華為騰訊數(shù)據(jù)之爭背后的用戶授權(quán)問題探析

華為騰訊大數(shù)據(jù) 用戶授權(quán)

吳丹君周天一 | 2017-08-24 10:29

【數(shù)據(jù)猿導(dǎo)讀】隨著越來越多的企業(yè)發(fā)力人工智能，硬件公司和互聯(lián)網(wǎng)公司之間的用戶數(shù)據(jù)競爭不可避免

隨著越來越多的企業(yè)發(fā)力人工智能，硬件公司和互聯(lián)網(wǎng)公司之間的用戶數(shù)據(jù)競爭不可避免。近日，中國科技巨頭華為和互聯(lián)網(wǎng)巨頭騰訊被曝就用戶數(shù)據(jù)使用問題發(fā)生爭執(zhí)。本次爭議焦點為華為去年年末推出的榮耀Magic手機(jī)可根據(jù)微信聊天內(nèi)容自動加載地址、天氣、時間等信息；通話、購物時也能提示相關(guān)服務(wù)信息，這些技術(shù)均是華為與科大訊飛、高德、支付寶、攜程等APP深度合作研發(fā)的結(jié)果，而騰訊則認(rèn)為華為不僅私自收集騰訊產(chǎn)品的用戶數(shù)據(jù)，還侵犯了微信用戶的個人隱私。目前，騰訊已向監(jiān)管部門投訴華為，而華為方面則認(rèn)為產(chǎn)品通過工信部檢測且用戶已在手機(jī)設(shè)置中進(jìn)行授權(quán)，相關(guān)信息只在榮耀Magic手機(jī)上處理，并未上傳至任何云端，故不存在爭議，雙方因此互不讓步。

縱然爭議雙方各執(zhí)一詞，但值得注意的是在本次事件中無論是華為還是騰訊均沒有觸及到用戶數(shù)據(jù)歸屬的問題，雖然用戶數(shù)據(jù)信息的所有權(quán)能否歸屬于用戶本身現(xiàn)行法律尚未規(guī)定，但毫無疑問的是雙方只能在用戶合法授權(quán)的前提下予以使用。此外，在本次事件中，華為雖然明確表示有關(guān)的數(shù)據(jù)收集由用戶在手機(jī)設(shè)置中進(jìn)行授權(quán)，但該授權(quán)方式是否合法合規(guī)同樣值得思考，現(xiàn)階段國內(nèi)廠商收集用戶數(shù)據(jù)信息，大多是將隱私條款附加在長長的用戶授權(quán)協(xié)議中，讓用戶打個勾就表示獲得用戶的同意，并且是一次授權(quán)、無限制收集和使用，用戶并不一定清楚冗長的協(xié)議中具體涉及的個人隱私及信息數(shù)據(jù)挖掘的內(nèi)容，因此，如何進(jìn)行數(shù)據(jù)挖掘的有效明示以確保用戶授權(quán)文件的合法合規(guī)值得大數(shù)據(jù)企業(yè)重視。

個人信息授權(quán)，現(xiàn)行法律規(guī)定過于寬泛

從現(xiàn)行法律對于個人信息保護(hù)的規(guī)定來看，立法者更多地是從監(jiān)管者的角度規(guī)制數(shù)據(jù)收集企業(yè)的行為，即要求使用個人信息數(shù)據(jù)的運營者們在收集相關(guān)數(shù)據(jù)前履行特定的義務(wù)，至于有效保證用戶授權(quán)內(nèi)容的合法合規(guī)以及防范個人信息泄露法律風(fēng)險的細(xì)化內(nèi)容則較為欠缺。

具體而言，即將于今年10月1日生效的《民法總則》第一百一十一條首次將個人信息納入保護(hù)范圍，要求獲取途徑的合法合規(guī)。2012年12月28日全國人大常委會發(fā)布的《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的規(guī)定》全面開啟了我國個人信息保護(hù)的立法進(jìn)程。值得注意的是，現(xiàn)行《網(wǎng)絡(luò)安全法》（以下稱“網(wǎng)安法”）第四十一條與《消費者權(quán)益保護(hù)法》（以下稱“消法”）第二十九條的內(nèi)容均沿襲了上述規(guī)定的精神，明確規(guī)定網(wǎng)絡(luò)運營者與經(jīng)營者在收集、使用個人信息時遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用的目的、方式和范圍，同時應(yīng)當(dāng)經(jīng)過被收集者同意，不得違反法律、行政法規(guī)以及雙方的約定。當(dāng)然，《網(wǎng)安法》在《消法》的基礎(chǔ)上進(jìn)一步要求網(wǎng)絡(luò)運營者不得收集與其提供的服務(wù)無關(guān)的個人信息，對于相關(guān)大數(shù)據(jù)企業(yè)來說，用戶授權(quán)文件的具體授權(quán)事項應(yīng)當(dāng)僅限于提供服務(wù)所需，若要收集服務(wù)范圍之外的用戶個人信息，可能產(chǎn)生一定法律風(fēng)險。對于需要獲取用戶地理位置授權(quán)的運營者而言，最新修訂的《測繪法》第四十七條新增了互聯(lián)網(wǎng)地圖服務(wù)提供者收集、使用用戶個人信息應(yīng)遵守法律及行政法規(guī)關(guān)于個人信息保護(hù)的規(guī)定，雖然只是兜底性條款，但仍應(yīng)保持足夠關(guān)注。

相關(guān)平臺個人信息授權(quán)文件內(nèi)容分析

螞蟻花唄

作為阿里平臺旗下的重要消費信貸產(chǎn)品，螞蟻花唄因其開通免費、資金周轉(zhuǎn)靈活等特點受到公眾的廣泛使用，然而，開通花唄之前的《花唄用戶服務(wù)合同》卻被大部分用戶所忽視，其中第四條更是專門就信息收集、使用與共享進(jìn)行了詳細(xì)約定。根據(jù)最新版本的《花唄用戶服務(wù)合同》，用戶信息的收集范圍除最基本的姓名、身份證號碼、聯(lián)系電話與地址外，囊括了包含阿里集團(tuán)旗下公司、全部合作伙伴、有關(guān)征信服務(wù)機(jī)構(gòu)、政府部門、司法機(jī)關(guān)以及公共事業(yè)單位在內(nèi)的所有相關(guān)信息來源，因此，無論是公民個人使用阿里平臺下相關(guān)產(chǎn)品而產(chǎn)生的信用數(shù)據(jù)亦或與阿里存在合作關(guān)系的地圖服務(wù)運營者提供的位置信息，均可由花唄進(jìn)行收集。而信息使用的條款則更為概括，包含識別、驗證、分析、處理、評估等。關(guān)于信息分享，值得注意的是條款4.3.7與4.3.8列明的分享主體為“服務(wù)商（花唄）委托的數(shù)據(jù)處理者”與“境外主體”兩個概念，第三方機(jī)構(gòu)與境外機(jī)構(gòu)個人均能成為用戶個人信息的接收對象。

微信

相較于螞蟻花唄，微信關(guān)于用戶個人信息收集的內(nèi)容主要由《騰訊隱私政策》予以規(guī)定，因其社交軟件的性質(zhì)，內(nèi)容相比《花唄用戶服務(wù)合同》也更加簡潔明了，收集信息的范圍包括用戶電話號碼、電子郵件、銀行卡號等基本信息、用戶通過微信服務(wù)向其他方共享的信息、微信主動獲取的日志信息、位置信息等。而在如何使用上述信息的條款中，除去基礎(chǔ)性的身份驗證、客戶服務(wù)、安全防范外，騰訊更明確了“設(shè)計新服務(wù)，改善現(xiàn)有服務(wù)”以及定向廣告投放的內(nèi)容。而對于信息分享的對象，涉及關(guān)聯(lián)公司、合作伙伴及第三方服務(wù)商、承包商及代理，其中“他們可能并非處于您所在的法域”暗示了信息接收對象為境外主體的可能。

用戶授權(quán)文件合規(guī)建議

明確授權(quán)范圍

大數(shù)據(jù)企業(yè)在進(jìn)行數(shù)據(jù)信息收集的過程中，除經(jīng)被收集者同意外，應(yīng)當(dāng)明確收集的范圍。具體而言，在《網(wǎng)安法》第四十一條的基礎(chǔ)上，大數(shù)據(jù)企業(yè)應(yīng)當(dāng)根據(jù)自身經(jīng)營內(nèi)容嚴(yán)格限制獲取數(shù)據(jù)的范圍，僅將相關(guān)信息用于日常經(jīng)營所需，不得收集與其提供服務(wù)無關(guān)的個人信息，同時向用戶明示信息收集的具體來源，在征得用戶有效同意后方得提供相關(guān)服務(wù)。

細(xì)化使用目的

縱觀螞蟻花唄與微信用戶授權(quán)文件中有關(guān)信息使用目的的條款，內(nèi)容較為模糊與寬泛，而13年2月1日生效的《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》（以下稱“指南”）第5.2條明確要求個人信息收集要有特定、明確、合法的目的，此外，《指南》還要求個人信息獲得者應(yīng)當(dāng)向信息主體履行明確告知與警示義務(wù)，告知用戶對外披露或向其他機(jī)構(gòu)及組織提供個人信息的范圍以及可能存在的法律風(fēng)險，同時保證信息主體的投訴渠道暢通無阻。《指南》第5.2.4條更規(guī)定了個人信息獲得者“只收集能夠達(dá)到已告知目的的最少信息”的最少夠用原則，相關(guān)大數(shù)據(jù)企業(yè)對此應(yīng)予以重視。

今年6月1日與《網(wǎng)安法》同時發(fā)布的《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》中第一條對“公民個人信息”進(jìn)行了定義，包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財產(chǎn)狀況、行蹤軌跡等以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息均囊括在內(nèi)，大數(shù)據(jù)企業(yè)在實際使用過程中必要時應(yīng)進(jìn)行模糊與脫敏處理。

評估分享對象

《指南》第5.4條對個人信息轉(zhuǎn)移的要求進(jìn)行了表述，具體到大數(shù)據(jù)企業(yè)的日常經(jīng)營中，在進(jìn)行個人信息數(shù)據(jù)分享的過程中大數(shù)據(jù)企業(yè)不得違背在收集階段已經(jīng)明確告知信息主體的轉(zhuǎn)移目的，或超出告知的轉(zhuǎn)移范圍轉(zhuǎn)移個人信息。在向其他組織和機(jī)構(gòu)轉(zhuǎn)移個人信息前，大數(shù)據(jù)企業(yè)應(yīng)當(dāng)評估其是否能夠按照要求處理個人信息，并通過合同明確該組織和機(jī)構(gòu)的個人信息保護(hù)責(zé)任，除此之外，大數(shù)據(jù)企業(yè)還應(yīng)當(dāng)保證個人信息的完整性和可用性以及分享傳輸過程中的安全。

而對于境外數(shù)據(jù)接收主體（包括境外個人或境外注冊的組織和機(jī)構(gòu)），《指南》對個人信息管理者的要求是須同時滿足個人信息主體明示同意、法律法規(guī)明確規(guī)定、主管部門同意三項條件，鑒于大數(shù)據(jù)企業(yè)并不能歸類為個人信息管理者，上述內(nèi)容僅供參考。值得關(guān)注的是今年4月11日國家網(wǎng)信辦發(fā)布的《個人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》中明確要求個人信息出境應(yīng)當(dāng)向信息主體說明接收方及其國家或地區(qū)并經(jīng)其同意，未經(jīng)主體同意的個人信息不得出境，顯然，僅在授權(quán)文件中單方表述信息接收主體可能為境外機(jī)構(gòu)組織或個人，對大數(shù)據(jù)企業(yè)來說依然存在合規(guī)風(fēng)險。

觀韜中茂（上海）律師事務(wù)所

周天一

吳丹君首席數(shù)據(jù)官聯(lián)盟專家組成員首席數(shù)據(jù)官聯(lián)盟首席律師

來源：數(shù)據(jù)猿

收藏分享

聲明：數(shù)據(jù)猿尊重媒體行業(yè)規(guī)范，相關(guān)內(nèi)容都會注明來源與作者；轉(zhuǎn)載我們原創(chuàng)內(nèi)容時，也請務(wù)必注明“來源：數(shù)據(jù)猿”與作者名稱，否則將會受到數(shù)據(jù)猿追責(zé)。