當你用手機叫車的時候，可能會本能地覺得你的信息就只是被打車軟件獲取了。其實不僅于此。假如軟件中嵌入了外部的人臉識別服務，人臉信息還會同時被第三方收集;

　　當你用軟件找房時，軟件為你提供周邊房源地圖時，就至少和地圖服務商共享了你的位置信息;

　　當你在微信上找代駕時，除了微信，代駕公司其實也通過小程序拿到了你的個人信息;

　　……

　　在APP個人信息保護實踐中，這種外部接入場景觸發了一系列的個人信息保護難題：個人信息主體、主產品或服務提供方及外部接入方之間的法律關系如何界定?主產品或服務提供方、外部接入方分別承擔怎么樣的個人信息保護義務?個人信息主體的權益受到損害時，各方的責任如何分配?等等。2020版《個人信息安全規范》(以下簡稱2020版《安全規范》)給出了規制路徑，相關法律專家也對此進行了解讀。

　　委托處理場景如何識別

　　“外部接入場景下，在APP用戶即個人信息主體的感知中，其使用或接受的是APP提供方——個人信息控制者提供的產品或服務(也就是主產品或服務)，然而，外部接入方產品或服務其實也會存在收集用戶個人信息的行為。”北京觀韜中茂(上海)律師事務所李思筱律師指出，此前的《信息安全技術 個人信息安全規范》并未對此做系統性規定。但在實際監管過程中，外部接入場景下的個人信息保護問題越來越突出，2020版《安全規范》在這個問題上邁出了一大步。主要是通過新增第三方接入管理，并明確委托處理、共同個人信息控制者的適用關系等條款，基本上解決了此類場景等大部分問題。

　　“雖然2020版《安全規范》對委托處理未做具體定義，但根據條款的措辭來看，個人信息控制者的行為屬于委托行為，其與外部接入方的關系應為委托關系。”李思筱認為。根據《合同法》中“受托人應當按照委托人的指示處理委托事務”的規定，受托人根據與委托人的約定，按照委托人的指示處理委托事務的，雙方的法律關系為委托關系。委托處理場景下，第三方對相關個人信息處理目的、方式和行為等，通常是依照主產品或服務提供方的指示和雙方約定進行的。

　　以常用的打車軟件(主產品或服務)為例，軟件中嵌入了人臉識別SDK(軟件工具包)，通過收集司機的面部識別特征來對入駐司機的身份進行核驗。人臉識別服務供應商完全依照打車軟件運營公司的委托，對司機面部識別特征進行收集和使用。收集的面部信息僅用于在司機接單駕駛服務中，判斷司機是否為活體，并識別是否為本人駕駛等。在委托處理完成后，人臉識別服務供應商將刪除或匿名化處理收集的司機個人信息。

　　共同控制場景如何識別

　　“如何辨析第三方場景是否屬于共同個人信息控制者，主要取決于外部接入方對個人信息是否具有控制權。”李思筱說，“2020版《安全規范》未明確界定標準。參考其中相關概念的定義以及境外立法中類似概念的定義，我們總結了兩個認定要素，即雙方都具有決定相關個人信息處理目的、方式等的能力，相關個人信息處理的目的、方式等由雙方共同決定，要同時滿足這兩個條件。”

　　以某租房APP為例，為了給用戶提供地圖找房服務，接入了某地圖服務應用程序API(應用編程接口)。用戶在租房APP中使用地圖找房服務時，租房APP會告知用戶需要獲得其定位信息。與此同時，地圖服務應用程序的API接口也收集了用戶的實時位置信息，用以向用戶提供周邊地圖及房源信息。

　　李思筱說，上述場景中，為提供地圖找房服務收集用戶實時位置信息的個人信息處理行為，由租房APP提供方及地圖服務應用程序API接口提供方共同決定，且雙方具有決定相關個人信息處理目的、方式等的能力，因此，雙方至少在用戶實時位置信息收集階段，構成了共同個人信息控制者。

　　還有一種不屬于上述兩種場景的，可以歸為其他外部接入場景。

　　以微信為例，當用戶在微信中使用接入其中的某代駕小程序時，雖然仍停留在微信中，但實際上卻是在使用代駕小程序運營公司獨立提供的服務。而且，從技術原理上來說，小程序無需調用微信APP提供的輔助接口，就能夠直接對用戶使用代駕服務時所需的用戶個人信息進行收集、使用。而且，上述收集、使用行為并不以微信APP同意為前提。不僅如此，用戶在使用代駕小程序時產生的數據信息，微信APP并無法獲得。

　　不同場景下保護義務如何分配

　　“辨析不同法律關系的目的，是厘清不同接入場景下，各方應該對用戶個人信息保護承擔何種義務。”觀韜所王渝偉律師說。

　　根據2020版《安全規范》的規定，在委托處理場景中，APP商家具有個人信息控制者、委托方雙重身份，其應承擔的個人信息保護義務較多。一是遵守規范中的全部相關要求;二是要確保委托行為在已獲得的個人信息主體授權范圍內、進行安全影響評估、對受委托者進行監督、記錄和存儲委托處理個人信息情況、得知或者發現受委托者未按照委托要求處理個人信息等。而外部接入方在此場景下承擔的義務主要是與APP商的合同義務。

　　“共同控制場景下，個人信息安全方面的責任和義務的明確，是商家雙方通過合同等形式在內部分配的。”王渝偉說，“從2020版《安全規范》內容看，在這種場景下，外部接入方可以用自己的方式向用戶告知相關收集、使用行為并獲取同意。也就是說，如果不單獨告知用戶和獲取同意，也是不違規的。但是，主產品或服務提供方的責任比較重，不僅有義務向用戶明確告知，而且要承擔因外部接入方引起的個人信息安全責任。”

　　王渝偉表示，根據2020版《安全規范》的相關規定，在其他外部接入場景下，APP方要對第三方接入進行從流程、安全評估、告知用戶、簽署合同、個人信息安全管理監督以及自動化工具個人信息收集、使用檢測與審計等方方面面的管理工作。外部接入方需要根據相關實際法律關系或約定承擔相應的義務。

　　王渝偉認為，第三方SDK違法違規收集個人信息、外部接入場景下的個人信息保護等問題一直比較突出，合規義務該誰承擔等問題也引起了行業內的廣泛討論和關注，這些也是促成相關規范修訂的重要原因。“2020版《安全規范》顯然已經補上了監管的短板，監管層的個人信息保護思路正逐步清晰。”王渝偉說。

　　●編后

　　從APP個人信息安全問題的現狀、隱患，到APP注銷條件設置的合理性邊界，再到APP外部接入場景下個人信息保護的義務如何界定，APP個人信息保護問題為什么如此復雜，癥結到底在哪?對于運營者來說，以得寸進尺、掩耳盜鈴的方式收集用戶個人信息，以刻意制造障礙的心態或者懶政的方式，給用戶使用和注銷制造障礙，在用戶個人信息保護義務方面扯皮推諉，無非都是出于APP運營者重利的考量。

　　但是，隨著監管水平的提升、監管力度的增加，以及全社會對個人信息保護問題的重視，上述情況恐怕很難繼續下去了。只有切實把保障用戶權益放在首位，主動合法合規經營，讓用戶方便、明白、安心地使用，才能真正保護社會公共利益的訴求，才是真正贏得用戶、留住用戶的最佳手段。