网络个人信息收集如何获得用户同意

正文

请到「今天看啥」查看全文

先假设一下，法院认定可以。那么可能导致的局面就是，各公司无非聘请好的律师把用户协议关于要求授权的内容写得尽可能地多一些、尽可能长一些、尽可能完备一些，用户基本上也还是不会看，也不会注意到的，也就仅此而已，其他没啥改变，果真如此的话，这是我们立法的目的和原意吗？

我个人的学术观点是，对于手机应用软件的权限索取要求，应当借鉴诉讼授权区分重大权利的思路，区分敏感个人信息权限和一般个人信息权限，对于一般个人信息，可以通过概括性授权予以同意，也就是通过用户协议点击合同的方式予以同意；对于敏感类的个人信息，则不能通过概括性授权同意，而应当坚持“个别告知、逐次告知，特别授权”同意的方式。那么，接下来就有几个问题，第一，敏感信息如何界定；第二，敏感信息授权如何实现个别告知、逐次告知与特别授权；第三，如何平衡法律合规要求与用户体验。

第一个问题，敏感类个人信息如何界定

按照诉讼特别授权的思路，笔者以为敏感类个人信息的界定应当由法律法规、规章和规范性文件予以明确。最高人民法院关于侵犯个人信息罪的司法解释也是区分信息敏感程度的等级，也是类似的思路。结合目前各企业的实践来看，地址位置信息首当其冲是应当每次提醒个别授权的敏感信息。我个人认为地理位置也应该区分可以精确到市县的大致位置和精确到目前技术可以达到更为精确的适应导航需求的位置信息，但不能太精确以免道德风险。对于前者可以从宽许可，后者则必须逐次告知并获得许可，因为这是事关用户安全的，一旦不慎可能导致重大安全风险。

读取、发送短信、读取通讯录，拨打电话等等，这些信息也属于敏感个人信息，但这些信息获取一方面要考虑应用的目的和读取信息的用途，比如对于通讯录管理软件和名片类软件，读取通讯录目的就在于履行合同，可以认为收集是正当的。但如果一个听书软件，读取通讯录和发短信就不一定有正当性。这个说明与证明正当性的责任，当然应当由个人信息收集者来承担。

第二个问题，如何实现个人信息的授权。

对于非敏感信息，企业通过用户协议告知一下，象征性的，也算有了合同，勉强说得过去。而有些企业为了实现自己的商业目的，在一个应用软件内捆绑越来越多的内容，然后以自己具有相关业务为由要求获得用户的敏感个人信息，这种要求是否正当呢？这就涉及法律关于收集个人信息应当遵守“必要”原则，这个“必要”应解释为对用户的必要还是对企业的必要问题。我认为比较理想的状态是企业在应用设置时应该将信息收集设置为用户可以自行选择。如果用户选择了要求提供相关服务，却没有选择开通权限，用户调用服务时你需要开通权限，再去要求用户开通也不迟。如果可以做得更好一些，那就像国外有些网站通过技术设置强迫用户必须逐条阅读、点击同意用户协议否则不走向下一条那样，你可以设置为循序渐进的逐次获取同意，比如要求用户授权获取市县大致位置信息后，再请求获得比如大约200米精度的位置信息，这样逐步给人选择，才是尊重用户隐私和平衡实现企业商业目的的最佳途径。

请到「今天看啥」查看全文