网络安全与数据合规｜个人用户信息获取合规要点 – 作者:数字新基建产业金融

2020年4月，国家发改委首次明确“新基建”的概念。同时，各地政府纷纷推动5G基站、IDC、数字新基建产业园等项目的建设。其中数据信息作为一切项目运行的起点，虽看似基础，但其实已经成为21世纪一种新的资源。网络安全与数据合规，也成为了众多有志在新基建背景下有所作为的公司，所必须面临的问题。随着数据执法的不断加强，数据相关纠纷数量也呈明显上升趋势，甚至有些公司的上市计划也因为数据问题而被迫搁置。而其中数据收集更是各国关注的重中之重。无论是近期字节跳动旗下的TikTok在海外遭遇，还是欧盟通过裁定推翻了欧美之间的《数据传输协议》，都是因为用户信息的收集而产生冲突。

正文

个人信息的收集规则虽然根据所处行业的不同，收集信息类型的不同有所区别。但我们只要明确信息收集的核心原则即“用户同意”原则＋“最小化“原则，便可掌握个人信息获取的合规的基本框架。作者在本文之后的论述中，通过将个人信息收集方式进行分类，将上述两个原则融入在具体的合规操作中，以便读者对其本质有更直观，更立体的理解。

目前，常见的个人信息收集方式共有三种，分别是向用户直接收集、向第三方采购，以及通过网络爬虫方式进行收集。其各自的合规要点列明如下：

一、向用户直接收集个人信息。

• 遵守《民法典》[1]《网络安全法》[2]的原则性要求；

• 保证收集个人信息的最小必要性。例如，收集个人信息的数量和频率应为实现业务需求所必须的最小数量和频率；

• 当产品或服务提供多项需收集个人信息的业务功能时，应保证个人信息权利主体可以自主选择。例如，不可通过一揽子协议要求用户一次性同意其未申请或未使用相关个人信息的请求；

• 收集个人信息时应取得个人信息权利主体授权同意，其中个人敏感信息还需取得明示同意；[3]

• 制定个人信息保护政策，实践中通常的表现形式为制定隐私政策。

[1]《民法典》第一千零三十五条   处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；（二）公开处理信息的规则；（三）明示处理信息的目的、方式和范围；（四）不违反法律、行政法规的规定和双方的约定。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。[2]《网络安全法》第四十一条   网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。[3]《信息安全技术 个人信息安全规范》（GB/T 35273—2020）3.6 明示同意 explicit consent个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明，或者自主作出肯定性动作，对其个人信息进行特定处理作出明确授权的行为。

二、向第三方采购数据信息

• 审核引入相应数据类型和数据量的必要性；

• 数据采购协议中要求数据供应商做出合法合规的承诺与保证；

• 企业内部落实数据合规管理制度；

• 坚守不得非法获取公民个人信息的刑事责任红线。

三、通过爬虫数据获得个人信息

• 对被爬网站：遵守robots协议和技术协议；考虑网站的负载能力；

• 对用户：要确保“三重授权”：即用户授权平台+平台授权采集方+用户授权采集方；

• 内部措施：建立爬取前的审核机制和爬取后的数据处理机制；避免触发侵犯个人信息罪、非法获取计算机信息系统数据罪等刑事责任，或侵犯第三方权益、构成不正当竞争等民事风险。

结语

随着工业和信息化部发布《关于开展APP侵害用户权益专项整治工作的通知》，已有近百个app数十个平台被点名督促整改，近期的315晚会针对SDK插件窃取用户信息也做出了专项报导，几乎每个企业，尤其是科技企业的网络安全数据合规工作亟待进行。本团队将对整个网络安全及数据保护框架进行梳理，希望帮助到企业的相关合规审查，以预防潜在的风险。

来源：freebuf.com 2020-09-16 16:10:13 by: 数字新基建产业金融