引言
2022年6月13日,全国信息安全标准化技术委员会秘书处发布推荐性国家标准《信息安全技术 移动智能终端的移动互联网应用程序(App)个人信息处理活动管理指南》征求意见稿(以下简称“《App个人信息处理活动管理指南》”)。
经过认真阅读征求意见稿,并将其中的规定与《个人信息保护法》等法规进行对比研究,发现了5处值得商榷的问题。本文是5个问题中的一个,希望能够与关心这一领域的各位朋友多多探讨交流。
1►移动智能终端也应予以规范
App个人信息处理活动管理指南主要是要求移动智能终端在APP收集、使用个人信息时提供管理、提示、控制等功能,从APP的常见载体即移动智能终端角度,为APP在个人信息收集、使用中易产生的问题提供合规解决方案及标准。
仔细阅读App个人信息处理活动管理指南就会发现,从移动智能终端角度提出的措施都非常实用,而且有不少已经被主流厂商应用在各自最新的机型和操作系统中了。这就相当于《电子商务法》中,对平台予以规范,希望通过规范平台来约束数量庞大的商家行为,不仅效率高而且效果好。
但是有一个问题是,移动智能终端要想实现App个人信息处理活动管理指南中提出的对App行为的管理、提示等功能,就不可避免地要收集、使用个人信息。以“记录APP调用个人信息行为”为例,移动智能终端要想实现这一要求,就要对用户下载什么APP、如何使用APP、是否卸载APP等信息做充分的收集、分析。那移动智能终端作为个人信息处理者处理个人信息的依据又在哪里呢?
2►关于移动智能终端规范的依据
首先,移动智能终端是否处理了个人信息?这个应该是毫无疑问的。不说移动智能终端自带的通讯录、相机、定位系统等功能,就以App个人信息处理活动管理指南要求的“记录APP调用个人信息行为”,这其中涉及的应用程序列表就属于个人信息,还是敏感个人信息。那么,移动智能终端处理个人信息的合法性依据是什么?
为方便讨论,后续均以“记录APP调用个人信息行为”为例来论述。
《个人信息保护法》第13条确定了个人信息处理者的7个合法性依据,可能适用于上述场景合法性依据的有:(1)取得个人的同意;(2)为订立、履行个人作为一方当事人的合同所必需;(3)为履行法定职责或者法定义务所需;(4)法律、行政法规规定的其他情形。
我们先从上述第3个依据开始讨论,即移动智能终端在App个人信息处理活动管理指南项下的义务,算不算履行法定职责或者法定义务?法定职责指的是公权力机关依法享有的职权和必须履行的义务,肯定不适用于本次讨论的场景。
那移动智能终端是否属于法定义务呢?法定义务是指信息处理者(非公权力机关或法律法规授权的具有管理公共事务职能的组织)依据法律法规的规定而负有的义务。法定义务中的“法”应当仅限于法律和行政法规层面,原因有二。第一、取得个人的同意应为原则,只有在出现其他合法性依据时才无需取得个人同意。如果因为其他低位阶的法规确定的义务就可以成为不取得个人同意的理由,则容易导致个人信息处理者打着“法定义务”的幌子随意处理个人信息。第二,《个保法》第13条第2款第7项明确规定了合法性依据的兜底条款“法律、行政法规规定的其他情形”,从系统性解释来看,法定义务的“法”也只限于法律和行政法规层面。
而目前,我国还没有法律或行政法规层级的规定,要求移动智能终端必须要处理个人信息。因此上述的第3点与第4点作为合法性依据的可能性均予以排除。
那么第2个依据,移动智能终端处理个人信息是否为订立、履行个人作为一方当事人的合同所必需呢?用户在使用移动智能终端时,在首次开机启动后,都需要同意移动智能终端的相关用户协议才能正常使用。但是这里需要强调的点是,“记录APP调用个人信息的行为”,是不是该合同所必需。根据App个人信息处理活动管理指南及GB/T 34976-2017《信息安全技术 移动智能终端操作系统安全技术要求和测试评价方法》中关于移动智能终端及移动智能终端操作系统的定义:
移动智能终端:接入公众移动通信网络、具有操作系统、可由用户自行安装和卸载应用软件的移动通信终端产品。
移动智能终端操作系统:移动智能终端最基本的系统软件,控制和管理终端上的各种硬件和软件资源,并提供应用程序开发的接口。
记录APP调用个人信息行为,并不是移动智能终端及其操作系统的基本功能,或者说不记录APP调用个人信息行为会导致移动智能终端及其操作系统无法运行。因此,记录APP调用个人信息行为并非履行合同所必需,也即不能以第2个依据作为合法性依据。
最后,移动智能终端“记录APP调用个人信息行为”只能是基于个人的同意。实际上,IOS 15.2以后的版本就已经有了APP隐私报告的功能,旨在让用户全面地了解所用APP如何处理个人信息。而这一功能在初次使用时,都会取得用户的同意。因此,综上所述,移动智能终端在“记录APP调用个人信息行为”只能是基于个人的同意,而且也必须获取个人的同意。
3►关于移动智能终端的规范建议
《个保法》第15条,基于个人同意处理个人信息的,个人有权撤回其同意。
由此延伸出来的问题是,移动智能终端需要基于同意处理个人信息,个人也应有权撤回其同意。也就是说,智能移动终端“记录APP调用个人信息行为”,除了应当获取个人同意之外,还应当允许个人撤回同意,也即关闭该功能。
综上所述,移动智能终端作为个人信息处理者,在处理个人信息尤其是敏感个人信息时,也应当符合《个保法》的相关规定。App个人信息处理活动管理指南在制定时不仅要以规范App为目标,同时也应兼顾App的载体即智能移动终端及其操作系统的规范性。
接下来会陆续发表关于App个人信息处理活动管理指南的其他建议,敬请期待。欢迎大家共同讨论,共同进步!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。