中國(guó)消費(fèi)者報(bào)訊(記者武曉莉) 當(dāng)你用手機(jī)叫車(chē)的時(shí)候，可能會(huì)本能地覺(jué)得你的信息就只是被打車(chē)軟件獲取了。其實(shí)不僅于此。假如軟件中嵌入了外部的人臉識(shí)別服務(wù)，人臉信息還會(huì)同時(shí)被第三方收集;

當(dāng)你用軟件找房時(shí)，軟件為你提供周邊房源地圖時(shí)，就至少和地圖服務(wù)商共享了你的位置信息;

當(dāng)你在微信上找代駕時(shí)，除了微信，代駕公司其實(shí)也通過(guò)小程序拿到了你的個(gè)人信息;

……

在APP個(gè)人信息保護(hù)實(shí)踐中，這種外部接入場(chǎng)景觸發(fā)了一系列的個(gè)人信息保護(hù)難題：個(gè)人信息主體、主產(chǎn)品或服務(wù)提供方及外部接入方之間的法律關(guān)系如何界定?主產(chǎn)品或服務(wù)提供方、外部接入方分別承擔(dān)怎么樣的個(gè)人信息保護(hù)義務(wù)?個(gè)人信息主體的權(quán)益受到損害時(shí)，各方的責(zé)任如何分配?等等。2020版《個(gè)人信息安全規(guī)范》(以下簡(jiǎn)稱(chēng)2020版《安全規(guī)范》)給出了規(guī)制路徑，相關(guān)法律專(zhuān)家也對(duì)此進(jìn)行了解讀。

委托處理場(chǎng)景如何識(shí)別

“外部接入場(chǎng)景下，在APP用戶(hù)即個(gè)人信息主體的感知中，其使用或接受的是APP提供方——個(gè)人信息控制者提供的產(chǎn)品或服務(wù)(也就是主產(chǎn)品或服務(wù))，然而，外部接入方產(chǎn)品或服務(wù)其實(shí)也會(huì)存在收集用戶(hù)個(gè)人信息的行為。”北京觀韜中茂(上海)律師事務(wù)所李思筱律師指出，此前的《信息安全技術(shù) 個(gè)人信息安全規(guī)范》并未對(duì)此做系統(tǒng)性規(guī)定。但在實(shí)際監(jiān)管過(guò)程中，外部接入場(chǎng)景下的個(gè)人信息保護(hù)問(wèn)題越來(lái)越突出，2020版《安全規(guī)范》在這個(gè)問(wèn)題上邁出了一大步。主要是通過(guò)新增第三方接入管理，并明確委托處理、共同個(gè)人信息控制者的適用關(guān)系等條款，基本上解決了此類(lèi)場(chǎng)景等大部分問(wèn)題。

“雖然2020版《安全規(guī)范》對(duì)委托處理未做具體定義，但根據(jù)條款的措辭來(lái)看，個(gè)人信息控制者的行為屬于委托行為，其與外部接入方的關(guān)系應(yīng)為委托關(guān)系。”李思筱認(rèn)為。根據(jù)《合同法》中“受托人應(yīng)當(dāng)按照委托人的指示處理委托事務(wù)”的規(guī)定，受托人根據(jù)與委托人的約定，按照委托人的指示處理委托事務(wù)的，雙方的法律關(guān)系為委托關(guān)系。委托處理場(chǎng)景下，第三方對(duì)相關(guān)個(gè)人信息處理目的、方式和行為等，通常是依照主產(chǎn)品或服務(wù)提供方的指示和雙方約定進(jìn)行的。

以常用的打車(chē)軟件(主產(chǎn)品或服務(wù))為例，軟件中嵌入了人臉識(shí)別SDK(軟件工具包)，通過(guò)收集司機(jī)的面部識(shí)別特征來(lái)對(duì)入駐司機(jī)的身份進(jìn)行核驗(yàn)。人臉識(shí)別服務(wù)供應(yīng)商完全依照打車(chē)軟件運(yùn)營(yíng)公司的委托，對(duì)司機(jī)面部識(shí)別特征進(jìn)行收集和使用。收集的面部信息僅用于在司機(jī)接單駕駛服務(wù)中，判斷司機(jī)是否為活體，并識(shí)別是否為本人駕駛等。在委托處理完成后，人臉識(shí)別服務(wù)供應(yīng)商將刪除或匿名化處理收集的司機(jī)個(gè)人信息。

共同控制場(chǎng)景如何識(shí)別

“如何辨析第三方場(chǎng)景是否屬于共同個(gè)人信息控制者，主要取決于外部接入方對(duì)個(gè)人信息是否具有控制權(quán)。”李思筱說(shuō)，“2020版《安全規(guī)范》未明確界定標(biāo)準(zhǔn)。參考其中相關(guān)概念的定義以及境外立法中類(lèi)似概念的定義，我們總結(jié)了兩個(gè)認(rèn)定要素，即雙方都具有決定相關(guān)個(gè)人信息處理目的、方式等的能力，相關(guān)個(gè)人信息處理的目的、方式等由雙方共同決定，要同時(shí)滿(mǎn)足這兩個(gè)條件。”

以某租房APP為例，為了給用戶(hù)提供地圖找房服務(wù)，接入了某地圖服務(wù)應(yīng)用程序API(應(yīng)用編程接口)。用戶(hù)在租房APP中使用地圖找房服務(wù)時(shí)，租房APP會(huì)告知用戶(hù)需要獲得其定位信息。與此同時(shí)，地圖服務(wù)應(yīng)用程序的API接口也收集了用戶(hù)的實(shí)時(shí)位置信息，用以向用戶(hù)提供周邊地圖及房源信息。

李思筱說(shuō)，上述場(chǎng)景中，為提供地圖找房服務(wù)收集用戶(hù)實(shí)時(shí)位置信息的個(gè)人信息處理行為，由租房APP提供方及地圖服務(wù)應(yīng)用程序API接口提供方共同決定，且雙方具有決定相關(guān)個(gè)人信息處理目的、方式等的能力，因此，雙方至少在用戶(hù)實(shí)時(shí)位置信息收集階段，構(gòu)成了共同個(gè)人信息控制者。

還有一種不屬于上述兩種場(chǎng)景的，可以歸為其他外部接入場(chǎng)景。

以微信為例，當(dāng)用戶(hù)在微信中使用接入其中的某代駕小程序時(shí)，雖然仍停留在微信中，但實(shí)際上卻是在使用代駕小程序運(yùn)營(yíng)公司獨(dú)立提供的服務(wù)。而且，從技術(shù)原理上來(lái)說(shuō)，小程序無(wú)需調(diào)用微信APP提供的輔助接口，就能夠直接對(duì)用戶(hù)使用代駕服務(wù)時(shí)所需的用戶(hù)個(gè)人信息進(jìn)行收集、使用。而且，上述收集、使用行為并不以微信APP同意為前提。不僅如此，用戶(hù)在使用代駕小程序時(shí)產(chǎn)生的數(shù)據(jù)信息，微信APP并無(wú)法獲得。

不同場(chǎng)景下保護(hù)義務(wù)如何分配

“辨析不同法律關(guān)系的目的，是厘清不同接入場(chǎng)景下，各方應(yīng)該對(duì)用戶(hù)個(gè)人信息保護(hù)承擔(dān)何種義務(wù)。”觀韜所王渝偉律師說(shuō)。

根據(jù)2020版《安全規(guī)范》的規(guī)定，在委托處理場(chǎng)景中，APP商家具有個(gè)人信息控制者、委托方雙重身份，其應(yīng)承擔(dān)的個(gè)人信息保護(hù)義務(wù)較多。一是遵守規(guī)范中的全部相關(guān)要求;二是要確保委托行為在已獲得的個(gè)人信息主體授權(quán)范圍內(nèi)、進(jìn)行安全影響評(píng)估、對(duì)受委托者進(jìn)行監(jiān)督、記錄和存儲(chǔ)委托處理個(gè)人信息情況、得知或者發(fā)現(xiàn)受委托者未按照委托要求處理個(gè)人信息等。而外部接入方在此場(chǎng)景下承擔(dān)的義務(wù)主要是與APP商的合同義務(wù)。

“共同控制場(chǎng)景下，個(gè)人信息安全方面的責(zé)任和義務(wù)的明確，是商家雙方通過(guò)合同等形式在內(nèi)部分配的。”王渝偉說(shuō)，“從2020版《安全規(guī)范》內(nèi)容看，在這種場(chǎng)景下，外部接入方可以用自己的方式向用戶(hù)告知相關(guān)收集、使用行為并獲取同意。也就是說(shuō)，如果不單獨(dú)告知用戶(hù)和獲取同意，也是不違規(guī)的。但是，主產(chǎn)品或服務(wù)提供方的責(zé)任比較重，不僅有義務(wù)向用戶(hù)明確告知，而且要承擔(dān)因外部接入方引起的個(gè)人信息安全責(zé)任。”

王渝偉表示，根據(jù)2020版《安全規(guī)范》的相關(guān)規(guī)定，在其他外部接入場(chǎng)景下，APP方要對(duì)第三方接入進(jìn)行從流程、安全評(píng)估、告知用戶(hù)、簽署合同、個(gè)人信息安全管理監(jiān)督以及自動(dòng)化工具個(gè)人信息收集、使用檢測(cè)與審計(jì)等方方面面的管理工作。外部接入方需要根據(jù)相關(guān)實(shí)際法律關(guān)系或約定承擔(dān)相應(yīng)的義務(wù)。

王渝偉認(rèn)為，第三方SDK違法違規(guī)收集個(gè)人信息、外部接入場(chǎng)景下的個(gè)人信息保護(hù)等問(wèn)題一直比較突出，合規(guī)義務(wù)該誰(shuí)承擔(dān)等問(wèn)題也引起了行業(yè)內(nèi)的廣泛討論和關(guān)注，這些也是促成相關(guān)規(guī)范修訂的重要原因。“2020版《安全規(guī)范》顯然已經(jīng)補(bǔ)上了監(jiān)管的短板，監(jiān)管層的個(gè)人信息保護(hù)思路正逐步清晰。”王渝偉說(shuō)。

●編后

從APP個(gè)人信息安全問(wèn)題的現(xiàn)狀、隱患，到APP注銷(xiāo)條件設(shè)置的合理性邊界，再到APP外部接入場(chǎng)景下個(gè)人信息保護(hù)的義務(wù)如何界定，APP個(gè)人信息保護(hù)問(wèn)題為什么如此復(fù)雜，癥結(jié)到底在哪?對(duì)于運(yùn)營(yíng)者來(lái)說(shuō)，以得寸進(jìn)尺、掩耳盜鈴的方式收集用戶(hù)個(gè)人信息，以刻意制造障礙的心態(tài)或者懶政的方式，給用戶(hù)使用和注銷(xiāo)制造障礙，在用戶(hù)個(gè)人信息保護(hù)義務(wù)方面扯皮推諉，無(wú)非都是出于APP運(yùn)營(yíng)者重利的考量。

但是，隨著監(jiān)管水平的提升、監(jiān)管力度的增加，以及全社會(huì)對(duì)個(gè)人信息保護(hù)問(wèn)題的重視，上述情況恐怕很難繼續(xù)下去了。只有切實(shí)把保障用戶(hù)權(quán)益放在首位，主動(dòng)合法合規(guī)經(jīng)營(yíng)，讓用戶(hù)方便、明白、安心地使用，才能真正保護(hù)社會(huì)公共利益的訴求，才是真正贏得用戶(hù)、留住用戶(hù)的最佳手段。