恒生点评｜滴滴“全家桶”26款App被下架，企业收集个人信息应注意什么？

DIGEST OF CASES
恒生案例

地址：广东广州市越秀区大南路2号合润广场40楼
电话：+86 20 8422 9939
传真：+86 20 8422 9906

官方微信

知识产权部

位置：

恒生点评｜滴滴“全家桶”26款App被下架，企业收集个人信息应注意什么？

恒生律所·知识产权部

业务涵盖专利、商标、著作权、商业秘密等，涉及影视、音乐、游戏、出版、电子商务、文化产品、技术开发等领域。近年来随着移动互联网的发展，部门律师熟悉信息网络侵权、个人信息保护、移动互联网应用程序合规性审查、网络文化产品备案、网络出版、网络安全等业务，并能为企业提供移动应用程序风险评估、资质获取等服务。经过多年专业化的积累，恒生律所知识产权部已形成系统化、专业化的知识产权法律服务体系，并已经以高效优质的服务赢得了客户的好评。

引言

2021年7月2日，网络安全审查办公室发布公告，宣布对“滴滴出行”实施网络安全审查。审查期间“滴滴出行”停止新用户注册。

2021年7月4日，国家互联网信息办公室（下称“国家网信办”）通报，“滴滴出行”App存在严重违法违规收集使用个人信息问题。依据《中华人民共和国网络安全法》相关规定，通知应用商店下架“滴滴出行”App，并要求相关运营者严格整改，保障用户个人信息安全。

2021年7月9日，国家网信办再发通报，通知下架“滴滴企业版”“滴滴车主”“滴滴顺风车”等25款App。这25款App主办单位均为北京小桔科技有限公司；理由仍为“严重违法违规收集使用个人信息”。

作为传统出租车公司以外的交通运输新业态，网约车平台公司在提供服务的过程中，会收集乘客和司机的大量个人信息，比如实时地理位置、行踪轨迹、电话、付款账户信息等，根据收集到的信息，在大数据对用户出行轨迹进行分析后，就可以推断出包括用户习惯、家庭住址、出行图谱等具体信息。此次因严重违法违规收集个人信息问题导致滴滴旗下26款App集体下架，也给众多互联网企业敲响了警钟，无论企业规模如何，都应注意合法合规收集个人信息。

一

个人信息指什么

《民法典》在人格权编内，设置第六章隐私权和个人信息保护（第1032条—第1039条），其中，除了第1032条、1033条规定了隐私权的一般内容和具体规定外，其余条款重点规定了个人信息保护的内容。其中进一步明确了个人信息的定义，不再局限于自然人的姓名、民主、出生日期、住址、电话、身份证件号码等传统意义上的常用身份信息，与现代科技相关的生物识别信息、健康信息、行踪信息均包含在内。

二

运营者违法违规收集使用个人信息可能承担的法律责任

根据《中华人民共和国网络安全法》第六十四条，网络运营者、网络产品或者服务的提供者侵害个人信息依法得到保护的权利的，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

此外根据2021年4月26日发布的《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》内容，发现从事个人信息处理活动的相关主体违反该规定且被下架处置的，被下架的App在40个工作日内不得通过任何渠道再次上架。

三

企业个人信息收集常见合规风险点

随着大数据时代的到来，收集、利用个人信息对于企业经营管理的作用不言而喻。随着网络安全审查的开展及2021年315晚会披露的部分企业非法收集消费者个人信息的典型案例（包括违规采集用户人脸信息、非法售卖用户简历、App私自获取用户手机信息等），普通用户逐步觉醒对个人信息的保护意识。在个人信息保护方面，2021年4月29日, 《个人信息保护法(草案二次审议稿)》公布，首次以专门立法的形式，对于个人信息保护、合理利用个人信息作出了全方位、系统性的规定。本所律师拟结合相关实务经验，分析企业个人信息收集常见的合规重要事项，以供相关企业参考。

（一）收集个人信息的应遵循最小必要的原则

根据《个人信息安全规范》规定的个人信息安全基本原则，个人信息控制者应只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量，目的达成后，应及时删除个人信息。对各行业所收集的个人信息何为最少必要，可参照全国信息安全标准化技术委员会于2020年1月15日颁布的《信息安全技术移动互联网应用程序（App）收集个人信息基本规范》征求意见稿。以短视频为例，该服务类型所需收集的最小必要信息的范例如下：网络访问日志、手机号码（仅对使用信息发布功能的用户收集）、用户日志信息（仅对使用信息发布功能的用户收集）、身份认证信息（仅对公众账号信息发布服务使用者收集）、账号信息、短视频信息、关注的账号。

为提供更完整的短视频服务，除了上述必定会收集的信息外，短视频平台公司通常还会根据不同的业务功能，收集更多的个人信息，例如短视频平台公司为促进视频推广会针对粉丝数量较大的用户开展大V认证，要求用户提供相应的身份证明（例如工作证等）。

因此，在判断所收集的个人信息是否超越最小必要范围的限制时，公司首先需明确自身产品或服务所提供的业务功能，再在此基础上确定实现该业务功能所必需的个人信息。

（二）不能要求用户一次性同意打开多个可收集个人信息的权限

在实践中常见新用户刚下载使用app时，app要求新用户“一揽子同意”的情形。此种方式已被《App违法违规收集使用个人信息行为认定方法》（国信办秘字〔2019〕191号）明确认定为违法违规收集使用个人信息的行为。《个人信息安全规范》也要求，不应通过捆绑产品或服务各项业务功能的方式，要求个人信息主体一次性接受并授权同意其未申请或使用的业务功能收集个人信息的请求。企业可参考《个人信息安全规范》的“附录C实现个人信息主体自主意愿的方法”，参照设计交互式功能界面以保障个人信息主体能充分行使其选择同意的权利。

（三）注意针对儿童个人信息收集的特殊规定

针对儿童（不满十四周岁的未成年人），根据《儿童个人信息网络保护规定》相关规定，网络运营者收集、使用、转移、披露儿童个人信息的，应当设置专门的儿童个人信息保护规则和用户协议，以显著、清晰的方式告知儿童监护人，征得儿童监护人的同意，同时提供拒绝选项。网络运营者应明确告知如下事项：（一）收集、存储、使用、转移、披露儿童个人信息的目的、方式和范围；（二）儿童个人信息存储的地点、期限和到期后的处理方式；（三）儿童个人信息的安全保障措施；（四）拒绝的后果；（五）投诉、举报的渠道和方式；（六）更正、删除儿童个人信息的途径和方法；（七）其他应当告知的事项。如前述告知事项发生实质性变化的，应当再次征得儿童监护人的同意。