图解 | 20余款违规App下架背后个人信息保护的8条逻辑

樊晓娟等中伦视界 2022-04-23

作者：樊晓娟印磊洪嘉宾竺雨辰

据新华社2020年4月10日报道，国家计算机病毒应急处理中心在近期的“净网2020”专项行动中发现20余款外卖、医疗和在线教育类App存在涉嫌隐私不合规行为，已作通报下架处理。本文将结合本次20款App的下架原因，梳理中国法律下App监管相关的个人信息保护逻辑。

一

主要法律规定

《网络安全法》（“《网安法》”）是规范网络安全及网络数据保护的基本法律。通过网络取得和传输的个人信息是网络数据一种，也纳入《网安法》的管辖范围。《网安法》第四十一条规定了网络运营者收集、适用个人信息的基本原则：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。”该法第四十二条规定：“网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。”该法第四十三条规定：“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。”

《关于开展App违法违规收集使用个人信息专项治理的公告》（“《治理公告》”）第一条规定：“App运营者收集使用个人信息时要严格履行《网络安全法》规定的责任义务，对获取的个人信息安全负责，采取有效措施加强个人信息保护。遵循合法、正当、必要的原则，不收集与所提供服务无关的个人信息；收集个人信息时要以通俗易懂、简单明了的方式展示个人信息收集使用规则，并经个人信息主体自主选择同意；不以默认、捆绑、停止安装使用等手段变相强迫用户授权，不得违反法律法规和与用户的约定收集使用个人信息。”

2019年11月28日，国家互联网信息办公室、工业化和信息部、国家市场监督管理局共同发布《App违法违规收集使用个人信息行为认定方法》。该认定方法对于App运营者构成“未公开收集使用规则”、“未明示收集使用个人信息的目的、方式和范围”、“未经用户同意收集使用个人信息”及“违反必要原则，收集与其提供的服务无关的个人信息”等行为的认定情况作了明确列举。

2020年3月30日，全国信息安全标准化技术委员会发布《关于<网络安全标准实践指南—移动互联网应用程序（App）个人信息安全防范指引（征求意见稿）>公开征求意见的通知》，就App运营者在个人信息保护的指引征求意见。另外，《移动互联网应用（App）收集个人信息基本规范》《移动互联网应用程序（App）个人信息安全防范指引》等文件均已经开始公开征求意见过程中。

而涉及个人金融信息、儿童个人信息等特殊情况，另有专项规定。

二

法律责任

如果App运营者违反个人信息保护的相关规定，将会依照《网安法》承担相应行政责任。

《网安法》第六十四条规定：“网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定，侵害个人信息依法得到保护的权利的，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。”

《治理公告》第三条规定：“有关主管部门加强对违法违规收集使用个人信息行为的监管和处罚，对强制、过度收集个人信息，未经消费者同意、违反法律法规规定和双方约定收集、使用个人信息，发生或可能发生信息泄露、丢失而未采取补救措施，非法出售、非法向他人提供个人信息等行为，按照《网络安全法》《消费者权益保护法》等依法予以处罚，包括责令App运营者限期整改；逾期不改的，公开曝光；情节严重的，依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。”

以上主要介绍违反个人信息保护规定的行政责任。本次20款App通报下架，就是行政责任的一种。如果情节严重触犯刑法的，则将被依法追究刑事责任。另外，用户也有权依照侵权责任法及其他民事法律的相关规定向App运营者索赔。

三

逻辑梳理

法律规定表述比较冗长复杂，各类规定相互交叉。为便于读者理解，将现行法律规定下App相关个人信息保护逻辑梳理如下：

（一）个人信息的收集

App运营者在收集个人信息时应当遵循以下逻辑：

公开收集规则，明示收集范围。
收集个人信息应当征得用户同意。
收集个人信息遵循必要原则，仅在提供服务所必要的范围内收集。

以下是个人信息收集的图解：

点击图片查看大图

（二）个人信息的使用

个人信息的使用，包括个人信息的储存、利用、披露、传输等环节。App的运营者在使用个人信息时，应当遵循以下逻辑：

采取必要手段确保个人信息安全，防止泄露、篡改、毁损。
约定范围内使用个人信息，对外提供应当获得用户明示同意。
个人金融信息不得跨境传输。
及时更正、删除违规收集、使用的个人信息或错误的个人信息。
违反规定将承担法律责任。

以下是个人信息使用的图解：

点击图片查看大图

结语

随着数字经济不断发展，个人信息等数据俨然成为一种新型经济生产要素，在社会经济活动中扮演愈发重要的角色。而我国对于数据，尤其是个人信息，无论是从保护个人隐私的角度，抑或是消费者权益保护的角度，均愈发重视且已形成基本的法律规范体系。以上总结归纳了8条逻辑，旨在厘清数据合规及相关法律风险防范的思路，但建立完善的数据合规制度仍需在律师的指导下进行。

声明

本文旨在法规之一般性分析研究或信息分享，不构成对具体法律的分析研究和判断的任何成果，亦不作为对读者提供的任何建议或提供建议的任何基础。作者在此明确声明不对任何依据本文采取的任何作为或不作为承担责任。如需转载或引用本文的任何内容，请联系作者 (fanxiaojuan@zhonglun.com);未经作者同意，不得转载或引用本文的任何内容。

The End

作者简介

樊晓娟律师

上海办公室合伙人

业务领域：私募股权与投资基金, 资本市场/证券, 收购兼并, 科技、电信与互联网

印磊律师

上海办公室资本市场部

洪嘉宾律师

上海办公室资本市场部

竺雨辰

上海办公室资本市场部

作者往期文章推荐：