// 继续昨天的话题 //
直接采集获取数据,包含经用户同意由用户自主上传或自动采集、经用户同意通过第三方组件采集以及通过设备直接采集三种方式。此类方式具有直接性,获取的数据通常最接近真实情况、最为原始、种类庞杂,范围包括用户注册信息、登录信息、个人生物信息、蓝牙信息、设备信息、日志信息、网络状态、第三方注册信息、第三方登录信息等数据,以及信号、地理、气候等特殊行业的数据。自行生产、公开收集、直接采集这三种采集方式的共同点在于都需要重点审核用户授权。
根据《个人信息保护法》,数据处理者者在采集用户数据前,应当以显著方式、清晰易懂的语言真实、准确、完整地向用户告知:① 采集者的姓名、联系方式;② 采集以及处理目的和方式、处理的个人信息种类、保存期限;③ 个人行使本法规定权利的方式和程序等。此类告知通常以数据采集者的用户隐私政策、用户协议等方式予以呈现,合规评估时应当对以上条款予以关注。
另外,部分特殊类型数据在采集时应当具备特殊的形式要件。例如,根据《个人信息保护法》规定,对于生物识别信息、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息以及不满十四周岁未成年人的个人信息的采集及处理必须获得用户的单独同意,若与缺乏该单独同意则应当认为授权不完善。再如《征信业管理条例》中规定,征信机构若要采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息,告知内容中还需包括提供该信息可能产生的不利后果,并获得用户的书面同意。
最后,针对企业信息的采集,虽然不如个人信息受到较强监管,但由于可能涉及商业秘密,评估是应当对是否签订保密协议及是否取得企业授权进行重点审查。
(2)通过第三方组件(SDK)采集
对于通过第三方SDK获取的数据,除了审查用户授权的完整性外,还需要审查交易主体对第三方组件的安全性控制。
根据 GB/T35273-2020《信息安全技术个人信息安全规范》,对于此类情形,交易主体可通过以下方式实现对第三方组件的控制监管。
确立第三方产品或服务接入管理机制和工作流程,必要时应设立安全评估等机制设定接入条件。通过合同等形式与第三方产品或服务提供者明确双方的安全责任及实施的个人信息安全措施。向个人信息主体明确标识产品或服务由第三方提供。妥善保留平台第三方接入相关合同和管理记录,以确保可供相关方查阅。要求第三方根据本标准相关要求向个人信息主体征得收集个人信息的授权同意,并在必要时合演其实施方式。要求第三方产品或服务建立响应个人信息主体请求和投诉的机制,供个人信息主体查询和使用。监督第三方产品或服务提供者加强个人信息安全管理,发现第三方产品或服务未能落实安全管理要求和责任的情况下,及时督促整改,必要时停止接入。对于产品或服务嵌入或接入第三方自动化工具(如代码、脚本、接口、算法模型、软件开发工具包、小程序等),宜采取以下措施:① 进行技术检测,确保其个人信息收集和使用行为符合约定要求;② 对第三方嵌入或接入的自动化工具进行审计,发现超出约定行为时,及时切断接入。
(3)设备直接采集
设备直接采集数据,是指可以使用科学技术直接采集的客观世界数据,如水文、气候和地理测绘数据等。这些数据通常没有特定的数据主体,也不涉及数据权益,因此数据采集也无需获得授权,只需通过一定的设备即可采集数据。然而,需要注意的是,尽管这些数据的数据主体并不特定,但这并不意味着采集行为不受法律法规约束。相关数据所涉及的行业、国家利益以及交易主体的企业性质和资质等多方因素都有可能影响合规评估的结果。
针对数据提供方的数据权益承诺,除承诺不会侵犯第三方主体权益外,还需根据不同的数据来源进行不同内容的承诺。对于公开收集的数据,承诺的侧重点在于数据爬取或收集是否违反数据访问控制或 robots 协议,是否破坏收集网站的正常运行等。对于自行生产的数据,承诺的侧重点在于数据是否为数据提供方独立生产,其数据是否按要求进行存储及数据安全问题等。对于直接采集的数据,承诺的侧重点在于采集个人信息主体的充分授权、单独或书面同意,以及非个人信息是否属于国家禁止采集或限制采集信息等。对于间接获取的数据,承诺的侧重点在于其交易行为不会侵犯数据主体和前手主体的数据权益,且是在前手交易或授权范围内进行处分等。
左上角“海纳数智研究院”,感谢您的关注!
