Loading
研究著作
App合规十讲(七):App运营商共享个人信息的注意事项

2021-06-21 09:13:05


【引言】
 
近年来,App强制授权、过度索权、超范围收集个人信息的现象越演愈烈。2019年以来,国家多部委重拳出击,着重整治App违规违法收集个人信息乱象。截至目前,已有几十款App遭到强制下架、上百款App被点名整改,App收集个人信息领域迎来了强监管元年。面对来势汹汹的强监管高压,App运营商该如何做好信息收集工作?哪些个人信息可以收集?哪些不行?其中有哪些风险点值得关注?接下来一段时间,本团队将陆续推出App合规的系列文章,为App运营商合规收集个人信息提供方法和思路。
 
本篇是系列文章的第七篇:App运营商共享个人信息的注意事项。
 
01 合规操作指引
 
App运营商不仅在收集、使用用户信息时需要注意合规操作,其在共享用户信息上也应该遵守相关的合规要求。首先,App运营商在共享个人信息时,应事先征得主体授权同意,如果个人信息属于敏感信息的,还应该事先征得主体的明示同意;其次,共享时应准确记录和保存个人信息的共享、转让情况等;最后,App运营商应事先开展安全影响评估,并依评估结果采取有效措施。
 
值得一提的是,如果App运营商是共享给境外的合作伙伴,还应当根据App运营商所处的行业来判断进行跨境共享可能面临的限制。如果App运营商是属于公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的运营商,则App运营商的数据共享出境将会严格受到监管;如果不是上述关键信息基础设施的运营商,仍会受到监管部门的审核监管。但由于现阶段监管部门尚未完全明确,App运营商共享出境或多或少都会受到影响。
 
02 司法实践难题
 
正如前文所述,App运营商在共享个人信息时,应事先征得主体授权同意,但司法实践中发现,所谓的“授权主体”不一定指用户,而可能是指互联网平台。2016年,微梦公司(新浪微博的运营商)以“第三方数据侵权”为由起诉淘友技术公司、淘友科技公司(脉脉软件和脉脉网站的共同运营商),法院判决认为“微博用户是微博的重要商业资源,这些用户信息是微博开展经营活动的基础,也是保持竞争优势的必要条件,脉脉的行为侵犯了微博的合法权利”;2019年,腾讯计算机公司、腾讯数码公司和腾讯科技公司(微信、QQ的共同运营商)以“第三方数据侵权”为由起诉北京微播视界公司(抖音运营商)、北京拍拍看看公司(多闪运营商),法院判决认为“经平台授权的数据要遵循‘最小必要原则’,平台授权的数据仅能用于登陆目的”,裁定“抖音和多闪的行为已经侵犯了腾讯的合法权利,支持腾讯提出行为保全的诉请”。换言之,法院认为互联网平台本身的长期积累使其自动获得对用户信息的占有权,其有权授权或者不予授权第三方App运营商使用用户信息。
 
法院的判决将导致实践中难以解决的难题:即假如个人信息的主体权利有可能是互联网平台,那么当用户不想将个人信息给与第三方应用程序,或者想把个人信息给与第三方应用程序时会发现自身丧失了该权利,将导致与生俱来的权利无法自决使用的问题。

03 第三方App运营商如何做好共享合规
 
撇开前述司法难题,根据 “脉搏之争”和“头腾大战”的案例,我们发现如果互联网平台长期垄断用户个人信息,第三方App将很难取得互联网平台的个人信息,无法进行用户信息的共享。遇到这种情况,该怎么处理呢?笔者认为,可从以下几个方面进行操作:
 
第一,由于“三重授权”原则已经获得实务上的认可,因此对于平台授权第三方App运营商的数据,该类数据仅可作为登陆目的使用,不能用于其他目的。第三方App运营商应运用技术手段,严格区分平台授权下获取的数据和自身获取的用户数据,建立隔离机制和定期审查机制,共享自身所获取的数据。
 
第二,如果第三方App运营商同时也是开放平台,那么第三方App运营商在草拟《开发者协议》中要做好自身数据的保护措施,可规定数据收集方在收集用户任何数据时,必须事先获得用户的明确同意,从而获得自主共享的权利。