App共享第三方合规攻略

2020年05月22日16:18 作者:和昶律所

　　文/意见领袖专栏机构北京和昶律师事务所

　　本文作者：朱一博

　　近日，中信银行因擅自向某公司提供个人信息被卷入风波，致歉、处理责任人等快速反应均未能挽回信用损失，即将面临民事责任、行政处罚等。自然人的个人信息受法律保护，储户是个人信息主体，银行是信息控制者，银行对信息的控制源于储户的授权，其余均属于第三方。因此，除法定情形以外，未经授权向第三方提供个人信息必然违法违规。中信银行事件因小失大，教训惨痛，为我们敲响警钟。

　　一、信息共享风险预警

　　大数据时代，移动应用程序（App）显现蓬勃生机，成为个人信息汇集的中心，App运营商（以下简称App）与第三方的合作日渐密切与多元。第三方主体包括各类产品或服务供应商，如智能设备、服务平台、系统服务、软件服务提供商，具体包括移动运营商、第三方支付机构、广告、咨询、调研、分析、客服、回访、身份验证、安全监测等服务提供商。App中的小程序、第三方应用、第三方代码、插件（如软件开发工具包sdk，sdk详情建议参考《Zoom危机：警惕潜伏在APP后面的SDK大盗》）皆为第三方的缩影。它们通过客户端直接收集信息，或者先将数据传输至App后台服务器，再向第三方提供，主要通过这两种方式实现信息共享。

　　互联网非法外之地，与第三方共享个人信息，同样以告知用户并征得用户同意为前提。自“App违法违规收集使用个人信息专项治理行动”开展以来，因信息“私自共享第三方”受到监管部门惩处的App不在少数，耳熟能详的，如闪送（版本5.2.20）、36氦（版本8.6.7）、QQ阅读（版本7.1.1.888）、人人视频（版本4.2.9）、一点资讯（版本5.2.1.0）等。

　　同时，App需警惕与第三方合作的安全性。第三方由App引入，对于终端用户而言，App在明，第三方在暗，App需为第三方行为担责。近年来，第三方违规引发的信息安全事件并不鲜见。倘若第三方恶意操作（如恶意推送信息的“寄生推”）、隐蔽收集用户个人信息，或因安全漏洞引发信息泄露，App事前未进行责任切割，未尽到告知、监督义务，就难辞其咎，为第三方所累。

　　二、安身法则——“告知”与“监督”

　　用户信息安全不容忽视，法律规范接踵而至，与第三方合作已成定局，App怎样才能守住合规底线？《网络安全法》明确，网络运营者收集、使用个人信息，应当遵循知情同意、必要性原则，App与第三方共享信息属于“使用”，因此受上述原则约束。关于App与第三方，目前尚未有法律法规作出具体规定，散见于《App违法违规收集使用个人信息行为认定方法》、《App违法规收集使用个人信息自评估指南》、《个人信息安全规范》GB/T 35273—2020、《数据安全管理办法（征求意见稿）》、《移动互联网应用程序（App）收集使用个人信息自评估指南（征求意见稿）》、《移动互联网应用程序（App）个人信息安全防范指引（征求意见稿）》等文件。

　　通过梳理上述规范性文件，App共享第三方合规准则有二，第一：对用户充分告知；第二，对第三方尽到必要的监督责任。不难理解，终端用户为个人信息主体，App对信息的使用受制于权利人的授权，故信息共享需告知并取得权利主体同意，“明明是三个人的电影，请告知他姓名”；在App、终端用户与第三方关系图中（如图1所示），App为连结三方的关键所在，处于对第三方风险披露的最佳位置。同时，收益永远与风险并存，为提高效率、享受便利引入第三方，则监督第三方为应有之责，失责的风险如影相随。

　　（图1终端用户、App与第三方关系）

　　鉴于尚未有法律法规对App与第三方的权利义务关系作出系统性规定，“告知”与“监督”的具体内容需要从第三方类型、App与第三方的法律关系两个维度展开。

　　首先，App中第三方包括嵌入的第三方代码、插件、小程序、第三方应用等，App与第三方共享用户个人信息，应当告知用户以下内容，征得用户同意：（1）逐一列出第三方收集使用个人信息的目的、方式、范围等；（2）数据接收方的类型以及可能产生的后果；（3）共享个人敏感信息，还应告知涉及的个人敏感信息类型、数据接收方的身份和数据安全能力，并事先征得个人信息主体的明示同意；（4）人生物识别信息原则上不应共享。因业务需要，确需共享，应单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等，并征得个人信息主体的明示同意。

　　（图2：个人敏感信息与个人生物识别信息，源于《个人信息安全规范》（GB/T 35273—2020））

　　其次，App与第三方除了具有共享关系外，还可能成立委托处理、共同控制、第三方管理三种关系（如图3所示）。通俗的说，委托处理即App将收集的个人信息委托第三方处理；共同控制是指App通过合同等形式与第三方达成合意，共同对用户个人信息进行控制。值得注意的是，App如果部署了收集个人信息的第三方插件，例如软件开发工具包sdk，且该第三方未单独向用户告知并征得同意，则默认App与第三方sdk属于共同控制关系；如果App未委托第三方也未与第三方约定共同控制，只是接入了客观上具备收集个人信息功能的第三方，就属于第三方接入管理。

　　（图3，源于《个人信息安全规范》（GB/T 35273—2020））

　　合规要求总体包括厘清权责、告知用户、监督第三方（如审计、技术检测、记录留痕等），因法律关系不同，各有侧重。例如，委托处理侧重于对第三方进行监督；共同控制侧重于向用户告知第三方身份以及各自责任，否则将承担因第三方引起的个人信息安全责任；对接入的第三方如若管理不慎，极可能引发信息泄露，因此既要求App向用户明确说明产品或服务由第三方提供，又要求对第三方加强监督。需要关注的是，《数据安全管理办法（征求意见稿）》第30条规定，如果第三方应用发生数据安全事件对用户造成损失，除非网络运营者能证明自己无过错，否则应当承担部分或全部责任。

　　三、落地困境与探寻

　　为保障用户个人信息安全，实现终端用户、App与第三方之间良性互动，合规的信息共享流程应当是：App筛选第三方合作伙伴→App向用户告知并获得授权→App监督第三方。落实该流程在实践中举步维艰，至少存在以下几方面的问题：

　　第一，专业人员配备。筛选合作伙伴是否需要配备专业人员？当前筛选第三方合作伙伴，例如软件开发工具包sdk通常由技术人员进行，因涉及法律问题，是否需要法务人员提前介入，或安排专人与第三方对接？

　　第二，App筛选合作对象的判断标准。如何判断第三方合作伙伴是否可靠，在安全性、个人信息保护程度方面有哪些指标？如何获知第三方可能存在的违法违规行为或安全隐患？

　　第三，App与第三方权责不对等。筛选、告知、监督的行使，都以App知悉第三方收集、使用个人信息的情况为前提。然而，现行法律规范仅聚焦于App，尚未溯及上游第三方。若第三方不明确收集、使用个人信息的目的、方式、范围，App该如何向用户告知？

　　第四，告知方式。第三方合作伙伴数量庞大，如何有效告知？

　　第五，App与第三方地位不对等。App与第三方sdk的合作，通常是第三方sdk提供服务开放平台，在线签署开发者服务协议。面对此类第三方，App何尝不是用户。在监管缺位的情况下，App难以与第三方博弈，对第三方监督。

　　毋庸置疑，在信息共享流程中，任一环节监管的缺失必将导致个人信息保护流于形式。可以预见，监管的触角必将延伸至第三方，在此之前，App该如何作为？建议如下。

　　1．筛选合作伙伴。应当重视第三方的信息安全合规意识和安全措施，包括背景调查、了解隐私政策（关注是否明确收集信息的目的、方式、范围；共享信息；是否转委托；是否收集敏感信息以及采取的安全措施等），有条件的可对第三方收集信息进行技术验证、安全评估。另外，尽可能在合作协议明确双方权责。若能对第三方拟收集的信息进行协商，建议对第三方数据请求的必要性进行评估，拒绝不必要的个人信息收集请求。

　　值得一提的是，部分第三方sdk具有较强的合规意识，例如极光sdk，制定了一系列合规文件，包括《极光合规指南》、《极光合规指南之极光开发者服务——安全与合规政策解读》、《极光SDK隐私政策合规落地指引》，将其收集、使用App最终用户个人信息的相关情况绘制成表，涵盖sdk产品名称、App产品所应用系统、场景描述、收集方式、个人信息类型、个人信息字段、用途或目的、是否为必要信息、信息处理方式（替换、匿名化处理），并要求APP在隐私政策中列明。

　　2．告知用户。如前所述，告知内容至少包含第三方类型与身份、收集使用个人信息的目的、方式、范围，可以采用隐私政策、弹窗提示、文字备注、文本链接等告知方式，已有部分App做出了大胆尝试，例如，曾因“私自共享第三方”被要求整改的绿城生活与人人视频，在最新的隐私政策中采用直接列明的方式（如图4所示）；度小满（有钱花）在隐私政策“如何共享个人信息”第三方合作机构处附上超链接，超链接内列明第三方sdk嵌入情况（如图5所示）；抖音采用在隐私政策中附上超链接，超链接内附上接入第三方sdk名称、使用目的以及官网链接（如图6所示）。