等都属于过度收集或使用个人信息最为常见的内容。除此之外，用户的个人照片、个人财产信息、生物识别信息、工作信息、交易账号信息、交易记录、上网浏览记录、教育信息、车辆信息以及短信信息等也存在被过度使用或收集的现象。在《测评报告》中，中消协明确指出购物平台、拍摄美化、影音播放、金融理财等app均存在过度收集用户通讯录、手机号码、用户位置等信息的情形。

根据《网络安全法》，个人信息的收集需要遵循必要性原则。《安全规范》对于必要性原则（即最小化原则）进行了更为明确地解释，要求“收集的个人信息的类型应与实现产品或服务的业务功能有直接联系”，如果没有收集这些个人信息则可以导致“产品或服务功能无法实现”。此外，必要性原则还要求自动采集的个人信息的最小频率必须是所必需的最低频率，而间接获取的信息数应当是所必需的最小数量。

因此，如果所收集的个人信息与实现其相关产品功能无直接联系，该等信息并不属于功能实现的必要信息时，往往会被认为违反必要性原则。例如，中消协《测评报告》中提到，邮箱云盘、交易支付和出行导航类APP来说，用户位置信息具有根据定位信息提供产品功能和服务的合理诉求。但对于社交类、新闻阅读以及金融理财类App来说，调用用户的位置信息对于这些服务的提供非必需信息，则存在过度收集或使用的嫌疑。再者，个人信息收集并非为实现产品或服务功能性设置而是满足网络运营者拓展市场或其他诉求也会可能会被认定为违反必要性收集原则，在脉脉与新浪微博不正当竞争纠纷案（2016年4月）” 中，脉脉会在用户注册时抓取用户微博通讯录、好友信息，并进行匹配，从而在相关页面对用户好友、人脉信息进行展示和关联，实现好友推送功能。二审法院认为该种展示仅是为了引导用户邀请新用户加入，属于增加用户规模的市场行为而非功能性设置，这种抓取信息行为也被认定为涉嫌为过度收集或使用用户信息的行为。

（二） 未明确告知收集信息类型，未明确告知用途等

根据《网络安全法》和《安全规范》的规定，在个人信息收集明示规则需要包含两方面内容：一是需明确告知用户收集个人信息的类型；二是，需明确告知用户相关数据收集的目的、范围及使用方式，包括用户拒绝提供将带来的后果，以保障用户的知情权。因此，用户明示同意是信息收集的前提，如果用户不同意信息收集且不涉及正常功能使用时，网络运营商不得拒绝用户的选择，即使涉及部分功能使用，网络运营商也应当告知用户该选择回导致部分功能无法实现的事实，由用户自主选择。

《测评报告》中，中消协对某第三方支付平台和某银行App存在的个人信息收集问题作了相关提示，认为该第三方支付平台未在收集的信息种类中注明个人敏感信息，且未对核心和附加功能区进行区分，导致用户易认为所收集的信息均为必需项；该银行App收集个人信息时，虽概括性的告知了信息的种类和使用的方式，但未告知拒绝提供将影响哪些功能。

在实践中，不少App运营商在用户注册并未给予用户充分的收集选择权，而是在注册页面或者其他进入手机应用软件环节页面中直接标注同意授权等默认的方式来获取用户对其所收集信息的授权，甚至使用不同意则无法注册使用方式。通常认为，这种缺少用户行使自主选择的操作步骤的方式也是属于违法个人信息收集明示及必要性收集原则的。

（三） 向第三方提供存在瑕疵—新浪案件

在实践中，除网络运营者自身收集信息外，也存在因业务需要向第三方提供用户信息的情形。在“脉脉与新浪微博不正当竞争纠纷案”中，二审法院援引《消费者权益保护法》等关于个人信息的条款，认为脉脉非法获取、使用新浪微博用户数据并在其软件中显示脉脉用户人脉时展示了其中的微博头像、标签、职业、教育等信息，侵害了用户个人信息权，属于不正当竞争行为。并首次确定了Open API第三方通过Open API 获取用户信息时应坚持“用户授权（用户对数据开放平台的授权）”+“平台授权（数据开放平台对第三方应用的授权）”+“用户授权（用户对第三方应用平台的二次授权）”的三重授权原则。

而后续发布的《安全规范》也提到，“向他人提供个人信息（包括共享、转让、公开披露个人信息等）时，告知提供个人信息的目的、涉及的个人信息和接收方类型，以及所承担的相应法律责任等”,“当个人信息控制者发生收购、兼并、重组等变更时，个人信息控制者应向个人信息主体告知有关情况，重新取得个人信息主体的明示同意”

因此，在Open API开发合作模式或其他需要向第三方提供数据时，数据提供的前提是数据提供方已经取得用户同意；同时，第三方在使用用户信息时还应当明确告知用户其使用的目的、方式和范围，并再次取得用户的同意。

（四） 其他个人信息处理的常见违规情形

除前述情形外，《测评报告》对下属违规情形也作了明确提示：

href="">三、 应对措施

基于上述法律、法规及案例，面对即将到来的专项治理行动，提前做好企业的信息收集及使用合规自查和建设，不但有利于降低企业自身的法律风险，也有利于增强用户对企业的信任感。建议企业可以从以下四个维度进行预防工作：

1、必要性原则收集信息，避免过度收集：

从目前的行业实践来看，大部分企业都将用户的知情同意作为个人信息收集的充分合规条件，而忽略的必要性原则的门槛。事实上，相比用户的授权同意，必要性收集原则应当是企业在实践中应当把握的第一道防火墙，其所收集的信息首先必须是其为应用程序运行及功能实现目的而必要的用户数据。因此，企业必要理清自身产品与服务的具体业务功能以及实现该功能所必要的个人信息类型，收集频率和数量。

2、明示同意收集原则，正确取得用户个人信息授权：

企业在取得用户授权时，可以参考《安全规范》中提出“主动勾选”的方式，在用户首次安装App时应当涉及弹出窗口明确“核心功能需要的个人信息”、“附加功能需要的个人信息”以及“共享、转让、公开披露的个人信息”等页面，保证用户明确了解并主动做出勾选。

此外，在取得用户授权时应尽量给用户提供“确认授权”、“确认同意”的点击操作步骤，避免采用“默认授权”、“一揽子授权”或者变相“强制授权”的方式：在注册页面中直接标注“已阅读并同意XX协议”、“点击注册即表示同意”的模式，或对于用户不同意授权部分非影响核心功能的信息而拒绝提供服务，停止按照等变相强迫用户行为都可能涉嫌违反信息收集要求。

3、 公开性原则，注意用户协议、隐私政策设置，并在其中明示收集信息目的、方式和范围，公开收集规则、查询、更正信息的渠道已经拒绝信息的后果等。根据相关规定，企业应当制定用户协议、隐私政策，并置于易于用户访问的位置。在用户协议、隐私政策条款设置时还应当注意个人信息保存期限、停止运营、修正、免责条款等内容安排。《安全规范》在附录中提供了隐私政策的相关模板，企业可以参考相关模板并根据自身业务需求进行相应调整和修改。

4、 在数据共享或接受第三方数据时，应当重点关注数据提供方的数据收集，以及使用数据的合规性：

在对数据提供方进行合规核查时，应当注意数据来源合法性，可以核实对方与被收集人的《用户协议》、隐私政策模板等内容是否合理，授权方式是否合理、被收集人是否明知该数据被收集，协议中约定的收集数据是否与已提供数据存在冲突？例如，协议中并未约定地理位置的收集，但所提供数据却包含该类数据。当然，在实践中对数据提供方进行较为完善的合规尽职调查往往是比较难操作的，建议企业可以与提供方签订保证协议，保证其向第三方提供数据已合法获得被收集人授权。但需要说明的是，一旦查证确实发生了侵犯个人信息的行为，该协议仅通过违约责任要求第三方赔偿，但无法免责接收方可能触发的行政及刑事责任。

此外，企业在自身使用相关数据时，也应当遵循必要性原则，仅接收和使用必要的数据。在以Open API方式及相关合作时，除了严格遵循必要性原则同时，还应当取得用户对相关数据使用的再次明示授权。

[1] 《网络安全法（征求意见稿）》第31条，公共通信和信息服务，能源、交通、水利、金融、公共服务、电子政务等重要行业和领域中用户数量众多的网络服务提供者所有或者管理的网络和系统（即“关键信息基础设施”）。

同学汇是创新工场强大投后服务能力的内容输出频道，我们将通过但不限于沙龙、讲座、交流、撰文等形式，提供创业公司成长需求模块（财务、法务、市场、人力、技术、运营、产品）的干货内容。同学汇，会同学，自我驱动，共同成长。

——————————————————————

本文作者为创新工场法务 杨甜

欢迎关注创新工场的微信公众号：chuangxin2009。

那里是另一个创新工场和创业者的沟通交流平台，您可以学习创业相关的法务、市场、财务、HR等各个业务领域所需的知识干货，还有机会参与到创新工场举办的创业者培训、沙龙和其他各类活动中。