投中网丨银昕

“《认定方法》相较于之前的‘一法一决定’和《个人信息安全规范》，算是特别详细和落地了，但当前app收集用户信息的实际做法比《认定方法》列出的这几十条更复杂，所以我觉得既详细，却也不够详细。”

2020年元旦前后，国家网信办等四部门联合发布了《App违法违规收集使用个人信息行为认定方法》（下称《认定方法》），中国政法大学传播法研究中心副主任朱巍如此对投中网评价他对《认定方法》的看法。

“相较于《网络安全法》和个人信息安全规范来说，《认定方法》规定得太详细了，如果我们没做到，一旦有关部门找上门来，我们无话可说。”自称小王的一位app行业从业者在看了《认定方法》后，自查了一下自己公司的app，发现其至少在“未公开使用收集规则”“未明示收集使用个人信息的目的、方式和范围”和“违反必要原则，收集与其提供的服务无关的个人信息”这三个方面做的并不干净。

最要命的是，他所在公司的app在“因用户不同意收集非必要个人信息或打开非必要权限，拒绝提供业务功能”这详细条款上没有达标。“做我们这行的人都明白，谁不希望更多更广地收集用户信息，以求获得更精准的用户画像，能懂用户更多呢？”

小王所处公司的尴尬之处在于，哪些是app所提供服务必须获得授权加以使用的个人信息，哪些属于超出必要限度的个人信息，目前行业中并无定论。“有些具体的划分还需要更专业的机构来制定规则，毕竟用户不都是技术出身，他们只能在对话框里选yes或者no。”小王说。

2019，数据治理元年

从2019年9月初到9月下旬的这半个月的时间里，先后有魔蝎科技、公信宝、天翼征信、快钱支付、新颜科技等6家数据公司被公安部门调查，继2017年15家大数据公司被查之后，数据行业的又一次震荡发生地更加剧烈。

值得注意的是，2019年被查的数据公司中，大多数业务集中在金融领域，包括第三方征信机构。

“他们的主要问题是爬虫，编写恶意爬虫盗取用户个人隐私。”身处互联网医疗行业的小广关注到了这六家公司被执法的原因，他告诉投中网，之所以执法集中在互联网金融领域，是因为该领域对催债一事十分重视，需要编写恶意爬虫盗取用户个人信息，以便在催债时能够骚扰到拖欠者的亲朋好友，“如果通讯录中有与欠债者相同姓氏的，就可以试着打打这个电话，没准是欠债者的直系亲属或旁系亲属。”小广还透露，更为不堪的是，在一些互联网金融app的隐私政策中，直接要求用户将个人通讯录信息开放给app，从用户开始使用app起，数据收集者就已经在为日后的暴力催债和对亲属的骚扰做好了准备。

“整个行业都快被抓没了。”这是彼时一些从业者的发出的感慨。以2019年9月被杭州市公安局西湖分局古荡派出所查封的公信宝运营公司杭州存信数据科技有限公司为例，被查封后有消息称公信宝公司已经实质解散，还有公信宝的合作伙伴传出消息，称公信宝项目对接群已被公信宝方面单方解散。

充满了黑色和灰色产业链，是个人数据行业当下的现状。

小广告诉投中网，将患者个人姓名与手机号或身份证号绑定成一条信息对外倒卖的方式看起来很low，但的确是存在的。“每条信息从一毛钱到几块钱不等，主要还是看信息的价值。有些公司通过技术手段盗取用户信息，并且知道了这个用户看过哪些病，如果这种疾病处于暴利行业的类型，比如肿瘤、糖尿病等，这条信息就值钱了。”小广说，这些用户信息被买走后，通常的使用方式是根据用户看过哪些病，推销相应的医疗器械或者保健产品，主要以电话营销的方式骚扰用户。“一些用户很好奇，对方怎么知道我看过这个病呢？这对看过一些隐私性比较强的病人来说，在心理上更是一种严重骚扰。”

“灰色产业链还有一种形式是‘挂羊头卖狗肉’。”朱巍告诉投中网，以互联网直播答题这种形式为例，直播平台以每答对一道题就给用户一块钱或五毛钱的方式为“诱饵”，一旦用户想要领奖，就要将一系列的个人信息采集权授权给直播平台，“在有些直播平台的协议中，从身份证号到手机号，甚至银行卡号都在平台采集的范围之内，用户仅仅收了五毛或者一元钱就将这些信息全交给平台了，这明显超出了直播平台所需数据的必要范围。”朱巍说，这是一个天大的陷阱，在当前的直播答题行业很常见。

从“一法一决定”到《认定方法》的阶梯式下沉

    个人信息安全在我国法律上的最高层阶界定，还要从2012年说起。

2012年底，第十一届全国人大常委会第三十次会议通过《全国人民代表大会常务委员会关于加强网络信息保护的决定》（下称《决定》），这份文件与2017年实施的《中华人民共和国网络安全法》被法学界称为所有数据治理行为的法律授权来源，也是所有司法解释和其他行业法规的合法性来源，被称为“一法一决定”。

“一法一决定”虽是最高层面的法律，但对一些行为的约束较为抽象。比如，《决定》规定“任何组织和个人不得窃取或者以其他非法方式获取公民电子信息，不得出售或者非法向他人提供公民个人电子信息。”同时也对网络服务提供者收集、使用公民个人电子信息提出了合法、正当、必要的原则，要求明示收集、使用信息的目的、方式和范围，并经被收集者同意；2017年实施的《网络安全法》也做出了与上述内容类似的要求，但何为“正当性”“必要性”和“合法性”，“一法一决定”并没有细致解释。

某网络安全服务商高层曾对投中网表示，在保护个人信息方面，《网络安全法》最大的问题是，虽然对个人信息的收集和使用提出了要求，但却并没有写明不当使用或采集个人信息的主体必须面对的法律后果。

值得注意的是，就在《网络安全法》生效的当天，2017年6月1日还有一部更为关键的司法解释出台了：《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，这个司法解释包含了很多具体的场景和行为的界定。

朱巍告诉投中网，司法解释是对源头法律的一种扩张，可以将“一法一决定”中的抽象概念进行扩充，落地到具体的场景中，“最高法和最高检是执法机关，并不拥有立法权，但出台司法解释能帮助抽象的法律更好地落地。”

在有关个人信息安全的法律体系中，“一法一决定”位于最高阶，司法解释和2018年5月1日实施的《个人信息安全规范》以及2020年元旦前后发布的《认定方法》等一系列文件的合法性都来源都是“一法一决定”，从执行层面来说，《认定方法》最具体，可落地。

值得注意的是，2018年5月1日开始生效的《个人信息安全规范》已经在技术上做了很多详细的规定，比如将个人信息分成两类：识别信息，即可直接定位到具体自然人的信息，如身份证号，手机号以及家庭住址等；关联信息，无法直接定位到具体的自然人，但与具体自然人的网络行为密切相关，比如该上网者的行为记录，通讯录名单，黑名单以及关注的用户名单等，可以通过这些信息定位到某个自然人，但得不到该自然人的确切身份。

彼时有业内人士指出，按照此《规范》，一些社交媒体只将识别信息当做个人信息加以保护，而将关联信息当做网络日志进行处理的方式是不合规的。

在技术上，《个人信息安全规范》的详细程度直逼2018年在欧盟国家范围内实施的《通用数据保护条例》（GDPR）。但在法律效力上，《规范》的身份只是推荐性国家标准，不具有强制性。也就是说，按照《规范》的约束去做，铁定符合《网络安全法》，但即便不按规范去做，也不一定违法。

《认定方法》则不同，它对“未公开使用收集规则”“未明示收集使用个人信息的目的、方式和范围”“未经用户同意收集使用个人信息”“违反必要原则，收集与其提供的服务无关的个人信息”“未经同意向他人提供个人信息”“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”六种违规做法做了迄今为止最为具体的解释。比如：进入App主界面后需多于4次点击等操作才能访问到隐私政策；要求用户一次性同意打开多个可收集个人信息的权限；用户不同意则无法使用等做法都属违规。

“业内人士千呼万唤的《个人信息保护法》据我所知已经写完了，与《网络安全法》相比，这部法律直接针对个人信息保护的问题。我了解到今年之内应该会有社会征求意见稿出来，大家都很着急，等不了太长时间了。”朱巍告诉投中网，《认定方法》的出台可以被理解为《个人信息保护法》的前奏。

小广对投中网表示，与模糊的“一法一决定”相比，《认定方法》的出台意味着有关部门要“玩儿真的”了。

其实，有关部门较早时候就已经在“玩儿真的”，就在《认定方法》出台前不久，工信部信息通信管理局发布了《关于侵害用户权益行为的APP（第一批）通报》，QQ、QQ阅读、新浪体育、搜狐新闻、36氪等“有头有脸”的app纷纷上榜，涉及的问题主要有“不给权限不让用”“账号注销难”“私自共享给第三方”等。

数据生意今后该怎么做？

市场上不乏有规避了，至少暂时规避了监管风险的数据公司。

小李所在公司的主营业务其实也是大数据分析，但他们的上司出于对当下时局的考虑，将业务名称改变为“精准营销”，绝口不提“数据”云云。小李公司的业务模式并不复杂，他们与知名电商平台（天猫、京东、当当等）和他们服务的广告主（比如富士相机）签订三方协议：知名电商平台向小李公司提供一个名单，名单上是所有浏览过广告主的竞品（比如尼康相机）页面的知名平台用户，小李公司通过一系列数据分析手段，判断出其中最有可能购买富士相机的一部分用户，将第二份名单返还给知名平台，由平台向第二份名单上用户推送富士相机广告，以帮助富士从尼康手里抢生意。

“在这个过程中，三方之间的任何一方都没有发生直接的用户个人信息提取和买卖，我们公司只需要一个用户ID就可以了，根本不需要定位到具体的自然人。”小李说，这套做法至少从目前看是可行的。

其实在法理上，国家工商行政管理总局在2016年实施的《互联网广告管理暂行办法》第十三条已经明确对上述行为做了合法性界定：程序化购买广告，即通过广告需求方平台、媒介方平台以及广告信息交换平台等所提供的信息整合、数据分析等服务进行有针对性地发布。同时也要求“广告需求方平台经营者应当清晰标明广告来源”。

2018年轰动一时的“朱烨诉百度案”终审判百度胜诉，也在判例上明确了“程序化购买广告”的合法性。但值得注意的是，该案中百度所使用的是用户在浏览过程中浏览器中自动保存的历史记录（cookies），而小李所处公司使用的却是知名平台服务器中的用户数据，这一点有所不同，但法律条文上没有明确限制。

今后这一做法依旧是可行的。

不过，朱巍告诉投中网，程序化购买广告也有四个前置条件：用户知情、用户授权、保障用户的删除权和退出权、只能分析关联数据而不能分析识别数据。

“这四个条件中，也许删除权这一项我们还没有细化。”小李对投中网表示，现在是信息互联时代，用户提出删除诉求的情况他几乎没有遇到过，“但如果《认定方法》对删除权有明确要求，我猜测我们公司也肯定会根据要求来调整的。”小李说。