國外關于App收集使用個人信息的立法狀況
近年來,App的迅猛發展使得個人信息安全問題更為復雜和多樣化。法律法規無疑是治理違規App的根本依靠和有力抓手,本文梳理了國外個人信息保護的相關法律法規,為業界提供參考。
一、國外立法基本情況
目前,國內外沒有專門針對App個人信息保護的法規,相關個人信息保護要求包含在對網絡運營者的數據安全保護義務和責任中。美國關于個人信息的保護原則集中見于1973年“公平信息實踐法則”(FIPPS),并根據行業特點制定各行業隱私法律,如《金融隱私權法案》《健康保護隱私及責任法案》《有限通訊隱私權法案》。關于聯邦層面的立法,2012年提出《消費者隱私權利法案》,一直未予發布。2018年,加利福尼亞州頒布《加州消費者隱私保護法案》(CCPA),體現了美國關于個人信息保護的最新理念,被認為是美國國內最嚴格的個人信息立法。歐盟2015年發布的《通用數據保護條例》(GDPR),圍繞個人數據的收集、使用、保存、分享、轉移等,對數據控制者和處理者、數據主體的權利義務進行了全面規定。隨后,巴西、印度也發布個人信息保護法案。此外,APEC跨境隱私規則(CBPR)等國際組織的隱私框架對全球數據保護也產生了積極影響。
二、收集使用個人信息的基本要求
(一)透明性 “知情—同意”框架是國際通行的關于收集數據主體個人信息的基本要求,也是我國《網絡安全法》所賦予的收集使用信息的唯一正當理由。知情的前提是透明性,GDPR的核心原則之一就是,數據控制者必須以清楚簡單明了的方式向個人說明其個人數據是如何被收集處理的。任何與個人數據處理有關的信息都必須以明顯、易獲取、易閱讀的方式展示,而且要使用清晰、簡明的,數據主體可理解的語言(特別是在數據主體中包括未成年人的情況下)說明。告知的內容大致包括數據控制者名稱、注冊信息、地址、數據安全負責人聯系方式等基本信息,收集使用個人信息的類型、目的、方式、范圍等,披露、共享第三方的規則,境外轉移的規則和保障措施,數據主體刪除權、更正權等基本權利及其實現方式,投訴舉報渠道等。 同時,原則上個人信息的使用要在聲明的范圍之內,對個人數據的留存期限不能超過其處理目的,如果個人信息變更適用目的、方式和范圍,需要再次明確告知數據主體并征得數據主體同意。 除了數據主體同意外,還提供了其他合法收集事由。如GDPR除了知情同意原則還規定合法收集、處理個人信息的5種情形:為了履行數據主體與數據控制者之間的合同必須處理其個人數據,或者為了基于數據主體請求而簽訂合同必須處理其個人數據;遵守法律義務所必須;為了保護數據主體或者其他自然人的重大利益;為保護公共利益;對于數據控制者或者第三方所追求的正當利益目的是必要的,且不低于需要保護其個人數據的自然人的利益或者基本權利和自由。《巴西通用數據保護法》(LGPD)將對個人數據的收集、適用、傳輸、刪除等任何操作統一稱為“個人數據處理”進行規范,除了數據主體同意外,還規定了9種個人數據處理的合法事由,如遵守法律和監管義務、公共部門需求或實現合同目的、履行對數據主體的義務、保護生命財產安全等。
(二)數據主體的控制權 CCPA指明,個人就其個人信息的使用和出售的控制能力對于隱私權而言具有基礎性意義。GDPR 、CBPR等也都強調消費者對個人信息的控制權,賦予數據主體對個人信息的一系列控制權。如訪問權,數據主體有權要求收集個人信息的數據控制者向消費者披露其收集的信息類別和具體內容;刪除權,數據主體有權要求數據控制者刪除其所收集的任何個人信息。數據控制者需要遵守的義務包括了需要根據數據主體要求披露收集了哪些消費者的個人信息,根據數據主體的要求刪除相關數據;尊重數據主體選擇不出售個人數據的權利,不得通過拒絕給消費者提供商品或服務,或對商品或者服務收取不同的價格或者費率的方式歧視消費者。 此外,GDPR還賦予數據主體對反對權和限制處理權,數據主體有權在特定情況下,隨時反對處理其個人數據,可隨時反對因商業目的的直接營銷行為;數據主體在對被處理個人數據準確性提出質疑、不再為處理目的所需時可以要求要求(暫時)限制處理其個人數據,在限制處理期間,“標記的”個人數據只能由控制者存儲。禁止進行其他與“標記的”數據有關的處理活動。數據控制者必須全面記錄其數據處理活動,確保所有行動有據可查,包括數據處理目的、數據類型、數據接收者類別、保存時間、安全保障措施等,并保留有與數據處理者的合同附件。
(三)嚴格的處罰措施 CCPA與GDPR都對違規行為設定了較重的處罰。GDPR規定數據控制者會面臨最高處以2000萬歐元或上一財年全球營業額4%的行政處罰(以較高者為準);而CCPA規定,由于數據控制者違反義務而未實施和維護合理安全程序以及采取與信息性質相符的做法來保護個人信息,從而遭受了未經授權的訪問和泄露、盜竊或披露,則消費者可因以下任何一項而提起民事訴訟,數據控制者會面臨支付給每位消費者最高750美元的賠償金以及最高7500美元的損害賠償金或實際損害賠償金,以數額較大者為準。
三、主要區別
各國關于個人信息保護的差異性,主要體現在個人信息收集使用規則的嚴格程度上。
(一)個人信息的范圍 CCPA和GDPR對于個人信息都作了較寬的界定,而CCPA對于個人信息的定義比GDPR更為廣泛,是指能夠直接或間接的識別、描述與特定的消費者或家庭相關或合理相關的信息,包括但不限于真實姓名、別名、郵政地址、唯一的個人標識符、在線標識符、互聯網協議地址、電子郵件地址、生物信息、商業信息、地理位置數據以及教育信息等。一是CCPA將家庭、身份關聯的和設備的信息納入了個人信息的范疇。例如反映家庭年度用水或能源消耗或者特定員工的工作描述(IP地址、網絡瀏覽記錄等)也被規定為個人信息范疇。二是GDPR將構建數據主體的“概要語言”作為個人信息范疇,而CCPA有關消費者的推斷也作為個人信息的一部分。個人信息包括“從本細分中確定的任何信息中得出的推論,以創建一個關于消費者的檔案,反映消費者的偏好、特征、心理趨勢、偏好、傾向、行為、態度、智力、能力和資質。”
(二)選擇進入VS選擇退出 在CCPA中,對于16歲以上的消費者的個人信息處理,采取美國一以貫之的“opt-out”模式(如《格雷姆-里奇-布萊利法案》和《控制未經征求的色情和營銷攻擊法案》也包含某些選擇退出要求),即除非數據主體拒絕或退出,數據控制者可繼續處理數據主體的個人信息。CBPR同樣只審查數據控制者是否使數據主體在收集個人信息時能夠行使選擇權,并沒有限定為選擇進入的方式。 在GDPR、LGPD、我國《網絡安全法》都采取(“opt-in”)模式,數據控制者收集、處理數據主體個人數據之前必須要獲得消費者的同意,即選擇進入;一是同意必須是在充分知情的前提下明確、清晰的、具體的方式自主做出的。數據主體同意是也必須明確的。GDPR規定,同意指“數據主體通過書面聲明或經由一個明確的肯定性動作,表示同意對其個人數據進行處理。該意愿表達應是自由給出的(freely given)、特定具體的(specific)、知情的(informed)、清晰明確的(unambiguous)”。同意必須是在知情的情況下作出的,應以易于理解且與其他事項顯著區別的形式呈現,不能對其意愿留有不明確的空間。如果數據主體的同意是在一個包含其他事項的書面聲明中作出的,則該書面聲明中的同意請求應當具有明顯的辨識度,以便與其他事項進行區分。根據歐洲隱私監管機構組成的獨立咨詢顧問機構——第29條工作組(以下簡稱第29條工作組)的意見,不明確的同意不適用于基于不作為或者沉默取得同意的方式。LGPD規定,如果同意是以書面形式提供的,應區分于其他合同條款,并單獨、重點顯示。APEC跨境隱私規則(CBPR)要求要有清晰、易訪問的隱私聲明。二是數據主體有權隨時撤回其同意。GDPR規定,數據主體必須在作出同意前被告知其撤回權,同意的撤回應當和同意的作出同樣容易,撤回不影響在撤回前基于同意對其個人數據的處理。LGPD規定,同意可以通過便捷和免費的流程,隨時被數據主體明確表示撤回。三是數據控制者對數據主體的“同意”承擔舉證責任。根據29號工作組對GDPR的解釋,數據控制者應當能夠證明數據主體已經同意處理其個人數據,也即舉證責任是數據控制者的。LGPD規定,數據控制者有責任證明已依法取得數據主體同意。
(三)目的限定VS目的明確 CCPA保持了與歐盟個人數據保護法的最大差異,也即對產業利益的強烈關注。為了最大限度促進數據產業發展,美國在個人信息保護理念上更加注重對個人信息的利用,而非收集,對于收集采取目的明確的原則。正如美國的《大數據與隱私報告》指出:信息所具有敏感性,以及與一般商業活動、政府行政或者來自公共場合的收集中的大量數據的難以分割性,使得規制這些信息的使用比規制收集更合適。CCPA只強調消費者的知情權和控制權,只要消費者明確知道且同意其個人信息使用目的即可,而不將使用目的限定在實現業務功能所必須的范圍內。此外,CCPA提出“財務激勵計劃”,賦予個人信息財產屬性。數據控制者可以為個人信息的收集、出售或者刪除提供財務激勵,包括向消費者支付賠償金。如果價格或差異與消費者通過提供其數據而產生的價值直接相關,數據控制者還可以以不同的價格、費率、水平或質量向消費者提供商品或服務。 而GDPR明確了目的限定原則和數據最小化原則,數據控制者收集信息必須基于特定、明確、合法的目的,且對于實現業務功能需求來說是最小必要的,除非符合公共利益、科學研究等正當目的,對其使用也要嚴格控制在此目的范圍之內。同時,賦予了歐洲公民可以拒絕數據控制者利用搜集到的個人信息來進行自動判斷和決策的權利,這給很多強調數據主體體驗和個性化服務的大數據數據控制者和互聯網數據控制者帶來了商業模式上的沖擊。
(四)行政監管VS消費者集體訴訟 不同于隱私權的私法屬性,個人信息所具有的公共屬性越來越明顯,美歐都沒有將個人數據得到保護的權利泛化為一般性的私法權利,而是采取公法保護或消費者權益保護的路徑。GDPR、我國《網絡安全法》主要以行政監管和處罰來規制數據處理者和控制者的個人信息收集使用行為,尤其是GDPR通過高額罰款形成震懾。CCPA采取消費者保護路徑,將損害賠償一事授予了個人,規定了私人訴訟權,同時限定為集體訴訟模式,通過賦予州檢察長執法的專有權力和規定一些必須滿足的條件,如對數據控制者進行書面違規通知,給予其30日解決違規行為的機會。
四、我國目前存在的幾點問題 我國關于App收集使用個人信息規范主要在《網絡安全法》《消費者權益保護法》《電子商務法》等法律法規中,大多為原則性規定,存在很多模糊地帶,落地難度較大。 (一)尤其缺乏對應用商店和智能終端安全責任的規定。目前,應用商店為了擴充App產品,增強競爭力,對于上架App個人信息安全審核十分薄弱,造成違法違規App橫行無阻。在某些情況下,智能終端本身系統設計對于App進行收集使用合規設計造成一定技術限制或較高成本。規制上述行為缺乏依據。 (二)必要性收集原則難以落地。App種類繁多、功能各異,并且App為了擴展業務范圍不斷擴充自身業務功能,其核心業務功能和附加業務功能的界限日益模糊。以改善數據主體體驗、研發新產品為由不斷擴展收集范圍,每項業務功能所必須的個人信息范圍難以統一界定。如何判斷其是否超范圍收集或收集與業務功能無關的個人信息是管理實踐面臨的難題。 (三)目前很多App是以收集數據主體信息進行自動化決策為其營利的有效手段,通過大量收集與數據主體有關信息開展廣告推送等業務,方法和行為十分隱蔽,違規行為較難認定,如采取監管措施過嚴,將會對現有商業模式構成較大沖擊。 來源:中國信息安全
