大陸個人信息保護法專題文章(四) – 《個人信息保護法》對APP、互聯網運營商之影響(中國大陸)

莊薇馨、黃郁婷[1]

一、前言

在數位經濟時代,透過APP應用程式取得使用者信息、利用大數據管道節省經營成本、分析用戶行動軌跡,追逐市場動態,顯已成為現下多數零售業者之主要發展策略。然而,形形色色的App在提供用戶便利生活之時,也產生許多有害用戶之問題,諸如大數據殺熟、過度精准行銷、超範圍收集個人信息、App強制、過度索取許可權、侵犯個人隱私權等[2]

二、2021111日實施之《個保法》明確化超大型互聯網運營商個人信息保護責任、限制過度收集個人信息,並禁止大數據殺熟之行為

在2021年《個人信息保護法》(以下簡稱「個保法」)出臺前,企業利用APP違法違規收集使用個人信息主要系受《民法典》、《中華人民共和國網路安全法》[3]等法令規範,個保法更加明確了互聯網平臺用戶應有的各項權利、加強超大型互聯網運營商個人信息保護義務的要求,例如:要求提供互聯網平臺服務之運營商在處理敏感個人信息以及轉移個人信息必須通知個人並取得單獨同意、並明確禁止過度收集用戶信息、禁止通過自動化決策實行不合理的差別待遇等大數據殺熟之違法行為。下文將就前述個保法之具體規定及其他個保法下APP、互聯網運營商應特別注意之法令遵循問題進行說明。

三、《個保法》強化超大型互聯網運營商個人信息保護之責任

考量互聯網平臺作為全國大型之個人信息收集者,影響用戶廣泛,個保法第58條明文要求提供重要互聯網平臺服務、使用者數量巨大、業務類型複雜的個人信息處理者應當:(1)按規定成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督、(2)制定平臺規則明確平臺內產品或者服務提供者處理個人信息的規範和保護個人信息的義務、(3)對嚴重違法違規者停止提供服務、(4) 定期發佈個人信息保護社會責任報告。雖然目前有關“重要互聯網平臺服務”、“使用者數量巨大”、“業務類型複雜”之定義及內涵尚待後續主管機關制定相關細則加以明確化,但自本條立法目的可以推測,本條規範物件應主要為大型、具一定規模的企業,尤其各行業的巨頭。另有論者建議,考量互聯網與信息數據產業的蓬勃發展趨勢,未來即便是相對較小的相關市場內的用戶體量也足以達到絕對數量“巨大”的標準[4]

四、《個保法》明確對採用自動化決策之企業進行規制、禁止大數據殺熟之行為

個保法第73條規定將自動化決策定義為“通過電腦程式自動分析、評估個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等,並進行決策的活動”。據此,幾乎可以說但凡所有通過自動演算法推薦技術實現信息推送和商業行銷的服務,都可能被認定屬個保法規範之自動化決策之態樣。

個保法針對個人信息處理者採用自動化決策者之相關規範包括:

1. 利用個人信息進行自動化決策應當保證決策的透明度和結果公平、公正,個人信息處理者不得對個人在交易價格等交易條件上實行不合理的差別待遇。

2. 通過自動化決策方式向個人進行信息推送、商業行銷,應當同時提供不針對其個人特徵的選項,或者向個人提供便捷的拒絕信息的方式。

3. 通過自動化決策方式作出對個人權益有重大影響的決定,個人有權要求個人信息處理者予以說明,並有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。

據上規定,APP、互聯網運營商應禁止濫用大數據等分析手段,且應不得再就同一個消費品針對新、老用戶訂定不一價格之“大數據殺熟”行為[5]。另外,當APP、互聯網運營商根據使用者過往流覽過、消費過所留下的痕跡,經數據分析篩選後推送“猜你喜歡”的商品時, 依據個保法規定,尚應同時向該用戶提供不針對其個人特徵的其他選項,或向個人提供便捷的拒絕方式(例如提供消費者選擇“關閉”此推送之選項),否則,APP、互聯網運營者即可能會有違法之疑慮。

五、其他個保法下應特別注意之法令遵循問題

1. 個保法明確禁止企業過度收集個人信息:針對企業過度收集個人信息的問題,個保法於第5條、第6條已有明確規定,處理個人信息應當遵循合法、正當、必要和誠信原則,且應當具有明確、合理的目的,並應當與處理目的直接相關,收集個人信息應當限於實現處理目的的最小範圍,不得過度收集個人信息。據此,APP、互聯網運營商在收集用戶信息時,應適度調整其收集信息之範圍,其收集之信息內容是否與收集之目的間具有正當合理關聯,且應注意是否符合“最小必要性”原則。舉例而言,倘商家採用之應用程式要求使用者必須提供個人信息並加入會員始能點單,此等做法則可能已構成過度收集個人信息之情形。

2. 個保法明確規定APP、互聯網運營商不得僅因用戶不同意其單方制定之概括授權條款或隱私政策而拒絕提供產品或服務:依據個保法第16條規定,個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由,拒絕提供產品或者服務,處理個人信息屬於提供產品或者服務所必需的除外。此前,在《常見類型移動互聯網應用程式必要個人信息範圍規定》中,也有明確規定“App運營商不得因為用戶不同意提供非必要個人信息,而拒絕用戶使用其基本功能的服務” 。據此,過去常見APP、互聯網運營商在用戶打開APP或使用平臺服務前會先要求使用者先行同意企業制定之“隱私協議”和一系列的概括授權同意條款,且通常用戶若不同意,則僅能選擇“拒絕並退出”該App或互聯網平臺而無法繼續使用產品或服務;此條款即已違反前述個保法之規定。

3. 個保法明確規定APP、互聯網平臺運營商應設置便捷之取消授權方式以利使用者隨時撤銷其授權,例如設計一鍵撤回之選項:依據個保法第15條規定,基於個人同意處理個人信息的,個人有權撤回其同意,個人信息處理者應當提供便捷的撤回同意的方式。個人撤回同意,不影響撤回前基於個人同意已進行的個人信息處理活動的效力。據此,APP或互聯網平臺運營商應在顯著位置提供用戶簡單、便捷的取消授權方式、友善使用者的操作路徑,供使用者隨時撤銷其授權。惟應注意者,用戶選擇“一鍵撤回”應非在指用戶應註銷帳戶、或不得繼續使用服務。倘APP或互聯網平臺之設計上要求用戶需註銷帳號才能撤回其個人信息使用之授權,則亦可能違反前述個保法第15條之規定,再者,如果用戶撤回的授權範圍,並不是提供產品或服務功能所必需的,App或互聯網平臺運營者應准予其撤回且亦應繼續為使用者提供服務。

六、對APP、互聯網平臺運營商之建議

在個保法實施後,過去實務上APP、互聯網平臺運營商常採取之行為,包括:通過自動化決策方式向個人進行信息推送或商業行銷、利用自動化決策對不同用戶實施差別定價、強制用戶授權個人信息、用戶只能註銷帳號才能撤回授權等情形都可能有違反個保法之疑慮而有整改之必要。因此,建議企業應及早評估目前內部個人信息保護制度,並依法適度調整以建立完善內部管理制度、並加強員工有關個人信息保護之安全教育和培訓。


[1] 作者为上海理慈律师事务所实习律师与顾问,惟本文内容为个人意见,不代表事务所立场。

[2] 三方联合|重磅发布《全国移动App第二季度安全研究报告》_中国创氪网 (chuanganwang.cn),网址:http://www.chuanganwang.cn/shj/2021/0723/072021_80147.html(最后浏览日期:2021年11月21日)

[3] 2021年7月4日,“滴滴出行”App 即因存在严重违法违规收集使用个人信息问题遭国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定通知应用商店下架“滴滴出行”App。

[4]《个人信息保护法》重大产业影响条款深度解析及条文对比解读,网址:https://www.163.com/dy/article/GI48JFRG0512D80K.html,(最后浏览日期: 2021年11月21日)

[5] 所谓大数据杀熟,有人将其定义为互联网厂商对老用户实行价格歧视的行为,亦即,同一件商品或者同一项服务,互联网厂商显示给老用户的价格要高于新用户,并依此获得利润最大化。