前言
近年来随着移动互联网、大数据、云计算等技术的高速发展,智能手表、手环等智能穿戴设备已日渐普及。据商业统计,2021年中国可穿戴市场出货量近1.4亿台,2022年中国可穿戴市场出货量预计将超过1.6亿台[1],市场规模已相当可观。
智能穿戴设备,是指整合在服装、饰品、随身佩戴物品或植入表皮/体内,可以舒适地穿戴或佩戴的智能电子设备,通常具有多种感知、监测状态或生理指标以及提高工作效率等功能[2]。按照应用场景,智能穿戴设备可划分为商业消费级与专业医疗级两大类别,具体产品形态包括但不限于智能耳机(耳戴设备)、智能手表、智能手环/指环、智能眼镜等,通常需要与移动应用程序(App)绑定后协同使用。从常见的数据流向来看,智能穿戴设备(设备端)收集数据后将上传至配套的智能穿戴App(应用端),数据同时从应用端同步至云端数据平台(云平台)进行数据处理。
智能穿戴设备的日益普及,也给个人信息保护带来了严峻的挑战。本文拟从智能穿戴设备的个人信息收集、智能穿戴App的设置与管理以及云平台相关的个人信息保护三个方面,简析行业相关场景中的合规要点。
01 设备端:智能穿戴设备的个人信息收集
目前商业消费级智能穿戴设备占据市场主流,能够实现的功能十分丰富,个人信息的收集也呈现高频率、多样化的趋势。个人信息保护合规问题需要智能穿戴服务企业谨慎对待。
1. 必要原则
商业消费级智能穿戴设备的常见个人信息收集场景和收集的个人信息类型如下:
收集个人信息应当严格遵循必要原则,避免收集与所提供的服务无关的个人信息。实践中,违反必要原则的行为通常包括[3]:
收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;
因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;
App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;
收集个人信息的频度等超出业务功能实际需要;
仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;
要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。
近年来监管部门对于App违法违规收集个人信息的行为不断加强监管力度。2021年6月,国家互联网信息办公室发布了相关通报,其中专门通报了部分智能穿戴App违反必要原则,收集与提供的服务无关的个人信息等问题。对于存在问题的App,监管部门通常会要求相关运营者限期整改,逾期未能完成整改的,将进行下架处理。
我们建议在智能穿戴App的隐私政策中区分基本功能与非基本功能,并基于不同功能和场景(收集目的)向用户告知收集的个人信息类型,以便用户清楚知悉其哪些个人信息将被用于何种功能和目的,并在此基础上做出是否授权同意的决定。
2. 敏感个人信息的特殊保护
智能穿戴设备许多功能的实现需要依赖对敏感个人信息的收集和处理,例如运动健康记录功能通常需要收集用户位置信息、运动轨迹,医疗急救信息功能可能需要收集用户的过敏反应、用药历史,接打电话功能需要收集用户通信记录、通讯录等。
《个人信息保护法》规定,个人信息处理者处理敏感个人信息需采取严格保护措施[4]。因此,我们建议智能穿戴服务企业实施数据分级分类,并在此基础上对敏感个人信息采取特别保护措施,比如将敏感个人信息与一般个人信息隔离存储、对敏感个人信息进行加密或去标识化处理、对敏感个人信息采取更加严格的技术安全措施等。就敏感个人信息的分级而言,建议企业将敏感个人信息作为一般数据(相对于重要数据和核心数据而言)中安全风险级别最高的数据予以保护,例如,如企业按照数据安全风险从低到高采用1至4级数据分级框架,敏感个人信息的分级原则上应不低于第4级[5]。
由于敏感个人信息上传至云端将增加个人信息安全风险,我们建议在技术可行的范围内,仅在设备端本地处理敏感个人信息,不上传至云端。值得注意的是,若仅在设备端本地存储或处理个人信息,不上传至云端,智能穿戴服务企业不访问设备端数据,则可能不属于个人信息的收集[6]。
此外,智能穿戴服务企业在处理敏感个人信息前还应按照《个人信息保护法》的要求,考虑设置专门针对敏感个人信息的处理规则,获取用户的单独同意,并事先进行个人信息保护影响评估[7]。
3. 儿童个人信息的特殊保护
儿童智能穿戴设备是智能穿戴行业中不可忽视的细分领域,近年来市场增长趋势十分明显,但在个人信息保护方面,儿童智能穿戴设备却问题频出。2022年央视315晚会曝光了某款儿童智能手表存在操作系统老旧、安全漏洞极大,App未经用户授权即调用系统权限,以及App强制索权,否则拒绝提供任何服务等问题。工信部2022年公布的一批关于侵害用户权益行为的App通报中,两款儿童手表App被通报存在App强制、频繁、过度索取权限和违规收集个人信息的问题。
《个人信息保护法》规定,个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意;个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则[8]。《儿童个人信息网络保护规定》也规定,网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护,网络运营者收集、使用、转移、披露儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意[9]。因此,对于儿童智能穿戴设备,建议智能穿戴服务企业在设备端或应用端以显著方式提示儿童的监护人阅读隐私政策,并在取得其同意后开展儿童个人信息处理活动。同时,智能穿戴服务企业应当针对儿童个人信息的处理制定专门的隐私政策,或在隐私政策中制定专门的条款。
智能穿戴服务企业还应当梳理、明确儿童智能穿戴设备所需索取的权限,并核查索权的方式、节点、设置是否符合App监管的规定。除此之外,智能穿戴服务企业还需重视防范恶意软件入侵的风险,避免儿童智能穿戴设备成为“行走的偷窥器”,对儿童的位置、人脸图像、录音等信息进行保护。
02 App端:智能穿戴App的设置与管理
1. 智能穿戴App的设置
为充分保障用户的个人信息权利、赋予用户更大的自由决定空间,结合目前行业中的良好实践,我们建议智能穿戴App将个人信息保护的相关合规要求纳入App架构设计考虑范围,并进行相应设置,比如:
首次运行时以显著方式提示用户阅读隐私政策
智能穿戴App应当在首次运行时以弹窗等明显方式提示用户阅读隐私政策[10]。若智能穿戴设备无需绑定App即可使用的,则建议在智能穿戴设备端通过语音播报或提供网页链接等方式向用户提供隐私政策。
后台持续收集个人信息的,进行显著提示
如某些业务功能需要在后台持续收集个人信息,建议在相关功能开启时通过弹窗等显著方式向用户告知,也可在隐私政策中以加粗、下划线等显著方式将后台持续收集活动告知用户。
针对不同监测功能设置开关
智能穿戴App应当允许用户单独开启或关闭不同的监测功能,如心率监测、血氧监测、睡眠监测等。如多种监测功能依赖于同一传感器,则可考虑在App中设置传感器开关,允许用户一键开启或关闭该传感器所对应的所有监测功能。
针对上传云端设置开关
建议智能穿戴App允许用户自行开启或关闭个人信息上传至云端的功能。如某些功能必须依赖云端计算和分析才能实现,可通过弹窗等显著方式向用户告知:关闭上传云端功能将导致无法提供分析结果或分析结果不精准。
允许删除本地及云端数据
为充分保障用户的个人信息删除权,建议智能穿戴App允许用户删除设备端和应用端的本地数据以及云端数据。如用户注销账户,则智能穿戴服务企业应当同步删除该用户的所有个人信息[11]。同时,建议在隐私政策中明确向用户告知删除数据、注销账号、撤回同意的操作路径,方便用户行使个人信息主体权利。
2. 第三方SDK的接入管理
智能穿戴App诸多功能依赖于第三方SDK方可实现,而第三方SDK具备独立收集和使用个人信息的能力。智能穿戴App中常见的第三方SDK及对应的个人信息收集目的如下:
SDK收集个人信息的合规问题是相关部门的监管重点。工信部历次关于侵害用户权益行为的App通报中,部分SDK被通报存在收集个人信息明示、告知不到位、违规使用第三方服务、超范围收集个人信息等问题。第三方SDK是否合规收集个人信息,不仅涉及SDK提供方自身的法律责任,App运营者作为接入方也应对此予以充分重视,并履行接入方的管理责任和个人信息保护义务。
App运营者与SDK相关的个人信息保护义务
2021年4月26日工信部发布的《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》规定,需要向本App以外的第三方提供个人信息的,应当向用户告知其身份信息、联系方式、处理目的、处理方式和个人信息的种类等事项,并取得用户同意[12];App开发运营者使用第三方服务的,应当制定管理规则,明示App第三方服务提供者的名称、功能、个人信息处理规则等内容;应与第三方服务提供者签订个人信息处理协议,明确双方相关权利义务,并对第三方服务提供者的个人信息处理活动和信息安全风险进行管理监督;App开发运营者未尽到监督义务的,应当依法与第三方服务提供者承担连带责任[13]。
《网络安全标准实践指南—移动互联网应用程序(App)个人信息保护常见问题及处置指南(TC260-PG-20203A)》也列举了“未经同意向第三方提供个人信息”的相关情形,包括内嵌SDK未经同意向第三方提供个人信息,例如存在嵌入的第三方代码、插件将个人信息传输至第三方服务器的行为,但未在隐私政策中说明或以其他显著方式明示用户,或未经用户授权同意,亦未做匿名化处理。
因此,建议智能穿戴App运营者通过隐私政策向用户告知收集用户个人信息的第三方SDK,包括第三方SDK的产品名称、提供方名称、第三方SDK类型、收集使用的个人信息类型、收集目的、方式等。
App运营者与第三方SDK提供方的数据处理关系
App运营者与第三方SDK之间属于委托处理、共享、共同处理中的哪一类数据处理关系,将影响对用户告知义务的具体履行以及双方之间的权利义务。
《信息安全技术 个人信息安全规范(GB/T 35273-2020)》(“《个人信息安全规范》”)专门规定了第三方接入管理责任,当个人信息处理者在其产品或服务中接入具备收集个人信息功能的第三方产品或服务,且个人信息处理者与第三方之间不适用委托处理关系或共同处理关系时,个人信息处理者应当履行一系列接入管理责任,包括但不限于[14]:
应与第三方产品或服务提供者通过合同等形式明确双方的安全责任及应实施的个人信息安全措施;
应向个人信息主体明确标识产品或服务由第三方提供;
应要求第三方产品或服务提供者向个人信息主体征得收集个人信息的授权同意,必要时核验其实现的方式;
应要求第三方产品或服务建立响应个人信息主体请求和投诉等的机制,以供个人信息主体查询、使用;
应监督第三方产品或服务提供者加强个人信息安全管理,发现第三方产品或服务没有落实安全管理要求和责任的,应及时督促整改,必要时停止接入。
如SDK提供方未单独向个人信息主体征得收集个人信息的授权同意,根据《个人信息安全规范》的规定[15],这种情形下App运营者与SDK提供方在个人信息收集阶段可能构成共同处理关系,双方需就个人信息收集活动承担连带责任。
如App运营者与SDK提供方之间属于委托处理关系,即App运营者委托SDK提供方处理个人信息,则App运营者无需就委托SDK处理个人信息的活动取得用户的单独同意,但仍建议通过隐私政策向用户明示SDK提供方的身份信息、联系方式、处理目的、处理方式和个人信息的种类等事项。
关于委托处理、共同处理、共享关系的甄别判断,可参见文章《个人信息流动中的数据处理协议,你准备好了吗?》。
03 云端:智能穿戴云平台的合规要点
如上文所述,智能穿戴设备收集个人信息后上传至云平台进行数据处理的做法在目前的行业实践中已相当普遍。利用云平台进行数据处理能够降低信息化成本、提升数据处理效率。云平台所涉及的个人信息保护以及相关主体的权利义务划分等问题也同样需要重视。
1. 云平台的使用模式及相关资质
云平台的使用通常可分为自建云平台和租用第三方云平台两种模式。
智能穿戴服务企业通过自建云平台的模式提供相关数据处理服务的,除需要投入IT基础设施建设成本以外,可能还需要取得增值电信业务经营许可证(如B11互联网数据中心(IDC)业务)。租用第三方云平台的智能穿戴服务企业则可能无需取得该等许可。
此外,根据智能穿戴设备所提供服务和功能的不同,智能穿戴服务企业还可能需要进一步取得下列类别的增值电信业务经营许可证:
B24 呼叫中心业务
用于自建呼叫中心向用户提供电话客服、急救呼叫等服务。如委托第三方呼叫中心提供客服服务,则智能穿戴服务企业自身不需要持有该许可。
B25 信息服务业务
用于向用户提供在线医生问诊服务(信息即时交互服务)、推送第三方商业广告(信息发布平台和递送服务)、App社区或论坛(信息社区平台服务)等服务。
2. 智能穿戴服务企业与云平台服务商的个人信息处理关系
在租用第三方云平台的情况下,智能穿戴服务企业需要厘清与云平台服务商之间的个人信息处理关系,并与其明确约定个人信息保护相关的权利义务。
判断智能穿戴服务企业与云平台服务商之间的个人信息处理关系,首先需要识别云平台服务商对智能穿戴服务企业上传的数据是否进行任何处理。如云平台服务商仅提供技术服务,不提供任何数据处理服务,则云平台服务商仅为技术服务提供商,二者之间不存在个人信息处理关系。如云平台服务商需要对上传的数据进行处理,则二者之间存在个人信息处理关系,智能穿戴服务企业需要结合各方的商业目的和业务需要,对双方的法律地位、权利义务和处理权限等事项进行预先识别和设计,以最大程度地把控合规风险。
通常而言,云平台服务商主要提供数据存储,以及按照智能穿戴服务企业的需求提供数据统计、分析等深度处理服务,与智能穿戴服务企业之间可能更偏向于委托处理关系,即智能穿戴服务企业为个人信息处理的委托方,云平台服务商为受托方,应按照委托方的要求和指示进行数据处理。云平台服务商一般不需要对上传数据拥有完全控制权,不需要自主决定或与智能穿戴服务企业共同决定对个人信息的处理目的和处理方式,因此共享关系和共同处理关系在实践中的适用性可能较低。尽管如此,我们仍建议智能穿戴服务企业根据实际情况,判断其与云平台服务商之间的个人信息处理关系。
3. 隐私计算云平台
智能穿戴服务企业在某些业务场景下不可避免地需要将收集来的个人信息(包括敏感个人信息)传输给第三方做进一步的数据处理,而这可能大幅增加个人信息被不当使用和泄露的风险。隐私计算技术或可解决这一难题。
隐私计算(Privacy-preserving computation)是指在保证数据提供方不泄露原始数据的前提下,对数据进行分析计算的一系列信息技术,实现数据在流通与融合过程中的“可用不可见”,其中典型的技术路线包括多方安全计算、联邦学习、可信执行环境、同态加密、零知识证明、差分隐私等[16]。
目前,隐私计算技术的发展已较为成熟,市场上已有多款基于云服务的隐私计算产品。智能穿戴服务企业或可考虑借助隐私计算技术与第三方进行数据传输、供第三方进行数据分析,从而避免个人信息泄露。
结语
近年来,智能穿戴设备在不断发展和迭代之后,已积累了庞大的用户群体。智能穿戴服务企业掌握着海量的个人信息,一旦处理不当则易招致用户投诉和监管问询,若发生个人信息安全事件,个人信息主体权益和企业声誉都可能受到严重损害。智能穿戴服务企业需要高度重视对用户个人信息的保护,确保用户个人信息全生命周期处理活动的合规性,从而在数字经济的浪潮中平稳前行。
脚注:
[1] https://www.idc.com/getdoc.jsp?containerId=prCHC48961222
[2] 《可穿戴产品应用服务框架(GB/T 37344-2019)》
[3] 《App违法违规收集使用个人信息行为认定方法》第四条
[4] 《个人信息保护法》第28条
[5] 《信息安全技术 网络数据分类分级要求(征求意见稿)》附录G
[6] 《信息安全技术 个人信息安全规范(GB/T 35273-2020)》第3.5条
[7] 《个人信息保护法》第29条、第55条
[8] 《个人信息保护法》第31条
[9] 《儿童个人信息网络保护规定》第8条、第9条
[10] 《App违法违规收集使用个人信息行为认定方法》第一条
[11] 《App违法违规收集使用个人信息自评估指南》第三条
[12] 《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》第6条
[13] 《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》第8条
[14] 《信息安全技术 个人信息安全规范(GB/T 35273-2020)》第9.7条
[15] 《信息安全技术 个人信息安全规范(GB/T 35273-2020)》第9.6条
[16] 中国信息通信研究院《隐私计算法律与合规研究白皮书》
本文作者
赵新华
合伙人
公司业务部
atticus.zhao@cn.kwm.com
业务领域:公司业务、外商直接投资、公司重组及一般公司事务
赵新华律师拥有十多年法律从业经验,曾为多家知名国内外企业提供法律服务,包括股权或资产收购、转让、公司重组、设立合资公司、特许经营等,赵律师服务的客户涉及的行业包括汽车、人工智能、物联网、高科技、零售、教育、现代农业、船舶、工业制造和医药等。赵新华律师对智能汽车、车联网领域的法律问题有着深入的研究,并为国内外众多客户提供并购、市场准入及合规方面的法律服务。
王哲峰
公司业务部
游婕
公司业务部
感谢实习生徐虹宇对本文作出的贡献。
封面图源:画作·林子豪
责任编辑:赵天园
声明:本文来自金杜研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
