科技创新与法律前沿系列文章之二: 用户授权同意对互联网企业的重要性
2021-05-27 17:22:21 作者:周亮 张宇峰
在笔者的实操经验中,互联网企业上市前通常都要做合规处理,而合规处理中完善用户授权同意是重中之重。那么,取得用户授权同意有多重要?如何取得用户明确的授权同意?取得用户授权同意时需要注意哪些事项?本文将对此展开分析。
我们认为,互联网企业获取用户的授权同意需要严格遵守法律规范和国家标准文件的相关规定,以规避可能的法律风险。
一、授权同意的重要性
2021年5月21日,包括某些知名短视频APP,招聘类APP等一百零五款APP因未经用户同意收集个人信息、收集与提供服务无关的个人信息等原因,被国家互联网信息办公室通报批评。企业在收集、使用个人信息时需要事先获得用户的授权同意已在多项规范文件中得到确认。根据《网络安全法》《个人信息保护法(草案二次审议稿)征求意见》(“《个人信息保护法》”)和《信息安全技术 个人信息安全规范》(“《个人信息安全规范》”)的相关规定,收集、传输、使用、共享、转让和公开披露个人信息,均需取得用户的授权同意。
由此可见,如何合法有效地获取用户的授权同意,将成为互联网企业在大数据时代需要关注的重点问题。
二、如何获得用户的授权同意?
笔者团队近期在为某互联网企业A提供法律服务过程中,发现A公司的个人信息授权条款非常简单,其规定“在本产品使用中,如用户输入自己的信息、账号名及密码等,即表示同意和授权本公司查看并读取用户的相应信息”。
我们认为,此授权条款属于不明确的概括授权,A公司依据此授权条款收集、使用用户的个人信息,将存在合规风险。根据相关法律规范和国家标准文件的规定,互联网企业获得用户授权同意,应做到以下几点:
1. 区分业务功能及其所需获得的个人信息
假设A公司开发了一款地图导航类APP,现在面临如何获取用户授权同意,来为用户提供服务的问题。
首先,为保障用户的选择权,在获取用户授权同意前,A公司应对APP的业务功能进行区分。根据《个人信息安全规范》,业务功能分为基本业务功能和扩展业务功能。
(1)基本业务功能
基本业务功能是指个人选择、使用所提供产品或服务的根本期待和最主要的需求。例如地图导航类APP,基本功能服务则应为“定位和导航”。国家互联网信息办公室秘书局联合多部门发布的《常见类型移动互联网应用程序必要个人信息范围规定》列出了三十九类常见APP的基本功能服务和其所对应的必要个人信息类型,对于地图导航类APP来说,由于需要提供“定位和导航”服务,则A公司需获得的个人信息为位置信息、出发地和到达地。
(2)扩展业务功能
扩展业务功能更多是为提升用户体验、强化产品安全机制的衍生服务或新型业务,例如地图导航类APP中的语音识别功能,图片识别功能等。为提供该类服务,A公司可能需要获取用户的肖像、音频等个人信息。
2. 遵循原则收集个人信息
(1)A公司收集基本业务功能所需的个人信息,应遵循以下几点:
在用户初次安装、首次使用、注册账号时,应通过弹窗、文字说明、填写框、提示条、提示音等形式,向用户告知基本业务功能所必要收集的个人信息类型(不应使用概括性、模糊性语句描述所收集的个人信息),以及用户拒绝提供或拒绝同意收集将带来的影响;
以A公司为例,其上述授权条款应修改为:“用户在使用本公司提供的产品过程中,可以通过完善头像、昵称、性别、国家或地区等基础信息,来获得更好的体验。如不提供不会影响账号的基本功能。”
通过用户对信息收集主动作出肯定性动作(如勾选、点击“同意”或“下一步”等)征得其明示同意(“勾选处”不应采用预填写的方式);
界面设计应方便用户再次访问及更改其同意的范围。
(2)A公司收集扩展业务功能所需的个人信息,应遵循以下几点:
在扩展业务功能首次使用前,应通过弹窗、文字说明、填写框、提示条、提示音等形式,向用户逐一告知所提供扩展业务功能及所必要收集的个人信息,并允许用户对扩展业务功能逐项选择同意;
以A公司为例,如A公司提供账号在第三方网站登录的扩展业务功能,则应增加扩展业务功能的授权,如:“当用户在第三方网站使用账号登录时,且用户授权同意后,本公司会将用户的昵称、头像信息传输给第三方。若用户不同意该第三方获得您的个人信息,请用户不要同意授权。”
用户不同意收集扩展业务功能所必要收集的个人信息的,不应反复征求用户的同意;
用户不同意收集扩展业务功能所必要收集的个人信息的,不应拒绝提供基本业务功能或降低基本业务功能的服务质量;
界面设计应方便用户再次访问及更改其同意的范围。
3. 保障用户撤回授权同意的权利
《个人信息安全规范》还规定了用户有权针对收集、使用、对外共享和转让等各个环节撤回授权同意。为此,A公司应当在APP界面中设置专门入口,并且告知用户访问的方式,便于用户撤回授权同意或注销账户等。在用户撤回授权同意后,A公司后续不应再处理相应的个人信息。
三、本期小结
获得用户授权同意的方式大有学问,互联网企业应对此加以重视,不能认为只要拿得到用户的授权则没有风险。
在获得用户授权同意的过程中,为保证合法合规性,互联网企业应注意区分基本业务功能和扩展业务功能及其所需的个人信息,按照《个人信息安全规范》确立的原则收集个人信息,以及保障用户撤回授权同意的权利。
此外,全国信息安全标准化技术委员会曾于2020年1月20日发出《信息安全技术 个人信息告知同意指南》征求意见稿。相信日后该标准文件的正式出台,将会为互联网企业获得用户授权同意的方式提供更多的指引。
