庄薇馨、黄郁婷[1]
一、前言
在数字经济时代,透过APP应用程序取得用户信息、利用大数据渠道节省经营成本、分析用户行动轨迹,追逐市场动态,显已成为现下多数零售业者之主要发展策略。然而,形形色色的App在提供用戶便利生活之时,也產生许多有害用戶之问题,诸如大数据杀熟、过度精准营销、超范围收集个人信息、App强制、过度索取权限、侵犯个人隐私权等[2]。
二、2021年11月1日实施之《个保法》明确化超大型互联网运营商个人信息保护责任、限制过度收集个人信息,並禁止大数据杀熟之行为
在2021年《个人信息保护法》(以下简称「个保法」)出台前,企业利用APP违法违规收集使用个人信息主要系受《民法典》、《中华人民共和国网络安全法》[3]等法令规范,个保法更加明确了互联网平台用户应有的各项权利、加强超大型互联网运营商个人信息保护义务的要求,例如:要求提供互联网平台服务之运营商在处理敏感个人信息以及转移个人信息必须通知个人并取得单独同意、并明确禁止过度收集用户信息、禁止通过自动化决策实行不合理的差别待遇等大数据杀熟之违法行为。下文将就前述个保法之具体规定及其他个保法下APP、互联网运营商应特别注意之法令遵循问题进行说明。
三、《个保法》強化超大型互联网运营商个人信息保护之责任
考量互联网平台作为全国大型之个人信息收集者,影响用户广泛,个保法第58条明文要求提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者应当:(1)按规定成立主要由外部成员组成的独立机构对个人信息保护情况进行监督、(2)制定平台规则明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务、(3)对严重违法违规者停止提供服务、(4) 定期发布个人信息保护社会责任报告。虽然目前有关“重要互联网平台服务”、“用户数量巨大”、“业务类型复杂”之定义及内涵尚待后续主管机关制定相关细则加以明确化,但自本条立法目的可以推测,本条规范对象应主要为大型、具一定规模的企业,尤其各行业的巨头。另有论者建议,考量互联网与信息数据产业的蓬勃发展趋势,未来即便是相对较小的相关市场内的用户体量也足以达到绝对数量“巨大”的标准[4]。
四、《个保法》明确对采用自动化决策之企业进行规制、禁止大数据杀熟之行为
个保法第73条規定將自动化决策定義為“通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动”。据此,几乎可以说但凡所有通过自动演算法推荐技术实现信息推送和商业营销的服务,都可能被认定属个保法规范之自动化决策之态样。
个保法针对个人信息处理者采用自动化决策者之相关规范包括:
1. 利用个人信息进行自动化决策应当保证决策的透明度和结果公平、公正,个人信息处理者不得对个人在交易价格等交易条件上实行不合理的差别待遇。
2. 通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝信息的方式。
3. 通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
据上规定,APP、互联网运营商应禁止滥用大数据等分析手段,且应不得再就同一个消费品针对新、老用户订定不一价格之“大数据杀熟”行为[5]。另外,当APP、互联网运营商根据用户过往浏览过、消费过所留下的痕迹,经数据分析筛选后推送“猜你喜欢”的商品时, 依据个保法规定,尚应同时向该用户提供不针对其个人特征的其他选项,或向个人提供便捷的拒绝方式(例如提供消费者选择“关闭”此推送之选项),否则,APP、互联网运营者即可能会有違法之疑虑。
五、其他个保法下应特别注意之法令遵循问题
1. 个保法明确禁止企业过度收集个人信息:针对企业过度收集个人信息的问题,个保法于第5条、第6条已有明确规定,处理个人信息应当遵循合法、正当、必要和诚信原则,且应当具有明确、合理的目的,并应当与处理目的直接相关,收集个人信息应当限于实现处理目的的最小范围,不得过度收集个人信息。据此,APP、互联网运营商在收集用户信息时,应适度调整其收集信息之范围,其收集之信息内容是否与收集之目的间具有正当合理关联,且应注意是否符合“最小必要性”原则。举例而言,倘商家采用之应用程序要求用户必须提供个人信息并加入会员始能点单,此等做法则可能已构成过度收集个人信息之情形。
2. 个保法明确規定APP、互联网运营商不得仅因用户不同意其单方制定之概括授权条款或隐私政策而拒绝提供产品或服务:依据个保法第16条规定,个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务,处理个人信息属于提供产品或者服务所必需的除外。此前,在《常见类型移动互联网应用程序必要个人信息范围规定》中,也有明确规定“App运营商不得因为用户不同意提供非必要个人信息,而拒绝用户使用其基本功能的服务” 。据此,过去常见APP、互联网运营商在用户打开APP或使用平台服务前会先要求用户先行同意企业制定之“隐私协议”和一系列的概括授权同意条款,且通常用户若不同意,则仅能选择“拒绝并退出”该App或互联网平台而无法继续使用产品或服务;此条款即已违反前述个保法之规定。
3. 个保法明确規定APP、互联网平台运营商应设置便捷之取消授权方式以利用户随时撤销其授权,例如設計“一键撤回”之选项:依据个保法第15条规定,基于个人同意处理个人信息的,个人有权撤回其同意,个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。据此,APP或互联网平台运营商应在显着位置提供用户简单、便捷的取消授权方式、友善用户的操作路径,供用户随时撤销其授权。惟应注意者,用户选择“一键撤回”应非在指用户应注销账户、或不得继续使用服务。倘APP或互联网平台之设计上要求用户需注销账号才能撤回其个人信息使用之授权,则亦可能违反前述个保法第15条之规定,再者,如果用户撤回的授权范围,并不是提供产品或服务功能所必需的,App或互联网平台运营者应准予其撤回且亦应继续为用户提供服务。
六、对APP、互联网平台运营商之建议
在个保法实施后,过去实务上APP、互联网平台运营商常采取之行为,包括:通过自动化决策方式向个人进行信息推送或商业营销、利用自动化决策对不同用户实施差别定价、强制用户授权个人信息、用户只能注销账号才能撤回授权等情形都可能有违反个保法之疑虑而有整改之必要。因此,建议企业应及早评估目前内部个人信息保护制度,並依法适度调整以建立完善内部管理制度、并加强员工有关个人信息保护之安全教育和培训。
[1] 作者为上海理慈律师事务所实习律师与顾问,惟本文内容为个人意见,不代表事务所立场。
[2] 三方联合|重磅发布《全国移动App第二季度安全研究报告》_中国创氪网 (chuanganwang.cn),网址:http://www.chuanganwang.cn/shj/2021/0723/072021_80147.html(最后浏览日期:2021年11月21日)
[3] 2021年7月4日,“滴滴出行”App 即因存在严重违法违规收集使用个人信息问题遭国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定通知应用商店下架“滴滴出行”App。
[4]《个人信息保护法》重大产业影响条款深度解析及条文对比解读,网址:https://www.163.com/dy/article/GI48JFRG0512D80K.html,(最后浏览日期: 2021年11月21日)
[5] 所谓大数据杀熟,有人将其定义为互联网厂商对老用户实行价格歧视的行为,亦即,同一件商品或者同一项服务,互联网厂商显示给老用户的价格要高于新用户,并依此获得利润最大化。