5月13日,工业和信息化部信息通信管理局发布《关于下架侵害用户权益APP名单的通报》(以下简称“《通报》”),依据《网络安全法》、《电信和互联网用户个人信息保护规定》(工信部令第24号)、《移动智能终端应用软件预置和分发管理暂行规定》(工信部信管[2016]407号)等法律和规范性文件要求,工信部组织对90款APP进行下架。

相关应用商店应在本通报发布后,立即组织对名单中应用软件进行下架处理,并加强举一反三,认真排查、系统排查反复出现问题企业,严格落实企业主体责任,把好上架审核关。

在工信部进行下架处理的90款APP中,有81款涉及违规收集个人信息、超范围收集个人信息的情况,其中包括天涯社区、大麦、途牛旅游、脉脉等APP反复出现问题被下架。

可见,投融资交易最火热的TMT行业,APP收集个人信息不合规问题十分严重。

那么,在股权投资的交易支持阶段,对TMT行业项目的法律尽调,要如何从合规性的角度去判断项目风险呢?

本文从项目方受到的监管政策、监管背景、监管原则,和项目方如何配合监管要求进行合规运营,以及违规操作的风险,来做一个浅析。

一、法规政策解读

由国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、国家市场监督管理总局办公厅于2021年3月12日联合发布的,自2021年5月1日起施行的《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称 “规定”),对常见类型App的必要个人信息范围进行了划定。

主要有如下核心要点:

  1. 明确移动互联网应用程序(App)运营者不得因用户不同意收集 非必要个人信息,而拒绝用户使用App基本功能服务。
  2. 明确必要个人信息,是指保障App基本功能服务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务。且是指消费侧用户个人信息,不包括服务供给侧用户个人信息。
  3. 明确39类常见App的基本功能及必要收集的个人信息类型,覆盖了大众衣食住行、学习工作等日常生活主要方面,基本涵盖了当前网民普遍诉求。
  4. 将预置软件、小程序纳入App范围,均受到监管。
  5. 任何组织和个人发现违反本规定行为的,都可以向相关部门举报且执法机关必须依法核实处理,明确了严格执法的监管态度。

二、监管原则和背景

近年来,App得到广泛应用,在促进经济社会发展、服务民生等方面发挥了不可替代的作用。但与此同时,App超范围收集个人信息、强制授权、过度索权等现象大量存在,违法违规使用个人信息问题十分突出。

根据2018年中国消费者协会发布的《App个人隐私泄露情况调查报告》结果显示,个人信息泄露总体情况比较严重,遇到过个人信息泄露情况的人数占比为85.2%,没有遇到过个人信息泄露情况的人数占比为14.8%。个人信息泄露后遭遇的常见问题:推销电话或短信骚扰、接到诈骗电话、收到垃圾邮件。

针对App的信息采集范围与个人信息隐私安全的边界不断产生冲突的问题,国家接连出台《民法典》、《网络安全法》、《电信和互联网用户个人信息保护规定》、《App违法违规收集使用个人信息行为认定方法》、《个人信息保护法》(草案)、《移动互联网应用程序个人信息保护管理暂行规定》(征求意见稿),及《规定》等法律法规对此进行了规制。

在《民法典》第一千零三十四条中,明确的规定了自然人的个人信息受到法律的保护。且处理个人信息时,要遵循合法、正当、必要原则。此外,《电信和互联网用户个人信息保护规定》中也明确了对于电信业务经营者在提供服务过程中收集、使用用户个人信息,应当遵循合法、正当、必要的原则。必要性原则作为个人信息收集和处理的基本原则之一,在《规定》中得到贯彻。

必要性原则是指,收集的个人信息的类型应与实现产品或服务的业务功能有直接关联;自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率;间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最小数量。

三、如何落实监管要求

国家互联网信息办公室网络数据管理局有关负责人就《规定》相关问题答记者问中说到:

  1. App运营者应当按照《规定》要求,对照App基本功能及必要个人信息范围,在5月1日前,对运营的App收集使用个人信息行为开展自查,对不符合《规定》要求的及时进行改正。
  2. 《规定》正式实施后, 应用商店等分发平台应当按照《规定》对申请上架的App进行审核,不符合《规定》要求的不予上架;对已上架的App进行复核,不符合《规定》要求的应当予以下架。
  3. 有关部门应当按照《规定》要求,加强对App运营者和应用商店等分发平台的监督检查,及时调查、处理违法违规收集使用个人信息行为,切实维护公民在网络空间的合法权益。

四、违规风险

根据最高检发布检查机关个人信息保护公益诉讼典型案例之七,2019年5月,浙江省杭州市余杭区人民检察院(以下简称余杭区院)在开展公民个人信息保护专项监督行动中发现,APP强制授权、过度索权、超范围收集个人信息等问题突出,针对辖区内企业开发经营的10余款APP存在违法违规收集用户个人信息的违法行为,向相关行政机关发出 诉前检察建议,督促行政机关依法整治并开展专项治理。

余杭区院发现,对于公民个人信息被APP违法收集后的处置问题,众多受侵害用户的合法权益无法通过行政公益诉讼得到维护,遂决定通过民事公益诉讼的路径解决这一问题。在2019年10月,余杭区院发现浙江省杭州市某网络科技有限公司开发经营的一款音乐视频教学类APP,存在未经用户同意收集使用个人信息、违反必要原则收集与提供的服务无关的个人信息、未公开收集使用规则等情形,违法违规收集、存储用户个人信息,侵害了不特定公民的合法权益,致使社会公共利益受到侵害,决定由检察机关提起公益诉讼。

于2020年6月23日,余杭区院向杭州互联网法院提起民事公益诉讼,在庭审过程中双方当庭达成调解协议:被告立即删除违法违规收集、储存的全部用户个人信息1100万余条;在《法治日报》及案涉APP首页公开赔礼道歉;承诺今后合法合规经营,若存在违反协议约定的行为,将自愿支付50万元违约金用于全国性个人信息保护公益基金的公益支出。

未来,国家将会正式出台《个人信息保护法》、《移动互联网应用程序必要个人信息范围规定》,加大对于个人信息的保护力度,对当前法律规定的灰色地带进行漏洞填补,对于App运营者企业而言,要对其业务类型、基本功能服务、隐私政策等进行必要的评估和调整,比对《规定》的内容,保证对个人信息的收集符合必要性原则,达到合规的要求,同时也要密切关注监管实践,最大程度降低违规风险。

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.