App共享第三方合規攻略

2020年05月22日16:18 作者:和昶律所

　　文/意見領袖專欄機構北京和昶律師事務所

　　本文作者：朱一博

　　近日，中信銀行因擅自向某公司提供個人信息被卷入風波，致歉、處理責任人等快速反應均未能挽回信用損失，即將面臨民事責任、行政處罰等。自然人的個人信息受法律保護，儲戶是個人信息主體，銀行是信息控制者，銀行對信息的控制源于儲戶的授權，其余均屬于第三方。因此，除法定情形以外，未經授權向第三方提供個人信息必然違法違規。中信銀行事件因小失大，教訓慘痛，為我們敲響警鐘。

　　一、信息共享風險預警

　　大數據時代，移動應用程序（App）顯現蓬勃生機，成為個人信息匯集的中心，App運營商（以下簡稱App）與第三方的合作日漸密切與多元。第三方主體包括各類產品或服務供應商，如智能設備、服務平臺、系統服務、軟件服務提供商，具體包括移動運營商、第三方支付機構、廣告、咨詢、調研、分析、客服、回訪、身份驗證、安全監測等服務提供商。App中的小程序、第三方應用、第三方代碼、插件（如軟件開發工具包sdk，sdk詳情建議參考《Zoom危機：警惕潛伏在APP后面的SDK大盜》）皆為第三方的縮影。它們通過客戶端直接收集信息，或者先將數據傳輸至App后臺服務器，再向第三方提供，主要通過這兩種方式實現信息共享。

　　互聯網非法外之地，與第三方共享個人信息，同樣以告知用戶并征得用戶同意為前提。自“App違法違規收集使用個人信息專項治理行動”開展以來，因信息“私自共享第三方”受到監管部門懲處的App不在少數，耳熟能詳的，如閃送（版本5.2.20）、36氦（版本8.6.7）、QQ閱讀（版本7.1.1.888）、人人視頻（版本4.2.9）、一點資訊（版本5.2.1.0）等。

　　同時，App需警惕與第三方合作的安全性。第三方由App引入，對于終端用戶而言，App在明，第三方在暗，App需為第三方行為擔責。近年來，第三方違規引發的信息安全事件并不鮮見。倘若第三方惡意操作（如惡意推送信息的“寄生推”）、隱蔽收集用戶個人信息，或因安全漏洞引發信息泄露，App事前未進行責任切割，未盡到告知、監督義務，就難辭其咎，為第三方所累。

　　二、安身法則——“告知”與“監督”

　　用戶信息安全不容忽視，法律規范接踵而至，與第三方合作已成定局，App怎樣才能守住合規底線？《網絡安全法》明確，網絡運營者收集、使用個人信息，應當遵循知情同意、必要性原則，App與第三方共享信息屬于“使用”，因此受上述原則約束。關于App與第三方，目前尚未有法律法規作出具體規定，散見于《App違法違規收集使用個人信息行為認定方法》、《App違法規收集使用個人信息自評估指南》、《個人信息安全規范》GB/T 35273—2020、《數據安全管理辦法（征求意見稿）》、《移動互聯網應用程序（App）收集使用個人信息自評估指南（征求意見稿）》、《移動互聯網應用程序（App）個人信息安全防范指引（征求意見稿）》等文件。

　　通過梳理上述規范性文件，App共享第三方合規準則有二，第一：對用戶充分告知；第二，對第三方盡到必要的監督責任。不難理解，終端用戶為個人信息主體，App對信息的使用受制于權利人的授權，故信息共享需告知并取得權利主體同意，“明明是三個人的電影，請告知他姓名”；在App、終端用戶與第三方關系圖中（如圖1所示），App為連結三方的關鍵所在，處于對第三方風險披露的最佳位置。同時，收益永遠與風險并存，為提高效率、享受便利引入第三方，則監督第三方為應有之責，失責的風險如影相隨。

　　（圖1終端用戶、App與第三方關系）

　　鑒于尚未有法律法規對App與第三方的權利義務關系作出系統性規定，“告知”與“監督”的具體內容需要從第三方類型、App與第三方的法律關系兩個維度展開。

　　首先，App中第三方包括嵌入的第三方代碼、插件、小程序、第三方應用等，App與第三方共享用戶個人信息，應當告知用戶以下內容，征得用戶同意：（1）逐一列出第三方收集使用個人信息的目的、方式、范圍等；（2）數據接收方的類型以及可能產生的后果；（3）共享個人敏感信息，還應告知涉及的個人敏感信息類型、數據接收方的身份和數據安全能力，并事先征得個人信息主體的明示同意；（4）人生物識別信息原則上不應共享。因業務需要，確需共享，應單獨向個人信息主體告知目的、涉及的個人生物識別信息類型、數據接收方的具體身份和數據安全能力等，并征得個人信息主體的明示同意。

　　（圖2：個人敏感信息與個人生物識別信息，源于《個人信息安全規范》（GB/T 35273—2020））

　　其次，App與第三方除了具有共享關系外，還可能成立委托處理、共同控制、第三方管理三種關系（如圖3所示）。通俗的說，委托處理即App將收集的個人信息委托第三方處理；共同控制是指App通過合同等形式與第三方達成合意，共同對用戶個人信息進行控制。值得注意的是，App如果部署了收集個人信息的第三方插件，例如軟件開發工具包sdk，且該第三方未單獨向用戶告知并征得同意，則默認App與第三方sdk屬于共同控制關系；如果App未委托第三方也未與第三方約定共同控制，只是接入了客觀上具備收集個人信息功能的第三方，就屬于第三方接入管理。

　　（圖3，源于《個人信息安全規范》（GB/T 35273—2020））

　　合規要求總體包括厘清權責、告知用戶、監督第三方（如審計、技術檢測、記錄留痕等），因法律關系不同，各有側重。例如，委托處理側重于對第三方進行監督；共同控制側重于向用戶告知第三方身份以及各自責任，否則將承擔因第三方引起的個人信息安全責任；對接入的第三方如若管理不慎，極可能引發信息泄露，因此既要求App向用戶明確說明產品或服務由第三方提供，又要求對第三方加強監督。需要關注的是，《數據安全管理辦法（征求意見稿）》第30條規定，如果第三方應用發生數據安全事件對用戶造成損失，除非網絡運營者能證明自己無過錯，否則應當承擔部分或全部責任。

　　三、落地困境與探尋

　　為保障用戶個人信息安全，實現終端用戶、App與第三方之間良性互動，合規的信息共享流程應當是：App篩選第三方合作伙伴→App向用戶告知并獲得授權→App監督第三方。落實該流程在實踐中舉步維艱，至少存在以下幾方面的問題：

　　第一，專業人員配備。篩選合作伙伴是否需要配備專業人員？當前篩選第三方合作伙伴，例如軟件開發工具包sdk通常由技術人員進行，因涉及法律問題，是否需要法務人員提前介入，或安排專人與第三方對接？

　　第二，App篩選合作對象的判斷標準。如何判斷第三方合作伙伴是否可靠，在安全性、個人信息保護程度方面有哪些指標？如何獲知第三方可能存在的違法違規行為或安全隱患？

　　第三，App與第三方權責不對等。篩選、告知、監督的行使，都以App知悉第三方收集、使用個人信息的情況為前提。然而，現行法律規范僅聚焦于App，尚未溯及上游第三方。若第三方不明確收集、使用個人信息的目的、方式、范圍，App該如何向用戶告知？

　　第四，告知方式。第三方合作伙伴數量龐大，如何有效告知？

　　第五，App與第三方地位不對等。App與第三方sdk的合作，通常是第三方sdk提供服務開放平臺，在線簽署開發者服務協議。面對此類第三方，App何嘗不是用戶。在監管缺位的情況下，App難以與第三方博弈，對第三方監督。

　　毋庸置疑，在信息共享流程中，任一環節監管的缺失必將導致個人信息保護流于形式。可以預見，監管的觸角必將延伸至第三方，在此之前，App該如何作為？建議如下。

　　1．篩選合作伙伴。應當重視第三方的信息安全合規意識和安全措施，包括背景調查、了解隱私政策（關注是否明確收集信息的目的、方式、范圍；共享信息；是否轉委托；是否收集敏感信息以及采取的安全措施等），有條件的可對第三方收集信息進行技術驗證、安全評估。另外，盡可能在合作協議明確雙方權責。若能對第三方擬收集的信息進行協商，建議對第三方數據請求的必要性進行評估，拒絕不必要的個人信息收集請求。

　　值得一提的是，部分第三方sdk具有較強的合規意識，例如極光sdk，制定了一系列合規文件，包括《極光合規指南》、《極光合規指南之極光開發者服務——安全與合規政策解讀》、《極光SDK隱私政策合規落地指引》，將其收集、使用App最終用戶個人信息的相關情況繪制成表，涵蓋sdk產品名稱、App產品所應用系統、場景描述、收集方式、個人信息類型、個人信息字段、用途或目的、是否為必要信息、信息處理方式（替換、匿名化處理），并要求APP在隱私政策中列明。

　　2．告知用戶。如前所述，告知內容至少包含第三方類型與身份、收集使用個人信息的目的、方式、范圍，可以采用隱私政策、彈窗提示、文字備注、文本鏈接等告知方式，已有部分App做出了大膽嘗試，例如，曾因“私自共享第三方”被要求整改的綠城生活與人人視頻，在最新的隱私政策中采用直接列明的方式（如圖4所示）；度小滿（有錢花）在隱私政策“如何共享個人信息”第三方合作機構處附上超鏈接，超鏈接內列明第三方sdk嵌入情況（如圖5所示）；抖音采用在隱私政策中附上超鏈接，超鏈接內附上接入第三方sdk名稱、使用目的以及官網鏈接（如圖6所示）。