律師説法:遇到APP收集身份證號碼,怎麼辦?
作為普通消費者或者互聯網服務的接受方,我們每一天的衣食住行會與各類APP相關,消費購物會用到網購、電商類APP,吃飯訂座會用到外賣、餐飲點評類APP,家居住房會用到租房、家裝類APP,交通出行會用到購票、網約車、共享單車類APP,不一而足。用户在註冊使用各類APP時,就會遇到APP收集用户信息,根據APP屬性和用途的不同,收集的用户信息少則要求填寫手機號、姓名或暱稱,多則還要求提供身份證號、地址、銀行卡或信用卡信息,甚至是身份證號碼、通訊錄、位置和相機,如果不按要求提供,則無法完成註冊程序,成為該款APP 的正式用户,也無法享受完整的服務。
越來越注重隱私保護的消費者,可能會對APP收集用户信息的範圍、邊界,以及其必要性和安全性存有疑問,而且APP服務提供商所提供的產品使用協議或隱私政策條款,往往又晦澀難懂,不明其意,APP收集用户信息是否有法律依據、APP有權收集哪些用户信息、個人信息類型與實現該款APP產品或服務的業務功能是否有直接關聯、如果遇到超出收集個人信息範圍的APP消費者將如何應對?
以某些共享單車APP為例,目前的主流共享單車APP除了收集用户的基本信息,還會收集用户身份證號碼,而身份證號碼、身份證複印件、用户行動軌跡等信息都包含了大量的個人隱私,可以識別、鎖定特定個人。如果想了解共享單車APP是否有權收集身份證號碼,首先需要對共享單車APP的基本情況和其涉及的法律法規進行了解。
共享單車實行怎樣的註冊流程?
主流的共享單車的註冊流程一般都是:綁定手機號—實名認證。實名認證過程中收集用户姓名、身份證號碼等個人信息。
共享單車監管部門包括哪些?
共享單車涉及的監管部門主要包括:交通運輸部、工業和信息化部、公安部、住房和城鄉建設部、人民銀行等。而交通運輸部是首要的監管部門。
共享單車收集用户信息有法律依據嗎?
《網絡安全法》第四十一條第一款規定,網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和範圍,並經被收集者同意。
《中華人民共和國道路交通安全法實施條例》(2017年修訂)第七十二條第(一)項規定,駕駛自行車、三輪車必須年滿12週歲。
《關於鼓勵和規範互聯網租賃自行車發展的指導意見》第(八)條規定了運營服務的強制性要求:互聯網租賃自行車實行用户實名制註冊和使用。運營企業應當與用户簽訂服務協議,明確雙方權利義務,明確用户騎行、停放等方面的要求。禁止向未滿12歲的兒童提供服務。
《關於鼓勵和規範互聯網租賃自行車發展的指導意見》第(十一)條規定了信用管理要求:加快互聯網租賃自行車服務領域信用記錄建設,建立企業和用户信用基礎數據庫,定期推送給全國信用信息共享平台。對企業和用户不文明行為和違法違規行為記入信用記錄。加強企業服務質量和用户信用評價。鼓勵企業組成信用信息共享聯盟,對用户建立守信激勵和失信懲戒機制。
從上述法條規定看,共享單車為了規避風險,通過身份證號碼來識別用户年齡,以確保不向未滿12歲的兒童提供服務;通過收集用户身份證號碼建立用户信用基礎數據庫,進行信用管理。共享單車收集用户身份證號碼是具有法律依據的。
共享單車收集用户身份證號碼真的是合規的嗎?
《網絡安全法》第四十一條第二款規定了,網絡運營者不得收集與其提供的服務無關的個人信息,不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息,並應當依照法律、行政法規的規定和與用户的約定,處理其保存的個人信息。《關於鼓勵和規範互聯網租賃自行車發展的指導意見》第(十三)條規定了,互聯網租賃自行車運營企業……依法合規採集、使用和保護個人信息,強化系統數據安全保護,防範違法信息傳播擴散。運營企業採集信息不得侵害用户合法權益和社會公共利益,不得超越提供互聯網租賃自行車服務所必需的範圍;在境內運營中採集的信息和生成的相關數據應當在中國大陸境內存儲。上述法條規定了最少夠用原則。
個人信息,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,包括但不限於自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。
身份證號碼涉及個人隱私,屬於敏感的個人信息。身份證號碼碼包括哪些信息呢? 身份證號碼包含了省份、城市、區縣、出生年月日、所在地派出所、性別等信息。最少夠用原則要求共享單車收集個人信息不得超越提供互聯網租賃自行車服務所必需的範圍。如果認為共享單車收集用户身份證號碼是為了確定用户的年齡避免向未滿12歲的兒童提供服務,而身份證號碼不僅包含了年齡信息,還包括屬地、性別等信息,那麼共享單車收集用户身份證號碼是否違反了最少夠用原則呢?
反觀,另一未成年人涉及較多的網絡遊戲,相關主管部門曾一度要求網絡遊戲運營企業應當要求網絡遊戲用户使用有效身份證件進行實名認證,但是實際上仍不乏未成年人使用他人的身份證進行註冊,或者購買他人身份證號已經註冊完成的賬號,以規避監管。目前根據《國家新聞出版署關於防止未成年人沉迷網絡遊戲的通知》的規定,所有網絡遊戲用户均須使用有效身份信息方可進行遊戲賬號註冊,也不再要求提供身份證件完成註冊,可見提供身份證件進行用户註冊亦不能有效實現對未成年用户的識別和管理,但確屬當前形勢下最容易實現和有效的管理手段。
目前還沒有生效的法律明確規定,共享單車用户應使用有效身份證件進行實名註冊,但目前主流的共享單車要求用户必須使用身份證號碼進行實名註冊,共享單車用户註冊時,APP向用户收集身份證號碼信息,是具有相應的法律依據的,但共享單車APP是否按照收集個人信息最小化的要求,個人信息類型與實現產品或服務的業務功能有直接關聯、是業務功能所必需的最低頻率、最少數量,是否可以通過技術處理,縮小收集的範圍,或採用其他技術手段進行有效識別,可能還需要進一步論證。
超範圍收集個人信息怎麼辦?
個人發現網絡運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的,有權要求網絡運營者刪除其個人信息;發現網絡運營者收集、存儲的其個人信息有錯誤的,有權要求網絡運營者予以更正。網絡運營者應當採取措施予以刪除或者更正,如果不予更正的,可向中央網信辦、工信部等主管部門進行投訴。
最後,APP產品或服務提供商應當尊重用户的知情權和自由交易權,應通過必要和合理的方式告知用户信息主動收集用户信息的規則、範圍,不得捆綁一攬子的服務,給予用户公開透明選擇的權利。
作者簡介*:*陳福律師,北京大成律師事務所合夥人,具有理工科教育背景,同時擁有中國律師執業資格與專利代理師資格,擔任北京律協著作權專委會委員、北京朝陽律協知產研究會委員等社會職務,專注於專利侵權訴訟、專利行政訴訟、商標、著作權侵權訴訟、行政訴訟、商業秘密糾紛、專利無效、專利自由實施(FTO)分析、技術轉化以及企業知識產權戰略與管理等知識產權訴訟和非訴領域。
*大成律師事務所簡介:*作為全球最大的國際律師事務所,大成(Dentons)將77個國家和地區的機遇與挑戰緊密聯繫在一起。Nextlaw、“創新戰略諮詢”等品牌的大成法律及商業解決方案在提供專業諮詢服務領域,得益於大成系統內部深厚根基以及屢獲殊榮的優勢。依託全球多中心的經營模式、以目標為導向的管理方法、包容性與多樣性並存的組織文化、連同世界一流的專業人才資源儲備,大成勇於迎接挑戰,在萬千動向中致力於提升客户的利益與價值。