导语
2019年10月11日,中国证券监督管理委员会(以下简称"证监会")发布《第十八届发审委2019年第142次会议审核结果公告》[1](以下简称"《公告》")称,北京墨迹风云科技股份有限公司(以下简称"墨迹科技")首发申请未通过。根据《公告》,发审委对墨迹科技提出询问的主要问题之一便是其用户数据收集、使用及处理合规问题。可见,数据合规问题也是证监会对拟IPO企业(尤其是互联网企业)的合规关注点之一,而数据生命周期管理始于对数据的收集、获取,企业的数据合规工作应当从"头"开始。本文主要结合相关规定和监管案例,简要谈谈企业运营App应如何合规收集用户个人信息。
《中华人民共和国网络安全法》[2](以下简称"《网络安全法》")第四十一条第一款规定,"网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意"。违反该规定,根据情节严重程度,可能会被采取警告、没收违法所得、罚款、责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等行政处罚措施[3]。App运营商为用户提供网络产品、服务,作为《网络安全法》规定的"网络运营者"[4],其无疑也必须遵守《网络安全法》关于对个人信息收集、使用的规定。
近年来国家从立法和执法监管方面都在加强规范相关主体收集个人信息的行为,App运营商也应当更加重视用户个人信息收集合规工作,以免受到相关行政处罚,或者对企业的IPO等发展进程带来不利影响。结合相关规定和实务中主要违规问题,我们认为,App在收集用户个人信息时,应遵循下列原则:
一、收集个人信息的必要性、最小化原则
《网络安全法》规定网络运营者收集个人信息应当遵循必要性的原则。《信息安全技术-个人信息安全规范》(GB/T 35273—2017)[5](以下简称"《安全规范》")则要求个人信息控制者[6]收集个人信息时应当遵循最小化要求,要求收集的个人信息类型应当与实现产品或服务的业务功能有直接关联,从收集的频率和数量上达到"最小化"。必要性原则和最小化原则本质上都是要求不能过度收集个人信息。但实践中,App超范围收集个人信息、过度索权的问题尤为突出,针对此现象,相关监管部门也在加强整治工作。我们将结合一些违规收集个人信息的案例,分析遵循收集个人信息时违反必要性原则和最小化要求的一些典型特征。
Please click here to view the full article.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
