华为腾讯数据之争背后的用户授权问题探析

随着越来越多的企业发力人工智能，硬件公司和互联网公司之间的用户数据竞争不可避免。近日，中国科技巨头华为和互联网巨头腾讯被曝就用户数据使用问题发生争执。本次争议焦点为华为去年年末推出的荣耀Magic手机可根据微信聊天内容自动加载地址、天气、时间等信息；通话、购物时也能提示相关服务信息，这些技术均是华为与科大讯飞、高德、支付宝、携程等APP深度合作研发的结果，而腾讯则认为华为不仅私自收集腾讯产品的用户数据，还侵犯了微信用户的个人隐私。目前，腾讯已向监管部门投诉华为，而华为方面则认为产品通过工信部检测且用户已在手机设置中进行授权，相关信息只在荣耀Magic手机上处理，并未上传至任何云端，故不存在争议，双方因此互不让步。

纵然争议双方各执一词，但值得注意的是在本次事件中无论是华为还是腾讯均没有触及到用户数据归属的问题，虽然用户数据信息的所有权能否归属于用户本身现行法律尚未规定，但毫无疑问的是双方只能在用户合法授权的前提下予以使用。此外，在本次事件中，华为虽然明确表示有关的数据收集由用户在手机设置中进行授权，但该授权方式是否合法合规同样值得思考，现阶段国内厂商收集用户数据信息，大多是将隐私条款附加在长长的用户授权协议中，让用户打个勾就表示获得用户的同意，并且是一次授权、无限制收集和使用，用户并不一定清楚冗长的协议中具体涉及的个人隐私及信息数据挖掘的内容，因此，如何进行数据挖掘的有效明示以确保用户授权文件的合法合规值得大数据企业重视。

个人信息授权，现行法律规定过于宽泛

从现行法律对于个人信息保护的规定来看，立法者更多地是从监管者的角度规制数据收集企业的行为，即要求使用个人信息数据的运营者们在收集相关数据前履行特定的义务，至于有效保证用户授权内容的合法合规以及防范个人信息泄露法律风险的细化内容则较为欠缺。

具体而言，即将于今年10月1日生效的《民法总则》第一百一十一条首次将个人信息纳入保护范围，要求获取途径的合法合规。2012年12月28日全国人大常委会发布的《关于加强网络信息保护的规定》全面开启了我国个人信息保护的立法进程。值得注意的是，现行《网络安全法》（以下称“网安法”）第四十一条与《消费者权益保护法》（以下称“消法”）第二十九条的内容均沿袭了上述规定的精神，明确规定网络运营者与经营者在收集、使用个人信息时遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用的目的、方式和范围，同时应当经过被收集者同意，不得违反法律、行政法规以及双方的约定。当然，《网安法》在《消法》的基础上进一步要求网络运营者不得收集与其提供的服务无关的个人信息，对于相关大数据企业来说，用户授权文件的具体授权事项应当仅限于提供服务所需，若要收集服务范围之外的用户个人信息，可能产生一定法律风险。对于需要获取用户地理位置授权的运营者而言，最新修订的《测绘法》第四十七条新增了互联网地图服务提供者收集、使用用户个人信息应遵守法律及行政法规关于个人信息保护的规定，虽然只是兜底性条款，但仍应保持足够关注。

相关平台个人信息授权文件内容分析

蚂蚁花呗

作为阿里平台旗下的重要消费信贷产品，蚂蚁花呗因其开通免费、资金周转灵活等特点受到公众的广泛使用，然而，开通花呗之前的《花呗用户服务合同》却被大部分用户所忽视，其中第四条更是专门就信息收集、使用与共享进行了详细约定。根据最新版本的《花呗用户服务合同》，用户信息的收集范围除最基本的姓名、身份证号码、联系电话与地址外，囊括了包含阿里集团旗下公司、全部合作伙伴、有关征信服务机构、政府部门、司法机关以及公共事业单位在内的所有相关信息来源，因此，无论是公民个人使用阿里平台下相关产品而产生的信用数据亦或与阿里存在合作关系的地图服务运营者提供的位置信息，均可由花呗进行收集。而信息使用的条款则更为概括，包含识别、验证、分析、处理、评估等。关于信息分享，值得注意的是条款4.3.7与4.3.8列明的分享主体为“服务商（花呗）委托的数据处理者”与“境外主体”两个概念，第三方机构与境外机构个人均能成为用户个人信息的接收对象。

微信

相较于蚂蚁花呗，微信关于用户个人信息收集的内容主要由《腾讯隐私政策》予以规定，因其社交软件的性质，内容相比《花呗用户服务合同》也更加简洁明了，收集信息的范围包括用户电话号码、电子邮件、银行卡号等基本信息、用户通过微信服务向其他方共享的信息、微信主动获取的日志信息、位置信息等。而在如何使用上述信息的条款中，除去基础性的身份验证、客户服务、安全防范外，腾讯更明确了“设计新服务，改善现有服务”以及定向广告投放的内容。而对于信息分享的对象，涉及关联公司、合作伙伴及第三方服务商、承包商及代理，其中“他们可能并非处于您所在的法域”暗示了信息接收对象为境外主体的可能。

用户授权文件合规建议

明确授权范围

大数据企业在进行数据信息收集的过程中，除经被收集者同意外，应当明确收集的范围。具体而言，在《网安法》第四十一条的基础上，大数据企业应当根据自身经营内容严格限制获取数据的范围，仅将相关信息用于日常经营所需，不得收集与其提供服务无关的个人信息，同时向用户明示信息收集的具体来源，在征得用户有效同意后方得提供相关服务。

细化使用目的

纵观蚂蚁花呗与微信用户授权文件中有关信息使用目的的条款，内容较为模糊与宽泛，而13年2月1日生效的《信息安全技术公共及商用服务信息系统个人信息保护指南》（以下称“指南”）第5.2条明确要求个人信息收集要有特定、明确、合法的目的，此外，《指南》还要求个人信息获得者应当向信息主体履行明确告知与警示义务，告知用户对外披露或向其他机构及组织提供个人信息的范围以及可能存在的法律风险，同时保证信息主体的投诉渠道畅通无阻。《指南》第5.2.4条更规定了个人信息获得者“只收集能够达到已告知目的的最少信息”的最少够用原则，相关大数据企业对此应予以重视。

今年6月1日与《网安法》同时发布的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中第一条对“公民个人信息”进行了定义，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息均囊括在内，大数据企业在实际使用过程中必要时应进行模糊与脱敏处理。

评估分享对象

《指南》第5.4条对个人信息转移的要求进行了表述，具体到大数据企业的日常经营中，在进行个人信息数据分享的过程中大数据企业不得违背在收集阶段已经明确告知信息主体的转移目的，或超出告知的转移范围转移个人信息。在向其他组织和机构转移个人信息前，大数据企业应当评估其是否能够按照要求处理个人信息，并通过合同明确该组织和机构的个人信息保护责任，除此之外，大数据企业还应当保证个人信息的完整性和可用性以及分享传输过程中的安全。

而对于境外数据接收主体（包括境外个人或境外注册的组织和机构），《指南》对个人信息管理者的要求是须同时满足个人信息主体明示同意、法律法规明确规定、主管部门同意三项条件，鉴于大数据企业并不能归类为个人信息管理者，上述内容仅供参考。值得关注的是今年4月11日国家网信办发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》中明确要求个人信息出境应当向信息主体说明接收方及其国家或地区并经其同意，未经主体同意的个人信息不得出境，显然，仅在授权文件中单方表述信息接收主体可能为境外机构组织或个人，对大数据企业来说依然存在合规风险。