網絡服務提供者和其他企業事業單位在業務活動中收集、使用公民個人電子信息,應當遵循(合法、正當、必要)的原則,明示收集,使用信息的目的方式和範圍,並經被收集者同意,不得違反法律法規的規定和雙方的約定收集、使用信息。
《中華人民***和國網絡安全法》第四十壹條規定,網絡運營者收集、使用個人信息,應當明示收集、使用信息的目的、方式和範圍。
2019年12月30日,國家互聯網信息辦公室通過其言方網站公布了《關於印發(App違法違規收集便用個人信息行為認定方法)的通知》相對應作出了以下要求:
1、首先,要求逐壹列出App(包括委托的第三方或嵌入的第三方代碼、插件)收集使用個人信息的目的、方式、範圍等。該規定要求收集使用個人信息目的明確、方式明確、範圍明確,不得壹言概況而含糊不清。
2、其次,當收集使用個人信息的目的、方式、範圍發生變化時,要以包括更新隱私政策等收集使用規則並提醒用戶閱讀等適當方式通知用戶。此處規定,當收集使用個人信息的目的、方式、範圍發生變化時,僅需要通知用戶並提醒其閱讀,但並未規定提醒用戶確認同意。
那麽App運營者單方面變更相關規則,用戶是否有權提出異議?即使未提出異議,其變更後的規則是否對用戶有約束力?從法律上理解上應當更加完善和明確。
同意的區別:
1、明示同意。
合法合規地收集和處理個人信息,確實是很多商業機構的風險管理要點。首要明確的是,收集行動開始煎,個人有知曉和同意或不同意的權利,企業方應“明示公開,獲準同意”。
在2017年6月1日生效的《網絡安全法》第四十壹條中清晰列明:網絡運營者收集、使用“個人信息”,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和範圍,並經被收集者同意。
2、默許同意。
雖然“明示同意”已經被寫入法律,很多企業能在收集姓名、電話、人臉識別、指紋識別的時候,做到明示規則、征求同意。但在不少領域,數據收集是在“默許同意”的狀況下發生的。常見的比如,手機APP默認設置為獲取使用者的地理位置信息。