人脸识别第一案背后：个人信

东莞石碣律师获悉

提出问题

2020年11月21日，上海法治报刊发文章《“首例人脸识别案”宣判！法学博士拒绝“刷脸”入园，状告杭州野生动物世界》。该案的判决引起了公众的广泛关注，2020年12月16日，在百度上输入“人脸识别第一案”，可以找到约333万条相关结果1，可以说，“人脸识别第一案”的背后。是社会各界对个人信息随意收集、过度使用甚至不当披露的担忧日益加剧。

另一方面，行政监管在行动。 2020年5月14日至2020年12月21日，工业和信息化部信息通信管理局共通报7批444款侵犯用户权益的APP3，下架117款。 4

数据显示，截至2020年3月，我国网民规模已达9亿，应用数量超过300万。 5

随着App不断渗透到社会生活中，个人信息保护问题变得越来越突出。制定并实施既合规又有效的隐私政策已成为应用运营者的首要任务。本文在分析整理监管部门反映的问题的基础上，结合笔者协助客户制定和实施App隐私政策的经验，试图总结出App隐私政策制定和实施过程中需要特别注意的领域。隐私政策。

应用程序隐私政策的制定

一个App必须有隐私政策，而隐私政策必须有基本条款。 6

第一条明确了收集、使用个人信息的目的、方式和范围。 《网络安全法》要求应用运营者基于合理、必要的原则，说明收集、使用个人信息的目的、方式和范围。 7 分析监管部门的通报，我们发现大部分问题集中在“违规征收”上，而“违规征收”大多表现为“超范围征收”。

关于“个人信息”，《网络安全法》采用定义加列举的方式8，但没有列举移动终端设备信息。考虑到“人人拥有一部手机”的实际社会生活情况，将移动终端设备信息与移动终端设备的地理位置关联，进而与移动终端设备的用户的地理位置关联。因此，移动终端设备信息可以与其他信息结合来识别自然人的个人身份。该信息应属于个人信息类别。

关于“必要”，《常见类型移动互联网应用程序（App）必要个人信息范围（征求意见稿）》9认为，必要个人信息是指保证移动互联网应用基本功能正常运行所必需的个人信息。该应用程序。如果没有这些信息，App就无法提供基本的功能服务。在实践中，判断“必要性”并不困难。对于网络购物应用，收货人的联系方式和地址是必要的信息；对于约会和约会媒体应用程序来说，性别和年龄是必要的信息。

关于“使用”，在可能的情况下，App运营者应选择对个人信息的使用进行去标识化，并在隐私政策中予以说明。例如：网约车、外卖等应用运营商可以将用户的手机号码以去标识化的方式提供给司机、特定门店和配送人员。

需要说明的是，隐私政策不仅应当说明本App收集、使用个人信息的目的、方式和范围，还应当明确第三人收集、使用个人信息的目的、方式和范围。 -此应用程序中嵌入了派对SDK。

第2条表述了用户的知情权和选择权。隐私政策应当明确告知用户有权选择同意或不同意收集、使用个人信息，并提供用户撤回同意的方式方法。从监管部门通报的内容来看，App运营者在收集个人信息时必须征得用户同意。在收集身份证号码、银行卡号等敏感个人信息时，必须同时额外告知收集目的，保障用户知情权。敏感个人信息是一个新概念。 《信息安全技术个人信息安全规范》（GB/-2020）定义了“个人敏感信息”10，《个人信息保护法（草案）》采用了“个人敏感信息”11。根据规定，两个概念的含义并不完全相同，但这并不影响东莞世杰律师事务所协助委托人理解和执行这两个相似但不同的概念。

尽管《信息安全技术个人信息安全规范》（GB/-2020）只是推荐性国家标准，不具有法律强制执行效力，且草案并非正式法律，但监管部门在通知中要求必须同步收集敏感个人信息。告知收集目的。监管先于法律。本文不讨论行政行为的合法性。从维护App运营者经济利益的角度出发，东莞世杰律师事务所在协助客户制定App隐私政策时也应适当主动。

上述两条条款应为App隐私政策的核心条款。以下条款主要解决用户自由、顺利进出的问题，但也是必不可少的。相当多的App因此被监管部门通报甚至下架。

第三条明确了用户删除或更正个人信息的方法或渠道。当用户发现网络运营者违反规定或双方约定收集、使用其个人信息时，可以自由、顺利地要求网络运营者删除其个人信息；当用户发现网络运营者收集、存储的其个人信息有错误时，可以自由、顺利地要求网络运营者进行更正。

第四条明确了用户投诉、举报的方式或者渠道。隐私政策必须提供用户投诉、举报的方式或渠道，以便App运营者及时受理和处理有关个人信息安全的投诉、举报。

应用程序隐私政策的执行

仅靠方法是不够的。应用运营者必须制定完整的隐私政策并执行完整的隐私政策。从监管部门通报的问题来看，App运营者必须克服以下两类隐私政策实施缺陷：

第一个与本App隐私政策的执行直接相关，主要如下：

欺骗和误导用户同意。应用运营者必须诚实、准确地提示用户处理个人信息的目的和范围，保障用户的知情权和选择权。

强行、频繁、过度征求用户同意，干扰用户正常使用的。应用运营者不仅不应强制、频繁或过度地征求用户同意，而且还应为用户别无选择的应用（例如访问控制应用）提供可行的替代方案。例如：一些写字楼使用门禁应用程序，同时提供无需个人信息的现场接收二维码或磁卡然后刷码刷卡的出入方式。

未能及时回应用户的投诉和举报。部分APP运营商虽然提供投诉举报电话，但均提示“座机正忙，请挂断”。部分应用运营者未能在隐私政策规定的时限内回复用户的投诉和举报。

不提供流畅的注销功能。一些应用运营商要求用户在退出帐户时提供面部识别确认。这是为退出设置障碍，显然不符合法律精神。

二是与App隐私政策的执行情况间接相关。主要表现有：

应用分发平台对App进行模糊描述，甚至欺骗、误导下载。 App上架时，经营者必须如实、准确地描述该App的功能和用途。

在用户同意之前开始收集个人信息或自行收集个人信息。这两种行为本质上都是盗窃个人信息。

以明文形式上传用户帐户和密码。 App以明文方式上传用户账号和密码，将使账号和密码在App运营者与用户之间进行互通，这不仅违反了《网络安全法》，也违反了《电子签名法》的规定12。由于它不构成可靠的电子签名，因此很难识别通过该电子签名完成的交易或行为的负责人。通过以明文形式上传用户账户和密码，App运营者看似获得了更多信息，但实际上却在伤害自己。

非法获取、出售个人信息。监管部门13日公布，部分App未经用户同意向第三方服务器发送数据，但监管部门并未通报该行为是否涉嫌犯罪，是否会移送公安机关调查。东莞世杰律师事务所在提供法律服务过程中必须向委托人说明，非法获取、出售个人信息属于个人信息超范围使用，情节严重的涉嫌侵犯公民个人信息14 。客观地说，非法出售个人信息并不是App运营者的初衷，也不是App的盈利点。掌握相关数据的往往是员工的个人行为。但员工个人行为的原因是隐私政策执行存在问题。

结论

法律、法律草案、国家标准、行业标准字数千万字，但其核心在于：必要性、同意性、完整性。个人信息的收集仅限于必要的范围。运营商告知且用户同意不超出范围使用个人信息。

1.%E4%BA%BA%E8%84%B8%E8%AF%86%E5%88%AB%E7%AC%AC%E4%B8%80%E6%A1%88&=256&oq=126%25E9 %2582%25AE%25E7%25AE%25B1&=&rsv_t=%%%HAA&=cn&=tb&=0&=t&=9404&=67&=57&=101&=%25E4%25BA%25BA%25E8%2584%25B8%25E8%25AF %2586%25E5%2588%25AB%25E7%25AC%25AC%25E4%25B8%2580%25E6%25A1%2588&rsp=0&=10165

2、《网络安全法》第七十六条规定“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于姓名自然人的出生日期、身份证件号码、个人生物特征信息、地址、电话号码等”

3.本文中的App指的是应用程序

4.

5.

6、《网络安全法》第四十一条规定“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明确收集的目的、方式和范围”。并经被收集者同意，网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的协议收集、使用个人信息。当事人应当遵守法律、行政法规和用户协议的规定处理其存储的个人信息。”

7. 同注6。

8. 同注2。

9.

10、《信息安全技术个人信息安全规范》第3.2条规定“敏感个人信息一旦泄露、非法提供或者滥用，可能危及人身、财产安全，容易导致个人名誉、身心健康受损”东莞石碣律师，或歧视性待遇。”信息。”

11、《个人信息保护法（草案）》第二十九条第二款规定：“个人敏感信息是指一旦泄露或者被非法使用，可能导致个人受到歧视或者人身、财产安全受到损害的个人信息。严重受到威胁，包括种族信息、民族、宗教信仰、个人生物识别、医疗健康、财务账户、个人行踪和其他信息。”

12、《电子签名法》第十三条规定：“电子签名同时满足下列条件的，应当视为可靠的电子签名： （一）电子签名制作数据用于电子签名时，为电子签名人独有； (2) 电子签名制作数据仅由电子签名人在签名时控制； (3) 签名后电子签名的任何变更均可被发现；签名后的数据电文的内容和形式也可以被当事人发现并选择使用符合其约定的可靠性标准的电子签名。”

13、2020年11月13日，国家网信办APP违法收集使用个人信息治理工作组发布《关于35款APP非法收集使用个人信息问题的通知》。

检查地址

14.刑法第253条之一规定：“

违反国家有关规定，出售、向他人提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；构成犯罪的，依法追究刑事责任。情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

违反国家有关规定，出售、提供在履行职责或者为他人提供服务过程中获取的公民个人信息的，依照前款的规定从重处罚。

窃取或者以其他方式非法获取公民个人信息的，依照第一款的规定处罚。

单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各款的规定处罚。 ”

上海市律师协会投稿渠道：

欢迎投稿~

石碣 镇律师?敬请于评论区发表高见，并对本文予以点赞及转发，以助广大读者把握法律与正义的界限。