(网经社讯)本系列前三篇文章,已对四种数据来源方式的合法性予以阐述,并对公开收集数据来源及自行生产数据的合法性判断进行分析。本文将对直接采集数据来源的合法性予以探析,望与业内人士探讨。
本文所指直接采集获取数据,包含经用户同意由用户自主上传或自动采集、经用户同意通过第三方组件采集以及通过设备直接采集三种方式。此类方式具有直接性,获取的数据通常最接近真实情况、最为原始、种类庞杂,范围包括用户注册信息、登录信息、个人生物信息、蓝牙信息、设备信息、日志信息、网络状态、第三方注册信息、第三方登录信息等数据,以及信号、地理、气候等特殊行业的数据。不同方式直接采集的数据具有不同合规风险点。
一、用户数据自主输入、上传及自动采集
(一)常规审查核心——用户授权的完整性
对于用户自主输入或上传、数据采集方自动采集以及借助第三方组件收集的用户数据,需核心审查用户数据的授权。根据《个人信息保护法》第十七条,数据采集方在采集用户数据前,应当以显著方式、清晰易懂的语言真实、准确、完整地向用户告知:(1)采集方的姓名、联系方式;(2)采集以及处理目的和方式、处理的个人信息种类、保存期限;(3)个人行使本法规定权利的方式和程序等。除此以外,若数据产品是由初始数据转化而成,则数据采集方还应告知用户有关数据委托处理、共享、转让、公开披露的内容,并获得用户授权。此类告知通常以数据采集方的用户隐私政策、用户协议等方式予以呈现,合规审查时应当对以上条款予以关注。
(二)特殊用户数据类型及特殊机构的审查
首先,部分特殊类型数据应当具备形式要件。
根据《GB/T 35273—2020信息安全技术 个人信息安全规范》(以下简称“《个人信息安全规范(2020)》”),个人用户对其个人信息处理的授权方式包括积极的明示同意和消极授权,后者例如信息采集区域内的个人信息主体在被告知信息收集行为后没有离开该区域。但是根据《个人信息保护法》第二十八条规定,对于生物识别信息、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息以及不满十四周岁未成年人的个人信息的采集及处理必须获得用户的单独同意,若与缺乏该单独同意则应当认为授权不完善。《征信业管理条例》第十四条第二款规定,征信机构若要采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息,告知内容中还需包括提供该信息可能产生的不利后果,并获得用户的书面同意。
其次,所收集数据应当不属于禁止采集方采集的数据。
个人信息采集应当遵循必要原则,即使部分个人信息已经获得用户书面同意,但显著并非数据采集方处理数据目的所必须,则合规审查时应当予以注意。尤其用户数据涉及个人敏感信息时,用户个人即使授权也可能因违反国家强制性规定无效。例如《征信业管理条例》第十四条第一款以及各地社会信用条例都规定,禁止征信机构采集的个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息。对于此类数据,数据产品合规性审查时必须重点关注。
最后,企业信息的输入、上传和自动采集虽然不如个人信息受到较强监管,但亦可能涉及商业秘密,数据采集时应当予以注意。
二、第三方组件的合规性审查
对于第三方组件采集方式获取的用户数据,除了审查用户授权的完整性外,还需要审查采集方对第三方组件的安全性控制。第三方组件能够帮助软件快速获得标准化功能,节约大量开发时间,是软件开发不可或缺的部分。但第三方组件有可能通过安装该组件的海量软件采集用户个人信息,也有存在安全漏洞的可能性。
根据《个人信息安全规范(2020)》,对于此类情形,数据采集者可通过以下方式实现对第三方组件的控制监管:
1. 建立第三方产品或服务接入管理机制和工作流程,必要时应建立安全评估等机制设置接入条件;
2. 应与第三方产品或服务提供者通过合同等形式明确双方的安全责任及应实施的个人信息安全措施;
3. 应向个人信息主体明确标识产品或服务由第三方提供;
4. 应妥善留存平台第三方接入有关合同和管理记录,确保可供相关方查阅;
5. 应要求第三方根据本标准相关要求向个人信息主体征得收集个人信息的授权同意,必要时核验其实现的方式;
6. 应要求第三方产品或服务建立响应个人信息主体请求和投诉等的机制,以供个人信息主体查询、使用;
7. 应监督第三方产品或服务提供者加强个人信息安全管理,发现第三方产品或服务没有落实安全管理要求和责任的,应及时督促整改,必要时停止接入;
8. 产品或服务嵌入或接入第三方自动化工具(如代码、脚本、接口、算法模型、软件开发工具包、小程序等)的,宜采取以下措施:
a) 开展技术检测确保其个人信息收集、使用行为符合约定要求;
b) 对第三方嵌入或接入的自动化工具收集个人信息的行为进行审计,发现超出约定的行为,及时切断接入。
三、设备直接采集数据
本文所指设备直接采集数据,是指可借由科学技术直接采集的客观世界数据,例如水文、气候、地理测绘等数据。此类数据存在于客观世界中,通常没有主体对其享有数据权益,数据采集方也无需向此类主体获得授权,仅借助设备即可采集。但需要注意的是,尽管此类数据的数据主体并不特定,但不意味着采集行为不受法律、法规约束。相关数据所涉行业、国家利益以及采集方、处理方企业性质及资质的多方因素都有可能影响合规审查结果。
例如,根据国家发展和改革委员会发布的《外商投资准入特别管理措施(负面清单)(2021年版)(商务部令第47号)》,禁止境外投资者投资大地测量、海洋测绘、测绘航空摄影、地面移动测量、行政区域界线测绘,禁止投资导航电子地图编制,禁止投资区域性的地质填图、矿产地质、地球物理、地球化学、水文地质、环境地质、地质灾害、遥感地质等调查(矿业权人在其矿业权范围内开展工作不受此特别管理措施限制)。根据我国《测绘法》第二条第二款规定,测绘是指“对自然地理要素或者地表人工设施的形状、大小、空间位置及其属性等进行测定、采集、表述,以及对获取的数据、信息、成果进行处理和提供的活动”。第八条则规定外国的组织或个人在我国领域和我国管辖的其他海域从事测绘活动,应当经国务院测绘地理信息主管部门会同军队测绘部门批准,并遵守中华人民共和国有关法律、行政法规的规定,且必须与我国有关部门或单位合作进行,且不得涉及国家秘密和危害国家安全。因此,若数据产品的数据来源为产品方自行采集的测绘数据,且采集方资本包含境外资本,则审查时应当予以注意。
四、总结
综上,本文将直接采集数据粗分为三类:对于用户自主输入上传或同意采集的数据,应重点审查用户授权的完整、完善;对于以第三方组件方式收集用户数据的,除了用户授权外,还需审查采集方是否对第三方组件具有完整的内控制度;对于可以使用设备直接采集的数据,不能仅因不属于特定数据主体即放松警惕,则应综合国家利益、所涉行业、采集方性质等多方因素综合审查来源合规。