疫情防控 | “风口”的安全降落伞——解读APP收集个人信息的最新规范
在近期疫情隔离的大背景下,大家更为依赖互联网为我们提供的便捷,尤其是移动互联网应用程序(“App”)已成为工作、社交、生活的重要组成部分与信息获取渠道。比如大家开始更为积极的利用各类的App来协助我们远程办公,鼓励通过App来传递春节的祝福和了解疫情的近况,以至于网友纷纷戏谑称“朋友圈不够刷”。App的便捷性在特殊时期得到了用户更为充分的认知,无疑将成为互联网经济越来越重要的入口。
但随着线下至线上的转型,如何做好App合规将成为企业需要关注的焦点。其中,由于大量App运营者倾向于尽可能多地收集与分析用户个人信息,以精准刻画出用户画像,构建低成本、高精准的用户群体数据库,获得可观的商业回报,如何合规的通过App收集个人信息将是App合规的重中之重。本文旨在通过对国家标准《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范(征求意见稿)》(“《规范》”)最新征求意见稿的解读,来帮助企业深化理解未来App监管的具体要求和发展方向,为App经济发展的风口提供安全合规的降落伞。
01
《基本规范》的出台背景
App强制授权、过度索权、超范围收集个人信息的现象大量存在,违法违规使用个人信息的问题十分突出,广大网民对此反映强烈[1]。为切实治理个人信息保护方面存在的乱象,2019年,中央网信办、工信部、公安部、市场监管总局(“四部门”)在全国范围内组织开展了全年的App违法违规收集使用个人信息专项治理(“App专项治理活动”),治理工作的关注点不仅包括形式层面的App隐私政策制定与起草、App产品功能的整体设置,还逐步深入至用户账户的注销管理、用户权利的响应机制、App处理个人信息所使用的技术模块(如SDK、API、Cookie等)与重要系统权限(如摄像头、存储读写、麦克风、位置、系统日志等)的调用是否合规等问题。
为落实《网络安全法》(“《网安法》”)第四十一条提出的“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意”和“网络运营者不得收集与其提供的服务无关的个人信息”等要求,遵循相关国家标准提出的个人信息最少够用原则,信安标委在2019年6月出台了《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》(“《App指南》”),针对“用户数量大、社会关注度高的移动互联网应用中存在的超范围收集、强制授权、过度索取等个人信息收集安全问题”[2],提出了个人信息收集的通用原则以及16种常见类型的App为实现各自基本业务功能所需的必要信息。在《App指南》的基础上,信安标委进一步起草了国家标准《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范(征求意见稿)》,分别于2019年8月5日、10月24日和2020年1月20日发布了三版《规范》的征求意见稿。从内容上,《规范》不仅提出了App收集个人信息的通用性基本要求,更全面覆盖30种App常见的服务类型,针对各服务类型分别规定了可收集的最小必要信息与需个人信息主体授予的最小必要权限范围。从适用范围上看,《规范》适用于移动互联网应用程序的开发和运营,也可用于移动互联网应用程序的技术评估、监督检查[3]。值得一提的是,虽然该《规范》目前仍处于征求意见阶段,但其吸收了App专项治理成果以及《App指南》的核心内容[4],因此对企业当前开展数据合规工作、积极应对目前的强监管执法态势已经有着重要的实践指导意义。
02
《规范》的发展与沿革
1. 三个《规范》版本的变化与发展
《规范》征求意见稿从去年8月至今已历经三版,每一次更新,均重点对第4章“App收集个人信息基本要求”、附录A“常用服务类型的最小必要信息”和附录B“常用服务类型的最小必要权限范围”进行补充、调整与优化。
第二版《规范》相比第一版《规范》,主要的更新内容包括:
(1) 调整第3章“术语与定义”中的部分内容,特别是扩展了本《规范》所规制的主体“移动互联网应用程序运营者”之内涵,在原有“移动互联网应用程序的所有者、管理者”的基础上还纳入了“移动互联网应用程序服务的提供者”,与《网安法》下网络运营者的定义保持一致;
(2) 将原第4章“App收集个人信息基本要求”的子类别“管理要求”和“技术要求”进行合并,并优化内容;
(3) 对附录A“常用服务类型的最小必要信息”中的部分服务类型所需最小必要信息及对应的使用要求进行完善,包括博客论坛、网络支付、金融借贷、运动健身、问诊挂号等。
最新的第三版《规范》相比第二版《规范》,主要的更新内容包括:
(1) 修改了第4章“App收集个人信息基本要求”,主要增加了“App应以制定隐私政策等方式公开收集使用个人信息规则”与“App运营者不应在个人信息主体明确表示不同意后,仍通过技术等其他手段继续收集个人信息”两项基本要求,并将“存在共享、转让个人信息的,App运营者应向个人信息主体提供实时查询数据接收方身份的途径”之要求修改为“通过间接方式收集个人信息的,App运营者应向个人信息主体提供实时查询数据提供方身份的途径”,要求APP运营者全面保障用户对于数据来源的知情权;
(2) 在附录A“常用服务类型的最小必要信息”和附录B“常用服务类型的最小必要权限范围”中增加了旅游服务、住宿服务、网络游戏、在线影音、儿童教育、电子图书、拍摄美化、应用商店、网络直播9个服务类型的最小必要信息和最小必要权限范围;
(3) 对附录A中的部分服务类型所需最小必要信息及对应的使用要求进行进一步完善。
2. 《规范》与《认定方法》的衔接
随着2019年App专项治理如火如荼的开展,App专项治理工作组已对超过1000款App进行了测评,并督促近300款问题严重的App进行整改[5]。四部门总结了一年来App专项治理工作成果,于2019年12月30日公布了《App违法违规收集使用个人信息行为认定方法》(“《认定方法》”),以《网安法》为基准,将App违法违规收集个人信息行为分为了“未公开收集使用规则”、“未明示收集使用个人信息的目的、方式和范围”、“未经用户同意收集使用个人信息”、“违反必要原则,收集与其提供的服务无关的个人信息”、“未经同意向他人提供个人信息”“未按法律规定提供删除或更正个人信息功能或未公布投诉、举报方式等信息”6大类共31种具体行为,为APP经营者设定了收集使用用户个人信息的红线,也为监管部门认定《网安法》的违法行为提供了操作指南。
对于“违反必要原则,收集与其提供的服务无关的个人信息”的行为,《认定办法》明确列举的违法违规行为包括:
(1) 收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;
(2) 因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;
(3) App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;
(4) 收集个人信息的频度等超出业务功能实际需要;
(5) 仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;
(6) 要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。
最新版《规范》在第4章提出的各项App收集个人信息基本要求,与《认定办法》在不少内容上互相衔接,意味着《认定办法》对各机构提出的不少认定App违法违规收集个人信息行为的指导意见,在未来将以国家标准的形式进一步转化为对App运营者的合规指导。两份文件相衔接的内容,主要表现为以下几点:
(1) 两者均要求App制定隐私政策等公开收集个人信息使用规则,且应在首次运行时以弹窗等明显方式告知该类规则的核心内容;
(2) 两者均要求App获得用户同意后,方可收集个人信息,《规范》更进一步要求App在个人信息主体明确表示不同意后,不应以技术等其他手段继续收集其个人信息;
(3) 两者均要求个人信息主体明确拒绝收集个人信息或使用某类服务后,App不得频繁征求个人信息主体的同意,或干扰其正常使用;
(4) 《认定办法》要求App在申请个人信息相关权限或申请收集个人敏感信息时,同步告知个人信息主体该行为的目的,而《规范》更进一步地将该同步告知的义务扩展至App要求个人信息主体输入任何个人信息的场景;
(5) 两者均强调个人信息主体收集个人信息或请求授予权限应符合最小必要原则,对于非最小必要信息的收集与非最小必要权限的请求必须征得个人信息主体的授权同意。
03
《规范》具有重要的实践意义
除与《认定办法》相互衔接的内容之外,《规范》的重要意义还在于其基于各行业的实践经验,对不同服务类型的App所需的“最小必要信息”和“最小必要权限范围”提出实验性指导,并基于“融入设计的隐私保护与默认的隐私保护”原则,对App产品设计和研发提出了更具体的要求。
1. 《规范》有利于指导企业遵守最小必要原则
无论是《网安法》、《民法总则》等法律法规,还是《GB/T 35273-2017个人信息安全规范》(“《个人信息安全规范》”)、《认定办法》、《App违法违规收集使用个人信息自评估指南》(“《评估指南》”)等文件,对于收集使用个人信息的必要性监管要求,多采用概括性描述和原则性规定的方式,将执法裁量权留给了行政监管部门,但各地行政监管部门的统一性还有待进一步提升,企业数据合规的完整性和稳定性难以保障。
在《规范》出台之前,相对合规的企业也只能综合考虑自身掌握的行业的普遍实践情况、监管部门公布的执法案例情况,来决定企业自身的业务实践标准、判定其遵守最小必要原则的情况。以工信部App侵害用户权益专项整治行动为例,2019年12月19日工信部公布存在侵害用户权益问题的App名单(第一批),指出快递配送类App“*送”、餐饮外卖类App“*鲜”、婚恋交友类App“*爱网”存在超范围收集个人信息情形,要求上述App必须在12月31日前完成整改,否则工信部将组织开展相关处置工作。在上述执法案例公布后,同类型的App运营企业很可能会将执法公告中披露的“超范围收集个人信息的行为”作为违法红线,对企业自身的业务实践进行审查和整改。
《规范》全面覆盖30种App常见的服务类型,结合各App类型,分别规定了各类App运营所需的最小必要信息和最小必要权限范围,对App运营者有更强的实践指导意义。从最新版《规范》的标准起草单位看,各行业的头部企业都参与了《规范》的起草和修订,相关的规定在实践中可能具有可操作性。
2. 融入设计的隐私保护与默认的隐私保护
融入设计的隐私保护(Privacy by Design)与默认的隐私保护(Privacy by Default)两个概念,自90年代以来被一些国家与地区采纳,作为隐私与数据保护的良好实践模式。而欧洲《通用数据保护条例》(“GDPR”)则进一步将该两个概念转化为GDPR第25条第1款“融入设计的数据保护”(Data Protection by Design)[6]与第25条第2款“默认的数据保护”(Data Protection by Default)[7]。融入设计的隐私保护是指系统、产品、服务或业务的设计与研发阶段即将个人信息保护措施与合规要求措施纳入考量。默认的隐私保护,则指在默认情况下系统、产品、服务或业务就应自动保护个人信息,且对个人信息的处理应自动遵守最小化原则,仅对为实现目的所必须的个人信息采取最小必要程度的处理。
《规范》主要对App个人信息的收集进行约束,而其规范思路与价值取向体现出了App在个人信息收集阶段的融入设计的隐私保护和默认的隐私保护理念。具体而言,《规范》在App的信息收集界面、功能设计等个人信息收集阶段即提出相应的具体合规要求,体现出融入设计的隐私保护理念,如,要求App运营者向个人信息主体提供实时查询已从该个人信息主体所收集个人信息类型的途径,且查询结果应通过在App开设独立界面的方式展示,且查询方式应易于操作;再比如,当App有两种或两种以上服务类型时,App运营者应允许个人信息主体逐项开启或关闭服务类型,开启或关闭的方式应易于操作。同时,《规范》的附件A和附件B还对各类App常见服务类型可收集的最小必要信息与最小必要权限范围进行了识别,以帮助App运营者在产品设计阶段即确定个人信息收集与授权请求的范围,体现出默认的隐私保护理念。
04
重点内容观察
1. 收集最小必要信息的认定
(1) 最小必要信息的范围
根据《规范》,最小必要信息指保障App所提供服务正常运行所需要的最少够用个人信息,包括一旦缺少将导致该类型服务无法实现或无法正常运行的个人信息,以及法律法规要求必须收集的个人信息。概括而言,最小必要信息主要包括App运营者实现服务所必需的信息和法律法规明确要求App运营者收集的信息。值得注意的是,上述最小必要信息的内容与GDPR下的“履行合同必要之目的收集个人信息”和“履行数据控制者法定义务之目的收集个人信息”相似。
以下,针对几类常见的个人信息,我们对《规范》中的具体规定进行了梳理。App运营者在收集相关的个人信息时,可以根据其App的性质与服务类型,评估其收集相关个人信息是否属于最小必要信息的范畴:
网络访问日志
法律法规要求的个人信息:基于《网络安全法》等相关法律法规要求和网络安全保障需要,所有《规范》列出的App服务类型均可收集IP地址、用户登录时间、用户退出时间等网络访问日志信息。但上述网络日志并不包括用户在App内的操作行为日志。
实现服务所需个人信息:无。
手机号码
法律法规要求的个人信息:基于法定的实名认证要求,App运营者可以收集用户的手机号码。《网络安全法》、《移动互联网应用程序信息服务管理规定》等法律规定对信息服务(如即时通讯、博客论坛、网络社区等)、网络支付、网络约车、网上购物等特殊类型业务提出了明确的基于手机号码的实名认证要求。
实现服务所需个人信息:基于联系用户等特定目的,在部分服务类型中,App运营者可以收集用户或其他人员的电话号码。举例而言,在餐饮外卖和快递配送业务中,用户应当提供收件和寄件人的联系信息。
身份证件信息
法律法规要求的个人信息:仅当具有严格实名制的要求时,相关App的运营者才可以收集用户的身份证件信息。根据《规范》,只有网络支付、网络游戏、交通票务等少数行业的特殊行业法规,才提出了基于身份证件信息的实名认证要求。
实现服务所需个人信息:只有在某些特殊行业中(基于行业实践经验,且未有明确法律规定),App运营者才可以收集相关用户的身份证件信息。目前《规范》仅在二手车交易、求职招聘、房屋租售的服务类型中规定了特殊的收集场景,比如在求职招聘中,为了对招聘者身份进行认证,需要收集招聘者的身份证信息。
位置信息
法律法规要求的个人信息:无。
实现服务所需个人信息:对于必须基于用户地理位置信息提供的服务,App运营者可以基于实现服务需要收集位置信息。《规范》仅规定在地图导航、网络约车、餐饮外卖、运动健身、旅游服务、酒店服务这6种服务类型中,App运营者可以为实现服务必须收集位置信息。
设备唯一识别码
法律法规要求的个人信息:在网络支付行业,根据《非银行支付机构反洗钱现场检查数据接口规范(试行)》的规定,App运营者可以收集用户的国际移动设备识别码(IMEI)。其他行业均无明确的法律规定要求。
实现服务所需个人信息:无。
(2) 收集最小必要信息的基本要求
根据《规范》,就收集最小必要信息而言,App运营者除按照上述最小必要信息范围评估收集个人信息的合法性和必要性之外,还应当遵守下述基本要求:
应在首次运行时通过弹窗等明显方式向个人信息主体告知收集最小必要信息规则,如隐私政策的核心内容;
当用户同意App收集某服务类型的最小必要信息时,App运营者不应因用户拒绝提供最小必要信息之外的个人信息而拒绝提供该类型服务;
应以实现服务所必需的最低合理频率向其后台服务器发送个人信息;
除法律法规的强制性要求外,当用户关闭某服务类型后,App运营者应终止该服务类型收集个人信息的活动,并对仅用于该服务的个人信息进行删除或匿名化处理。
(3)非必要个人信息的收集的法律要求
《规范》对于必要个人信息的范围的规定是非常明确和严格的,与目前很多企业的实践存在较大的差异。但相关App运营者超出必要个人信息的范围收集用户个人信息,并不必然构成违法违规收集个人信息的行为。
为规范App运营者对非个人信息的收集和使用要求,《规范》、《认定方法》、《评估指南》等文件也对非必要个人信息的收集、使用做出了明确的规定。综合来看,非必要个人信息的收集可分为两类:与App业务功能无关的信息和与业务功能有关的非必要信息,两类信息的收集管理要求有所不同:
与App业务功能有关但非必要的信息:App运营者收集的个人信息超出必要信息范围时,应当向用户明示其所收集个人信息的目的并经用户自主选择同意[8];
与App业务功能无关的信息:除法律法规的强制性要求外,App运营者不应收集与App所提供的服务无关的个人信息。
因此,各App运营者在梳理和评估其收集使用个人信息的必要性时,首先应当按照《规范》评估收集的信息是否在最小必要范围内。如果收集的个人信息超出《规范》约定的最小必要信息的范围,应当结合APP的具体业务功能判断,收集的信息是否与App业务功能相关:
如果不相关,应当立即停止收集和使用相关的个人信息;
如果与App实际业务功能相关,应当进一步评估公司是否已经取得了用户的明示授权,未取得授权的,应当取得用户的补充授权或停止收集和使用相关的个人信息。
2. 最小必要权限的认定
根据《规范》,最小必要权限范围是指用于收集某一服务类型最小必要信息且需要个人信息主体主动授予的智能移动终端操作系统权限。
根据上述定义,最小必要权限与最小必要信息密切相关,即便是最小必要信息的收集,相关的系统权限也应当由个人信息主体主动授予。
《规范》在其附录B中对地图导航、网络约车、即时通讯、网上购物、金融借贷等30类常用服务类型App的最小必要权限范围予以明确,为App运营者提供了实践参照。需要提起注意的是,《规范》将各类型App调用系统权限的最小必要范围限缩较紧,在30类常用的App服务类型中,大部分类型无最小必要权限,仅地图导航等11个服务类型设有最小必要权限,具体如下:
位置权限:地图导航、网络约车、餐饮外卖、运动健身
存储权限:即时通讯、短视频、安全管理、拍摄美化、应用商店、网络直播
相机权限:拍摄美化
短信权限:安全管理
通话记录权限:安全管理
读取设备权限:网络支付
对于非必要信息相关的操作系统权限,都不属于最小必要权限的范畴。参照非必要个人信息的监管要求,App运营者在申请开通非最小必要权限时,应当向用户明示其所收集个人信息的目的并经用户自主选择同意。
作为收集用户个人信息的渠道,App索要、调用权限的合法合理性一直以来受到监管机构和执法机关的关注。以“净网2019”行动为例,长沙市公安局岳麓网安大队、芙蓉网安大队通过技术检测发现2款App违反必要原则,频繁向用户索取与其提供服务无关的读取联系人和短信、检索正在运行的应用、录音等权限,公安机关认为该过度索取权限行为违反了《网络安全法》第41条“合法、正当、必要”原则的规定,对App运营者给予行政警告,并责令其整改到位。在2019年12月19日工信部公布存在侵害用户权益问的App名单(第一批)中,多款App也由于“不给权限不让用”“过度索取权限”乃至“频繁申请权限”而被要求整改。
3. 以《规范》等个人信息保护规范为指导,实现融入设计的、默认的隐私保护
如前文所述,2019年以来日益活跃的多部门联合执法活动呈现出App个人信息保护的强监管态势。无论是执法层面的具体整改案例,还是规范层面的《认定方法》与《规范》,均体现出监管机构已开始对App在产品的全生命周期提出了深入到业务功能的个人信息保护要求。显然,对于App运营者而言,仅以应对执法活动为目的,对其App应激式地加入个人信息保护措施,将越来越难以规避App的合规风险。以《规范》等个人信息保护规范为指导,在业务开展初期、产品研发阶段就纳入数据合规理念,将个人信息保护措施以及个人信息的最小必要处理原则有机地融入App和业务流程,实现App融入设计的、默认的隐私保护,才是今后的数据合规之道。
特别需指出的是,虽然《规范》主要约束App的个人信息收集行为,但《认定方法》和《个人信息安全规范》等规范性文件亦已对App使用、存储、共享、转让、披露个人信息等业务功能的全生命周期提出了融入设计的、默认的隐私保护要求。就此类要求如何在App设计与运营中落地,我们抛砖引玉,提出以下一些思路为例,供企业参考:
(1) 企业在设计App功能时,即需参照《规范》,根据App的具体服务类型,识别App需收集的最小必要信息及其使用要求,以及需向用户获取的最小必要权限范围;
(2) 企业可以参考《个人信息安全规范》附件D隐私政策模板,定制App的隐私政策,充分告知收集个人信息的目的、范围方式、处理规则等,以征得上述最小必要信息和最小必要权限的授权。此外,还需根据《规范》与《认定方法》的要求,设计App中告知隐私政策与征得用户同意的界面与交互逻辑;
(3) 企业也应当根据《规范》与《认定方法》的规定,设计App中用户拒绝收集特定信息或使用特定服务的途径,以及用户开启或关闭特定服务的功能,并使App具备根据用户行使拒绝权的具体情况而继续提供未被用户拒绝的服务的能力;
(4) 企业应参照《个人信息安全规范》的最小化原则与具体要求,设计App收集的个人信息的存储时限与保护措施,并确保个人信息的存储与用户授权内容相一致;
(5) 在涉及个人信息的委托处理、对外共享、转让、公开披露时,企业应根据《认定方法》与《个人信息安全规范》,设计App中充分告知并征得个人信息主体同意的交互功能,并对个人信息的接收方的进行数据安全合规的监督;
(6) 企业应根据《规范》、《认定方法》和《个人信息安全规范》的规定,设计App中用户查询、更正、删除其被收集的个人信息以及撤回特定授权的等用户权利响应的功能,并提供便捷的注销账户途径;
(7) 企业应根据《个人信息安全规范》的规定,设计App对其个人信息的处理记录以及用户授权的内容等重大合规事项的自动化日志留存功能。
05
总 结
《规范》征求意见稿的几度修改,体现了近期监管部门对App领域的关注已深入到个人信息收集、权限获取、用户权利响应机制、第三方插件和接口等具体功能,未来我国监管体系要求App领域全面落地融入设计的、默认的隐私保护理念势在必行。此外,《规范》对30个App常用服务类型的列举了最小必要信息与最小必要权限范围,亦说明了未来的App个人信息合规要求将不会止步于通用保护要求,而将根据App的各类服务与功能的特点提出具体的合规要求。在App个人信息保护的监管态势逐步全面深化的当下,企业更需要密切关注个人信息保护发展的动态,将数据合规的思维充分融入App的设计、研发、运营等全生命周期中。
无论是面向C端还是B端的App,都已经成为触达用户的重要入口。App的便捷性和直接性将让App经济在疫情期间以及未来很长的时间内处于高速发展的“风口”。做好App合规,尤其是个人信息合规将为App的发展提供安全的“降落伞”,不仅保护企业心无旁骛的服务用户,也能体现企业保护消费者权益的商业关怀,更让企业对于后续数据商业化打下合规的坚实基础。
[1] 中央网信办,“开展App违法违规收集使用 个人信息专项治理”,http://www.cac.gov.cn/2019-05/23/c_1124532020.htm,最后访问时间为2020年2月12日。
[2] 信安标委官网,“关于发布《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》的通知”,https://www.tc260.org.cn/front/postDetail.html?id=20190531230315,最后访问时间为2020年2月12日。
[3] 第1条,《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范(征求意见稿)》,2020年1月20日。
[4] 国家标准《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范》编制工作组,《国家标准《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范》(征求意见稿)编制说明》,2019年12月24日。
[5] 央视网,“App违法违规收集使用个人信息?官方划出六道“红线”,http://news.cctv.com/2019/12/31/ARTITTYvTIfD3BlCgKdO9zeO191231.shtml,最后访问时间为2020年2月12日。
[6] GDPR第25条第1款:考虑到当前的行业最高技术水平、实施成本、数据处理的性质、范围、背景和目的,以及数据处理对自然人的权利和自由造成的不同程度的风险,数据控制者在确定数据处理手段时和进行数据处理时,有效地采取适当的、为了实施如数据最小化等数据保护原则而设计的技术和组织性措施,如匿名化措施,并在数据处理过程中纳入必要的保护措施,以满足本法规的要求并保护数据主体的权利。
[7] GDPR第25条第2款:数据控制者应当采取适当的技术和组织性措施,以确保在默认情况下仅对为满足每个具体数据处理行为的目的所必需的个人数据进行处理。本义务适用于收集的个人数据的数量、处理的程度、储存的时间和数据的可访问性。特别是此类措施应确保在默认情况下,个人数据在其数据主体没有介入时不会被不特定数量的自然人获取。
[8] 根据《评估指南》,自主选择同意是指用户通过书面声明或主动做出肯定性动作,对其个人信息进行特定处理做出明确授权的行为,肯定性动作包括用户主动做出声明、主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等。
——— 本文作者 ———
宁宣凤
合伙人
合规业务部
susan.ning@cn.kwm.com
宁宣凤律师的主要执业领域为反垄断与反不正当竞争,以及网络安全与数据合规。在反垄断领域,宁律师所提供的法律服务内容主要包括经营者集中反垄断申报、应对反垄断行政调查、反垄断法合规咨询以及反垄断诉讼。早在2008年《反垄断法》实施之前,宁宣凤律师就曾积极参与政府起草该项法案的咨询工作,并在该法颁布后,继续积极参与协助相关条例、实施办法及指南的起草工作。在网络安全与数据合规领域,宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。
吴涵
合伙人
合规业务部
wuhan@cn.kwm.com
吴涵律师的主要执业领域为网络安全与数据合规。吴律师协助客户制定修改隐私政策,制定跨境数据传输计划,制定数据商业化合规方案,梳理企业数据(包括个人信息保护)合规体系,进行网络安全和数据合规自查,协助搭建数据融合的商业及合规框架,构建企业数据资产体系,进行内部网络安全和数据合规培训等。吴律师擅长从中国数据合规的角度为跨国企业在中国的分支机构提供网络安全和数据合规意见。同时吴涵律师能够立足中国相关法律法规,为中国走出去企业建立符合欧盟(GDPR)及美国等跨司法辖区要求的网络安全与数据合规体系。项目覆盖金融、保险、数据风控、网约车平台、航空、消费电子、互联网广告、汽车、电商等多个行业。
包达
主办律师
合规业务部
杜楠
律师
合规业务部
林云汉
律师
合规业务部
金杜网络安全与数据合规团队文章
相关文章链接
Links of Related Articles
人工智能:
2020年“AI”应有大爱 2020-01
人工智能系列之人脸识别信息的内涵与合规难题 2019-11
数据合规:
宜未雨而绸缪——企业上市关注的重点数据合规问题 2020-01
“数”年快乐——万字长文说“数据融合” 2020-01
平安夜里说平安——“数据资产”的误区与合规条件 2019-12
按图索骥——图示移动APP个人信息保护的重点 2019-11
大一统而慎始也——新型信用监管机制问答 2019-10
竹杖芒鞋轻胜马:医疗大数据发展和合规管理并重 2019-09
星光奉献给长夜——儿童个人信息保护的亮点和启示 2019-08
投资出行领域,数据是金矿还是烫手山芋?2019-07
Development Of PrcRegulations On Cross Border Data Transfer 2019-06
数据监管新要求,电子商务法时代跨境电商将走向何方? 2018-11
你的“饼干”安全吗?——Cookie 与个人信息保护 2018-08
“明者因时而变,知者随事而制” ——《个人信息安全规范》实务探讨 2018-02
谨于言而慎于行:互联网信息内容服务管理新规出台 2017-08
No “Data”, No “Internet of Vehicles” 2017-07
布局“自动驾驶”:此时不为,更待何时?2017-07
Putting an “Invisibility Cloak” over Personal Information —— A discussion on “invisible waybills” introduced by express industry 2017-07
图解“车联网” 2017-06
无“数据”,怎“车联”?——“车联网”数据类核心业务法律监管刍议 2017-05
为个人信息披上一件“隐形衣”——从快递行业推行“隐形面单”说开去 2017-05
欲善其事,先利其器——解读《互联网信息内容管理行政执法程序规定》 2017-05
你的数据,能不能走出国门? 2017-04
中国推进个人信息保护 2017-04
2017年,大数据合规离我们有多远? 2017-01
隔耳有“墙”——从美国FCC新规则谈个人信息保护新趋势 2016-12
个人信息保护的百万罚单时代来了? 2016-11
网络安全:
博观而约取,厚积而薄发:《密码法》要点评析及企业合规路径 2019-11
亡羊补牢未为迟:如何应对网络安全勒索事件 2019-06
“欲穷千里目,更上一层楼”——国际新形势下的等保2.0 2019-05
叶上初生并蒂莲——最新出台的《电子商务法》与《网络安全法》之比较 2018-09
《网安法》生效后不得不知的N件大事 2017-08
“新”电信业务办法:更简、更活、更规范 2017-07
必将婴城固守,皆为金城汤池——看《关键信息基础设施安全保护条例(征求意见稿)》 2017-07
Petya来袭,网络安全事件应急预案正当其时 2017-07
图解安全评估流程——互联网业务安全不可因“新”而废“管” 2017-06
《网络安全法》及其部分配套规定今起实施 2017-06
“一带一路”背景下中国企业境外并购的网络安全和数据合规问题 2017-06
十三五“新常态”下企业营商的合规挑战 2017-05
开启互联网新闻监管新时代——《互联网新闻信息服务管理规定》述评 2017-05
画龙画虎先画骨 ——解读《网络产品和服务安全审查办法(试行)》 2017-05
热点解读:网信办连续颁布三项重磅新规 2017-05
感谢关注金杜研究院