近几个月,新颜科技、魔蝎科技、公信宝、晟盾科技等多家第三方数据服务公司因涉嫌侵犯公民个人信息被查,聚信立、同盾科技等公司也停止提供爬虫服务。那么什么是个人信息,信息控制者又应如何采集、使用个人信息,若个人或公司违法使用这些个人信息又会有怎样的后果?本文将从个人信息的定义及使用规范进行分析。
一、个人信息的定义
“个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、出生日期、身份证件号码、个人生物识别信息(指纹、虹膜等)、住址、电话号码、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
个人信息与数据或者大数据的核心区别是能否关联到特定自然人/是否具备可识别性。某一信息或某些信息能够识别出特定的自然人或特定自然人活动的,那么这些信息属于个人信息,反之则不是个人信息。
二、个人信息的使用规范
(一)收集
收集个人信息应遵循“正当、合法、必要”三原则,合法原则最容易理解,即网站、平台或其他信息控制者在收集个人信息时应符合法律法规的要求,经客户同意才能获取客户的个人信息,不能未经客户授权而窃取客户个人信息;不得欺诈、诱骗、强迫客户提供个人信息;不得隐瞒产品或服务所具有的收集个人信息的功能;不得非法从其他组织或个人收集、购买个人信息。
正当原则指的是信息控制者在收集信息是有明确的合理的用途,例如打车类APP为了能向客户提供基本服务,需要客户提供手机号、个人位置等信息,但如果没有任何合理理由,而要求客户提供其他信息,如房产信息、电商平台交易信息,则违背了正当原则。
必要原则指的是信息控制者收集客户的个人信息应是与其提供服务或产品有直接关联性的,没有该信息则无法向客户提供服务或产品。例如打车类APP采集客户的手机号、个人位置等信息后,即能向客户提供其所需服务,那不能再采集其他无关信息。
需要注意的是,部分APP在收集客户个人信息时,往往写的范围过于宽泛,不够明确,具体,例如部分APP的用户隐私协议或隐私条款中,约定收集“个人全部相关信息”,而没有结合具体的应用场景或提供的服务范围,没有明确具体收集哪些信息,这就违反了“正当”及“必要”的原则,需要调整隐私协议或隐私条款。
(二)使用
信息控制者在使用个人信息时,应在客户授权范围内使用,信息控制者在收集客户个人信息时,应公开其收集个人信息的范围、方式及使用用途的规则,信息控制者在收集到客户个人信息后,应当按照该规则进行使用,不得超出客户已授权范围。若信息控制者更换其服务事项或扩展服务范围,超出了客户的原授权范围,则需要客户再次授权其个人信息。
部分信息控制者在收集客户个人信息后,除了提供基础服务外,往往通过短信或邮件的形式对客户进行商业营销。那么信息控制者除了需要在收集客户个人信息规则中,增加会对客户进行商业营销的内容外,还需要在营销内容中,向客户提供明确的退订或拒绝途径,方便客户取消。
(三)存储
存储客户的个人信息,需要信息控制者建立健全的个人信息管理制度及稳健、安全的存储系统,管理制度中需要明确具体的负责人、权限、哪些人员可以接触哪些数据、调取使用数据的流程及范围等
存储客户的个人信息应有具体的期限,客户在授权给信息控制者时往往明确了授权期限,超出授权期限时,信息控制者应删除该客户个人信息,或进行匿名化处理,处理后的信息无法识别出特定客户。
(四)共享
信息控制者只有当客户明确同意并授权的情情况下,可将客户授权的具体范围的个人信息提供给客户确认的第三方;未经客户授权不得用任何方式将个人信息私自提供给第三方。
若将客户个人信息进行匿名化处理,处理后无法识别特定自然人,则处理后的信息可提供给第三方,无需经过客户同意或授权。
(五)删除
2018年5月1日开始实施的《信息安全技术个人信息安全规范》中,要求通过注册账户提供服务的个人信息控制者,应向客户提供注销账户的方法,且该方法应简便易操作。同时要求,客户注销账户后,个人信息控制者应删除其个人信息或做匿名化处理。
三、信息控制者应遵循的基本原则
(一)权责一致原则
信息控制者需对其个人信息处理活动对个人信息主体合法权益造成的损害承担责任。
(二)目的明确原则
信息控制者收集及使用个人信息,需具有合法、正当、必要、明确的个人信息处理目的。
(三)选择同意原则
信息控制者需向个人信息主体明示个人信息处理目的、方式、范围、规则等,征求其授权同意。
(四)最少够用原则
除与个人信息主体另有约定外,只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后,应及时根据约定删除个人信息。
(五)公开透明原则
信息控制者需以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等,并接受外部监督。
(六)确保安全原则
信息控制者需具备与所面临的安全风险相匹配的安全能力,并采取足够的管理措施和技术手段,保护个人信息的保密性、完整性、可用性。
(七)主体参与原则
信息控制者需向个人信息主体提供能够访问、更正、删除其个人信息,以及撤回同意、注销账户等方法。