券商租用第三方网络平台开展证券业务有了统一的行为规范。昨日晚间,证监会官方网站发布《证券公司租用第三方网络平台开展证券业务活动管理规定(试行)》(下称《管理规定》),向社会公开征求意见。 证券公司租用第三方网络平台开展证券业务活动,是指证券公司将承载证券服务功能的网络页面以“浮动窗口”等方式链接至第三方网络平台,后台系统部署在证券公司端。该模式下,第三方网络平台负责提供网络空间经营场所,相关页面、功能模块及其承载的内容仍由证券公司自行管理和维护,客户开户和交易行为在证券公司的实际控制下完成。 《管理规定》共二十一条,主要明确了证券公司租用第三方网络平台开展证券业务活动的责任边界、行为规范、程序性要求、禁止性规定等事项。 具体而言,《管理规定》规定了五方面主要内容: 明确了调整范围。证券公司租用第三方网络平台的网络空间经营场所,向投资者提供证券经纪、证券投资咨询等证券服务,适用于《管理规定》;基金管理公司、证券投资咨询机构及从事公开募集基金的销售、投资顾问等基金服务业务的机构参照执行。 厘清了责任边界。根据《管理规定》,证券公司是开展证券业务活动的责任主体,第三方机构仅限于提供网络空间经营场所等相关信息技术服务,不得介入证券公司从事证券业务活动的任何环节。 规范了展业行为。具体要求包括:保障技术安全,证券公司应当自主运营、自主管理相关业务信息系统或功能模块;做好数据隔离,确保第三方机构不接触、存储相关业务及客户数据;规范收费模式,规定费用支付上限;保持业务独立,明确投资者保护措施,明确提示投资者该证券服务由证券公司提供。 强化内部控制要求,包括:要求证券公司事前开展内部评估、制定业务方案,并经信息技术治理委员会审查;券商须与相关第三方机构签订书面协议,明确其不得从事的行为;事中须持续跟踪评估第三方网络平台的合规性、安全性以及双方协议履行情况,将合作纳入公司合规风控范围;事后做好应急管理,建立退出机制。 明确监督管理要求,包括信息报送要求、监管部门职责分工、监管手段、罚则等。 业内人士认为,租用第三方网络平台开展证券业务活动,有利于提高券商获客能力和服务效率,但近年来,这类业务模式也显现出一些新情况、新问题、新风险。 首先,相关主体可能借助为券商提供信息技术服务的机会,混淆业务活动和技术服务的边界,违规开展证券业务;其次,相关主体可能非法截留、获取投资者开户、交易等敏感数据,其负面行为、技术风险可能传导至证券公司;再者,相关主体可能利用优势地位获取不当利益,或者开展竞争性报价,影响市场秩序,损害投资者合法权益。 证监会有关部门负责人介绍,《管理规定》旨在趋利避害,构建可行、合理的操作模式,明确监管底线,将相关合作纳入规范、健康运行的轨道。同时,《管理规定》厘清了证券公司与第三方机构的合作边界,建立了适应互联网特点的风险防范机制,将有利于引导行业机构有序创新。
近日,美团禁用支付宝,希望让消费者交出“支付选择权”,在网络上引起轩然大波。不少人口诛笔伐,甚至旗帜鲜明地表示要“卸载美团,拥抱饿了么”。 王兴毫不示弱,不仅没有正面回应网友的质疑,还反问“淘宝为什么还不支持微信支付?” 随着事件发酵,一部分消费者开始用脚投票。从7月30日开始,饿了么一举反超美团外卖,成为苹果App Store美食佳饮排行榜第一的App,并持续数日。 最终,美团虽不情愿,还是做出妥协,悄悄恢复了支付宝支付通道,但将其折叠隐藏。 王兴的表态很强硬,但其实既传递出他在支付领域的决心,也暴露了美团支付的短板。 历史在重复 禁用支付宝的“小动作”,京东早在9年前就玩过。背后的逻辑也是相似的:使用独立的支付通道,避免竞争对手掌握自己过多的交易数据。 2011年8月24日,京东的一纸通知,宣告了与支付宝的合作正式终结。支付宝被全面停用,包括支付服务和账号登录功能,取而代之的是银联无卡快捷支付。 而刘强东本人早在2011年5月,就公开表示要弃用支付宝,原因是“支付宝的费率太贵,为快钱等公司的4倍”,每年要多花500万-600万元。 这与王兴指责支付宝费率太高异曲同工。 京东从禁用支付宝开始,打造出独立的金融服务体系。9年后,京东数科即将登陆科创,与蚂蚁集团“针尖对麦芒”。 如今的美团,也在重复这个进程。 美团外卖一直牢牢紧握行业头把交椅,市占率还在稳定上升。Trustdata统计数据显示,2018Q3-2019Q3,美团外卖市场份额大于饿了么与饿了么星选的总和,且二者差距在不断拉大。2019年第三季度,美团外卖市占率上升至65.8%。 论体量,美团已经是继阿里、腾讯之后的中国第三大互联网公司。截至2020年8月4日收盘,美团股价达到218港元,创历史新高,总市值也达到1.28万亿港元。 相比9年前的京东,美团更有动机、能力和决心做自己的支付通道。 一方面,美团与饿了么巷战升级,在本地生活领域激战正酣。美团2019年交易用户4.5亿,交易总金额近7000亿元,支付宝恐难放弃、也不愿意看到这块诱人的蛋糕被美团抢占。 另一方面,阿里不愿意在与腾讯的博弈中处于劣势地位。阿里作为美团B轮5000万美元的领投方、C轮3亿美元的跟投方,在美团早期给予了极大的资金和战略支持。但随着王兴与阿里在经营理念方面产生分歧,以及腾讯入局(领投E轮、F轮融资,跟投2018年的战略投资)成为美团最大的股东(持股17.43%),美团与阿里彻底走向对立状态。 在这种情形下,支付宝在美团支付体系中的位置,已经非常微妙。 分“一杯羹”很难 以外卖为中心,美团的业务涵盖了“吃喝玩乐”,是如今品类功能最全的综合生活服务平台。 2018年9月登陆港交所时,美团和旗下公司通过直接申请、全资收购、入股等方式,已“集齐”了支付、小贷、银行、保险经纪四类金融牌照,为美团各项金融服务提供保障和支持。 美团金融布局“第一刀”就落在了支付领域。从2016年9月全资收购钱袋宝算起,到如今已有4个年头。 在此之前,美团不能打通交易闭环,只能“被迫”通过支付宝、微信、京东银联等合作方的支付通道,完成交易的支付环节。 2016年初,美团支付业务一度因未取得支付牌照就无证经营叫停。 眼下,美团支付在面临着“三座大山”:第三方支付交易规模增量放缓、市场格局趋于稳定和消费者既定的支付习惯难以打破。 2016-2019年,中国第三方支付交易规模翻了4倍,从58.8万亿元上升至226.1亿元,但增长率也一路下滑。2020年一季度更是因为疫情原因,第三方支付交易规模下降至53.2万亿元,同比下滑4.0%。 C端流量逐步见顶,新增红利不断缩小,对于“初出茅庐”的美团支付来讲,市场环境并不友好。 而且,第三方支付市场格局已趋于稳定,头部服务商对流量的虹吸效应显著,对新入局的玩家形成壁垒优势。 2020Q1,支付宝与财付通合计占据中国第三方市场份额的94.4%,相比2016年高出8.4个百分点。 看似第三方支付市场规模不小,玩家也很多,但支付宝、财付通基本形成了“双寡头”垄断的格局,并在不断挤压新玩家的生存空间。 美团支付夹缝求生,实属不易。 最后,也是最关键的一点,消费者已经形成了既定的支付习惯,短期难以改变。 财付通打通了QQ+微信等社交软件,在用户心中已经成为“生活服务+金融服务”平台。用户频繁打开QQ、微信与支付宝,在使用支付功能时也会首选支付宝、财付通进行支付。 相对来说,美团用户基数小,交易频率也相对较低。多数用户只有在美团平台上购买产品和服务时,才有可能使用美团支付。 根据腾讯2020年一季度财报,QQ+微信的月活跃用户已超过16亿,支付宝覆盖的用户也早在2019年8月突破12亿,而美团的用户量只有4.5亿。 用户支付习惯一旦养成,会在频繁的交易行为中不断巩固和强化,对新的支付形式构成天然的排斥,自然导致美团支付的用户接受过程缓慢且存在不确定性。 美团想要改变用户的支付习惯,并不是让用户在最终支付环节使用美团支付那么简单,还要改变用户在QQ、微信和支付宝等平台上已经形成的支付习惯,为美团支付开辟更多入口,难度可想而知。 美团支付在破局 万亿本地生活消费是美团支付的根基,美团支付是王兴千亿金融帝国的根基。 美团拿掉支付宝后又以折叠隐藏的方式加回来,可能只是先“试水”,试探支付宝与用户的反应。目前看来,将来美团大概率会像当年的京东一样毫不留情地禁用支付宝,用户应当做好充分的心理准备。 眼下,对于不经常使用美团的用户来说,美团支付还太过陌生,在有支付宝、微信的选项时,美团支付很难成为首选,“双寡头”格局在可以预见的未来都有着明显优势。 除了简单粗暴地禁用支付宝,美团支付还可以通过哪些措施,让自己在“双寡头”垄断的阴影下后来追赶甚至居上? 商业上的成功模式,在某种程度上可以迁移运用。这里,王兴最值得学习的就是黄峥——用5年时间,在阿里和京东的夹缝中打造出国内第二大电商平台,与美团支付的境遇相似。 黄峥发现,阿里、京东是全国综合性电商,用户在一二线城市占比更高,所以拼多多更偏向三至五线城市,采取“农村包围城市”战略,用低价拼团策略,让对价格敏感性较强的这部分用户“占小便宜”。 目前,美团支付推行绑卡支付“每单减0.5元”、美团月付“单单立减”等活动,但是优惠力度明显不够,不足以改变用户的支付习惯。继续加大折扣力度,增加返现、返红包等更加多样化的形式,或许可以强化更多用户对美团支付的依赖。 在此基础上,美团支付也在横向打通自身的金融服务,充分利用平台流量。 美团借钱(“美团生活费”)推出“2000元免息借3个月”的优惠,邀请好友首次体验还可获得5元外卖券+30天免息券。凭美团月付授权,用户可以0元先享美团会员,获得无门槛红包、低价买加量包和兑换大额商家红包。开通美团信用卡,美团外卖可以“天天减6元”。 这点主要是利用美团的存量用户,增加支付转化率。 短期内,美团支付难以冲破巨头掌控的支付市场。但美团平台沉淀了大量用户,金融布局初成规模,通过培养用户的支付习惯,或许可以增加平台的美团支付率(采用美团支付的交易数量/美团平台交易总数量)。 在中长期,基于本地生活服务的美团支付,很有可能在第三方支付市场占有一席之地,但前提是,这些“小便宜”能带来足够多的用户。 尾声 距离美团禁用支付宝已过去一周的时间,相关话题热度不减。 绝大多数用户抵制美团,认为用户有自由选择权,平台不应该帮用户决定。极少数用户表示理解美团的做法,认为这是正常的行业竞争,巨头们都在自己的商业领域寻求生态闭环。 表面上,美团“赔了口碑输了用户”,没有给自己带来任何好处。实际上,从长远角度来看,美团支付叫板支付宝,已经迈出实质性的一步,给未来支付领域增加了更大的想象空间。 美团支付路漫漫,这一步,关乎万亿美团的千亿金融梦,这一步,王兴不会就此罢手。
英特集团公告,公司关注到公司股价自2020年7月23日以来连续多日大幅上涨,部分报道将公司列入“疫苗冷链概念板块”。公司第三方医药冷链物流业务收入占比极小,目前,公司第三方医药冷链物流业务的在手订单金额仅为5万元。公司主营业务收入仍来源于药品、医疗器械批发和零售业务,第三方医药冷链物流业务现状以及在手订单等情况,不会对公司经营业绩产生重大影响。
中国互联网金融协会网站1日发布关于防范第三方SDK风险隐患的提示,提供客户端软件的金融从业机构和外部评估机构,应高度重视第三方SDK存在安全隐患的问题,认真排查客户端软件中嵌入第三方代码或SDK是否存在违规超限收集用户个人信息的情况。 中国互金协会表示,央视在近期举办的2020年“3·15”晚会报道了SDK(Software Development Kit,即“软件开发工具包”)违规超限收集用户个人信息的现象。中国互联网金融协会(以下简称协会)在近期开展的移动金融客户端应用软件(以下简称客户端软件)备案工作中也发现,客户端软件使用第三方SDK较为普遍。经分析,SDK虽然提升了客户端软件的应用部署效率,但也暴露出一些需引起重视的问题,主要包括:隐私政策中未逐一列出第三方SDK收集使用个人信息的目的、方式、范围等内容;第三方SDK使用权限超出用户授权范围;第三方SDK超出业务功能实际需要被高频调用等。 为此,中国互金协会作出郑重提醒:各提供客户端软件的金融从业机构和外部评估机构,应高度重视第三方SDK存在安全隐患的问题,认真排查客户端软件中嵌入第三方代码或SDK是否存在违规超限收集用户个人信息的情况,并严格遵照《中华人民共和国网络安全法》、《移动金融客户端应用软件安全管理规范》(JR/T 0092-2019)、《个人金融信息保护技术规范》(JR/T 0171—2020)等个人信息保护要求,落实安全防护措施,切实保障用户个人信息和财产安全。
文/意见领袖专栏机构北京和昶律师事务所 本文作者:朱一博 近日,中信银行因擅自向某公司提供个人信息被卷入风波,致歉、处理责任人等快速反应均未能挽回信用损失,即将面临民事责任、行政处罚等。自然人的个人信息受法律保护,储户是个人信息主体,银行是信息控制者,银行对信息的控制源于储户的授权,其余均属于第三方。因此,除法定情形以外,未经授权向第三方提供个人信息必然违法违规。中信银行事件因小失大,教训惨痛,为我们敲响警钟。 一、信息共享风险预警 大数据时代,移动应用程序(App)显现蓬勃生机,成为个人信息汇集的中心,App运营商(以下简称App)与第三方的合作日渐密切与多元。第三方主体包括各类产品或服务供应商,如智能设备、服务平台、系统服务、软件服务提供商,具体包括移动运营商、第三方支付机构、广告、咨询、调研、分析、客服、回访、身份验证、安全监测等服务提供商。App中的小程序、第三方应用、第三方代码、插件(如软件开发工具包sdk,sdk详情建议参考《Zoom危机:警惕潜伏在APP后面的SDK大盗》)皆为第三方的缩影。它们通过客户端直接收集信息,或者先将数据传输至App后台服务器,再向第三方提供,主要通过这两种方式实现信息共享。 互联网非法外之地,与第三方共享个人信息,同样以告知用户并征得用户同意为前提。自“App违法违规收集使用个人信息专项治理行动”开展以来,因信息“私自共享第三方”受到监管部门惩处的App不在少数,耳熟能详的,如闪送(版本5.2.20)、36氦(版本8.6.7)、QQ阅读(版本7.1.1.888)、人人视频(版本4.2.9)、一点资讯(版本5.2.1.0)等。 同时,App需警惕与第三方合作的安全性。第三方由App引入,对于终端用户而言,App在明,第三方在暗,App需为第三方行为担责。近年来,第三方违规引发的信息安全事件并不鲜见。倘若第三方恶意操作(如恶意推送信息的“寄生推”)、隐蔽收集用户个人信息,或因安全漏洞引发信息泄露,App事前未进行责任切割,未尽到告知、监督义务,就难辞其咎,为第三方所累。 二、安身法则——“告知”与“监督” 用户信息安全不容忽视,法律规范接踵而至,与第三方合作已成定局,App怎样才能守住合规底线?《网络安全法》明确,网络运营者收集、使用个人信息,应当遵循知情同意、必要性原则,App与第三方共享信息属于“使用”,因此受上述原则约束。关于App与第三方,目前尚未有法律法规作出具体规定,散见于《App违法违规收集使用个人信息行为认定方法》、《App违法规收集使用个人信息自评估指南》、《个人信息安全规范》GB/T 35273—2020、《数据安全管理办法(征求意见稿)》、《移动互联网应用程序(App)收集使用个人信息自评估指南(征求意见稿)》、《移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)》等文件。 通过梳理上述规范性文件,App共享第三方合规准则有二,第一:对用户充分告知;第二,对第三方尽到必要的监督责任。不难理解,终端用户为个人信息主体,App对信息的使用受制于权利人的授权,故信息共享需告知并取得权利主体同意,“明明是三个人的电影,请告知他姓名”;在App、终端用户与第三方关系图中(如图1所示),App为连结三方的关键所在,处于对第三方风险披露的最佳位置。同时,收益永远与风险并存,为提高效率、享受便利引入第三方,则监督第三方为应有之责,失责的风险如影相随。 (图1终端用户、App与第三方关系) 鉴于尚未有法律法规对App与第三方的权利义务关系作出系统性规定,“告知”与“监督”的具体内容需要从第三方类型、App与第三方的法律关系两个维度展开。 首先,App中第三方包括嵌入的第三方代码、插件、小程序、第三方应用等,App与第三方共享用户个人信息,应当告知用户以下内容,征得用户同意:(1)逐一列出第三方收集使用个人信息的目的、方式、范围等;(2)数据接收方的类型以及可能产生的后果;(3)共享个人敏感信息,还应告知涉及的个人敏感信息类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意;(4)人生物识别信息原则上不应共享。因业务需要,确需共享,应单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等,并征得个人信息主体的明示同意。 (图2:个人敏感信息与个人生物识别信息,源于《个人信息安全规范》(GB/T 35273—2020)) 其次,App与第三方除了具有共享关系外,还可能成立委托处理、共同控制、第三方管理三种关系(如图3所示)。通俗的说,委托处理即App将收集的个人信息委托第三方处理;共同控制是指App通过合同等形式与第三方达成合意,共同对用户个人信息进行控制。值得注意的是,App如果部署了收集个人信息的第三方插件,例如软件开发工具包sdk,且该第三方未单独向用户告知并征得同意,则默认App与第三方sdk属于共同控制关系;如果App未委托第三方也未与第三方约定共同控制,只是接入了客观上具备收集个人信息功能的第三方,就属于第三方接入管理。 (图3,源于《个人信息安全规范》(GB/T 35273—2020)) 合规要求总体包括厘清权责、告知用户、监督第三方(如审计、技术检测、记录留痕等),因法律关系不同,各有侧重。例如,委托处理侧重于对第三方进行监督;共同控制侧重于向用户告知第三方身份以及各自责任,否则将承担因第三方引起的个人信息安全责任;对接入的第三方如若管理不慎,极可能引发信息泄露,因此既要求App向用户明确说明产品或服务由第三方提供,又要求对第三方加强监督。需要关注的是,《数据安全管理办法(征求意见稿)》第30条规定,如果第三方应用发生数据安全事件对用户造成损失,除非网络运营者能证明自己无过错,否则应当承担部分或全部责任。 三、落地困境与探寻 为保障用户个人信息安全,实现终端用户、App与第三方之间良性互动,合规的信息共享流程应当是:App筛选第三方合作伙伴→App向用户告知并获得授权→App监督第三方。落实该流程在实践中举步维艰,至少存在以下几方面的问题: 第一,专业人员配备。筛选合作伙伴是否需要配备专业人员?当前筛选第三方合作伙伴,例如软件开发工具包sdk通常由技术人员进行,因涉及法律问题,是否需要法务人员提前介入,或安排专人与第三方对接? 第二,App筛选合作对象的判断标准。如何判断第三方合作伙伴是否可靠,在安全性、个人信息保护程度方面有哪些指标?如何获知第三方可能存在的违法违规行为或安全隐患? 第三,App与第三方权责不对等。筛选、告知、监督的行使,都以App知悉第三方收集、使用个人信息的情况为前提。然而,现行法律规范仅聚焦于App,尚未溯及上游第三方。若第三方不明确收集、使用个人信息的目的、方式、范围,App该如何向用户告知? 第四,告知方式。第三方合作伙伴数量庞大,如何有效告知? 第五,App与第三方地位不对等。App与第三方sdk的合作,通常是第三方sdk提供服务开放平台,在线签署开发者服务协议。面对此类第三方,App何尝不是用户。在监管缺位的情况下,App难以与第三方博弈,对第三方监督。 毋庸置疑,在信息共享流程中,任一环节监管的缺失必将导致个人信息保护流于形式。可以预见,监管的触角必将延伸至第三方,在此之前,App该如何作为?建议如下。 1.筛选合作伙伴。应当重视第三方的信息安全合规意识和安全措施,包括背景调查、了解隐私政策(关注是否明确收集信息的目的、方式、范围;共享信息;是否转委托;是否收集敏感信息以及采取的安全措施等),有条件的可对第三方收集信息进行技术验证、安全评估。另外,尽可能在合作协议明确双方权责。若能对第三方拟收集的信息进行协商,建议对第三方数据请求的必要性进行评估,拒绝不必要的个人信息收集请求。 值得一提的是,部分第三方sdk具有较强的合规意识,例如极光sdk,制定了一系列合规文件,包括《极光合规指南》、《极光合规指南之极光开发者服务——安全与合规政策解读》、《极光SDK隐私政策合规落地指引》,将其收集、使用App最终用户个人信息的相关情况绘制成表,涵盖sdk产品名称、App产品所应用系统、场景描述、收集方式、个人信息类型、个人信息字段、用途或目的、是否为必要信息、信息处理方式(替换、匿名化处理),并要求APP在隐私政策中列明。 2.告知用户。如前所述,告知内容至少包含第三方类型与身份、收集使用个人信息的目的、方式、范围,可以采用隐私政策、弹窗提示、文字备注、文本链接等告知方式,已有部分App做出了大胆尝试,例如,曾因“私自共享第三方”被要求整改的绿城生活与人人视频,在最新的隐私政策中采用直接列明的方式(如图4所示);度小满(有钱花)在隐私政策“如何共享个人信息”第三方合作机构处附上超链接,超链接内列明第三方sdk嵌入情况(如图5所示);抖音采用在隐私政策中附上超链接,超链接内附上接入第三方sdk名称、使用目的以及官网链接(如图6所示)。 (图4,绿城生活和人人视频隐私政策) (图6,抖音隐私政策) 3.监督第三方。监督方式包括但不限于:通过合同明确对第三方的数据安全、信息保护的要求和责任、对第三方进行审计、合作过程中技术检测、记录和存储第三方收集、使用个人信息的情况,通过留存证据证明已对第三方尽到必要的注意义务。 中信银行事件揭示公众个人信息保护意识觉醒,以及对信息安全的焦虑。在这场个人信息保卫战中,App是中坚力量,守住用户个人信息的安全线,是对当下“守信”最好的诠释。
文/意见领袖专栏机构北京和昶律师事务所 本文作者:朱一博 近日,中信银行因擅自向某公司提供个人信息被卷入风波,致歉、处理责任人等快速反应均未能挽回信用损失,即将面临民事责任、行政处罚等。自然人的个人信息受法律保护,储户是个人信息主体,银行是信息控制者,银行对信息的控制源于储户的授权,其余均属于第三方。因此,除法定情形以外,未经授权向第三方提供个人信息必然违法违规。中信银行事件因小失大,教训惨痛,为我们敲响警钟。 一、信息共享风险预警 大数据时代,移动应用程序(App)显现蓬勃生机,成为个人信息汇集的中心,App运营商(以下简称App)与第三方的合作日渐密切与多元。第三方主体包括各类产品或服务供应商,如智能设备、服务平台、系统服务、软件服务提供商,具体包括移动运营商、第三方支付机构、广告、咨询、调研、分析、客服、回访、身份验证、安全监测等服务提供商。App中的小程序、第三方应用、第三方代码、插件(如软件开发工具包sdk,sdk详情建议参考《Zoom危机:警惕潜伏在APP后面的SDK大盗》)皆为第三方的缩影。它们通过客户端直接收集信息,或者先将数据传输至App后台服务器,再向第三方提供,主要通过这两种方式实现信息共享。 互联网非法外之地,与第三方共享个人信息,同样以告知用户并征得用户同意为前提。自“App违法违规收集使用个人信息专项治理行动”开展以来,因信息“私自共享第三方”受到监管部门惩处的App不在少数,耳熟能详的,如闪送(版本5.2.20)、36氦(版本8.6.7)、QQ阅读(版本7.1.1.888)、人人视频(版本4.2.9)、一点资讯(版本5.2.1.0)等。 同时,App需警惕与第三方合作的安全性。第三方由App引入,对于终端用户而言,App在明,第三方在暗,App需为第三方行为担责。近年来,第三方违规引发的信息安全事件并不鲜见。倘若第三方恶意操作(如恶意推送信息的“寄生推”)、隐蔽收集用户个人信息,或因安全漏洞引发信息泄露,App事前未进行责任切割,未尽到告知、监督义务,就难辞其咎,为第三方所累。 二、安身法则——“告知”与“监督” 用户信息安全不容忽视,法律规范接踵而至,与第三方合作已成定局,App怎样才能守住合规底线?《网络安全法》明确,网络运营者收集、使用个人信息,应当遵循知情同意、必要性原则,App与第三方共享信息属于“使用”,因此受上述原则约束。关于App与第三方,目前尚未有法律法规作出具体规定,散见于《App违法违规收集使用个人信息行为认定方法》、《App违法规收集使用个人信息自评估指南》、《个人信息安全规范》GB/T 35273—2020、《数据安全管理办法(征求意见稿)》、《移动互联网应用程序(App)收集使用个人信息自评估指南(征求意见稿)》、《移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)》等文件。 通过梳理上述规范性文件,App共享第三方合规准则有二,第一:对用户充分告知;第二,对第三方尽到必要的监督责任。不难理解,终端用户为个人信息主体,App对信息的使用受制于权利人的授权,故信息共享需告知并取得权利主体同意,“明明是三个人的电影,请告知他姓名”;在App、终端用户与第三方关系图中(如图1所示),App为连结三方的关键所在,处于对第三方风险披露的最佳位置。同时,收益永远与风险并存,为提高效率、享受便利引入第三方,则监督第三方为应有之责,失责的风险如影相随。 (图1终端用户、App与第三方关系) 鉴于尚未有法律法规对App与第三方的权利义务关系作出系统性规定,“告知”与“监督”的具体内容需要从第三方类型、App与第三方的法律关系两个维度展开。 首先,App中第三方包括嵌入的第三方代码、插件、小程序、第三方应用等,App与第三方共享用户个人信息,应当告知用户以下内容,征得用户同意:(1)逐一列出第三方收集使用个人信息的目的、方式、范围等;(2)数据接收方的类型以及可能产生的后果;(3)共享个人敏感信息,还应告知涉及的个人敏感信息类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意;(4)人生物识别信息原则上不应共享。因业务需要,确需共享,应单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等,并征得个人信息主体的明示同意。 (图2:个人敏感信息与个人生物识别信息,源于《个人信息安全规范》(GB/T 35273—2020)) 其次,App与第三方除了具有共享关系外,还可能成立委托处理、共同控制、第三方管理三种关系(如图3所示)。通俗的说,委托处理即App将收集的个人信息委托第三方处理;共同控制是指App通过合同等形式与第三方达成合意,共同对用户个人信息进行控制。值得注意的是,App如果部署了收集个人信息的第三方插件,例如软件开发工具包sdk,且该第三方未单独向用户告知并征得同意,则默认App与第三方sdk属于共同控制关系;如果App未委托第三方也未与第三方约定共同控制,只是接入了客观上具备收集个人信息功能的第三方,就属于第三方接入管理。 (图3,源于《个人信息安全规范》(GB/T 35273—2020)) 合规要求总体包括厘清权责、告知用户、监督第三方(如审计、技术检测、记录留痕等),因法律关系不同,各有侧重。例如,委托处理侧重于对第三方进行监督;共同控制侧重于向用户告知第三方身份以及各自责任,否则将承担因第三方引起的个人信息安全责任;对接入的第三方如若管理不慎,极可能引发信息泄露,因此既要求App向用户明确说明产品或服务由第三方提供,又要求对第三方加强监督。需要关注的是,《数据安全管理办法(征求意见稿)》第30条规定,如果第三方应用发生数据安全事件对用户造成损失,除非网络运营者能证明自己无过错,否则应当承担部分或全部责任。 三、落地困境与探寻 为保障用户个人信息安全,实现终端用户、App与第三方之间良性互动,合规的信息共享流程应当是:App筛选第三方合作伙伴→App向用户告知并获得授权→App监督第三方。落实该流程在实践中举步维艰,至少存在以下几方面的问题: 第一,专业人员配备。筛选合作伙伴是否需要配备专业人员?当前筛选第三方合作伙伴,例如软件开发工具包sdk通常由技术人员进行,因涉及法律问题,是否需要法务人员提前介入,或安排专人与第三方对接? 第二,App筛选合作对象的判断标准。如何判断第三方合作伙伴是否可靠,在安全性、个人信息保护程度方面有哪些指标?如何获知第三方可能存在的违法违规行为或安全隐患? 第三,App与第三方权责不对等。筛选、告知、监督的行使,都以App知悉第三方收集、使用个人信息的情况为前提。然而,现行法律规范仅聚焦于App,尚未溯及上游第三方。若第三方不明确收集、使用个人信息的目的、方式、范围,App该如何向用户告知? 第四,告知方式。第三方合作伙伴数量庞大,如何有效告知? 第五,App与第三方地位不对等。App与第三方sdk的合作,通常是第三方sdk提供服务开放平台,在线签署开发者服务协议。面对此类第三方,App何尝不是用户。在监管缺位的情况下,App难以与第三方博弈,对第三方监督。 毋庸置疑,在信息共享流程中,任一环节监管的缺失必将导致个人信息保护流于形式。可以预见,监管的触角必将延伸至第三方,在此之前,App该如何作为?建议如下。 1.筛选合作伙伴。应当重视第三方的信息安全合规意识和安全措施,包括背景调查、了解隐私政策(关注是否明确收集信息的目的、方式、范围;共享信息;是否转委托;是否收集敏感信息以及采取的安全措施等),有条件的可对第三方收集信息进行技术验证、安全评估。另外,尽可能在合作协议明确双方权责。若能对第三方拟收集的信息进行协商,建议对第三方数据请求的必要性进行评估,拒绝不必要的个人信息收集请求。 值得一提的是,部分第三方sdk具有较强的合规意识,例如极光sdk,制定了一系列合规文件,包括《极光合规指南》、《极光合规指南之极光开发者服务——安全与合规政策解读》、《极光SDK隐私政策合规落地指引》,将其收集、使用App最终用户个人信息的相关情况绘制成表,涵盖sdk产品名称、App产品所应用系统、场景描述、收集方式、个人信息类型、个人信息字段、用途或目的、是否为必要信息、信息处理方式(替换、匿名化处理),并要求APP在隐私政策中列明。 2.告知用户。如前所述,告知内容至少包含第三方类型与身份、收集使用个人信息的目的、方式、范围,可以采用隐私政策、弹窗提示、文字备注、文本链接等告知方式,已有部分App做出了大胆尝试,例如,曾因“私自共享第三方”被要求整改的绿城生活与人人视频,在最新的隐私政策中采用直接列明的方式(如图4所示);度小满(有钱花)在隐私政策“如何共享个人信息”第三方合作机构处附上超链接,超链接内列明第三方sdk嵌入情况(如图5所示);抖音采用在隐私政策中附上超链接,超链接内附上接入第三方sdk名称、使用目的以及官网链接(如图6所示)。 (图4,绿城生活和人人视频隐私政策) (图6,抖音隐私政策) 3.监督第三方。监督方式包括但不限于:通过合同明确对第三方的数据安全、信息保护的要求和责任、对第三方进行审计、合作过程中技术检测、记录和存储第三方收集、使用个人信息的情况,通过留存证据证明已对第三方尽到必要的注意义务。 中信银行事件揭示公众个人信息保护意识觉醒,以及对信息安全的焦虑。在这场个人信息保卫战中,App是中坚力量,守住用户个人信息的安全线,是对当下“守信”最好的诠释。 (本文作者介绍:北京和昶律师事务所是一家以刑事辩护和刑事风险防控为主的专业型、研究型律师事务所)
推进第三方市场合作 促进多方互利共赢——国家发展改革委外资司有关负责人就《第三方市场合作指南和案例》答记者问 国家发展改革委近日发布《第三方市场合作指南和案例》(以下简称《指南和案例》)。为便于社会各界了解有关情况,国家发展改革委外资司有关负责人就《指南和案例》回答了记者提问。 问:请介绍一下《指南和案例》的编制背景和主要内容。 答:中国政府高度重视第三方市场合作。在“一带一路”国际合作高峰论坛等多个重大外交场合,习近平主席就第三方市场合作作出重要论述,亲自见证第三方市场合作有关文件的签署,引领和推动第三方市场合作向前发展。李克强总理在今年《政府工作报告》中就拓展第三方市场合作提出明确要求。 为贯彻落实党中央、国务院有关决策部署,我们在深入调研、广泛征集的基础上,结合企业提供的素材,编制了中英文版的《指南和案例》并公开发布,以期通过提供可参考的具体案例,更好服务中外企业开展第三方市场合作。 《指南和案例》阐述了第三方市场合作的内涵、理念和原则。第三方市场合作主要是指中国企业(含金融企业)与有关国家企业共同在第三方市场开展经济合作。作为开放包容的国际合作模式,第三方市场合作有助于中国企业和各国企业优势互补,共同推动第三国产业发展、基础设施水平提升和民生改善,实现1+1+1>3的效果。在推进第三方市场合作过程中,中方秉承开放、绿色、廉洁理念,遵循三方共商共建共享、第三方受益原则,坚持企业主体、市场导向、商业原则、国际惯例,坚持质量优先、因地制宜,坚持开放包容、合作共赢,努力实现高标准、惠民生、可持续目标。 《指南和案例》介绍了第三方市场合作的机制和平台。截至2019年6月,中方已与法国、日本、意大利、英国等14个国家签署第三方市场合作文件,建立第三方市场合作机制,共同为企业搭建合作平台、提供公共服务。 《指南和案例》以“解剖麻雀”的方式,列举了产品服务类、工程合作类、投资合作类、产融结合类、战略合作类等5个类别21个案例。入选的案例涵盖铁路、化工、油气、电力、金融等多个领域,涉及日本、英国等国的合作伙伴以及印尼、埃塞俄比亚等合作项目所在国,对有意开展第三方市场合作的中外企业具有较好的参考价值。 问:《指南和案例》列举了第三方市场合作的五种主要模式,不同合作模式各有什么特点和实例? 答:合作模式灵活多样是第三方市场合作的基本特征。基于企业的商业实践,我们在《指南和案例》中归纳了第三方市场合作的五种主要模式,分别是产品服务类、工程合作类、投资合作类、产融结合类和战略合作类。 产品服务类通常是指中国企业与外方企业在设备采购、认证许可、法律商务咨询等领域开展合作,共同为第三方市场客户提供整体解决方案。比如,莫桑比克马普托大桥项目由中国交建承建,德国GUAFF公司为其提供监理咨询服务,参与项目的设计咨询、施工监督及质量安全控制工作。项目使当地原来两到三小时的渡海时间缩短至十分钟左右,同时创造了超过2000个就业岗位,有效改善了当地交通和就业状况。 工程合作类通常是指中国企业与外方企业通过总分包、联合竞标等方式,共同在第三方市场开展项目。比如,埃塞俄比亚吉布三水电站项目中,东方电气获得设备供应订单,一家意大利公司承担土建工作。项目使埃塞俄比亚全国发电装机容量翻倍,缓解了当地电力短缺情况,同时通过培训为当地电力人才培养作出了重要贡献。 投资合作类通常是指中国企业通过并购、合资、参股等方式,与外方企业共同在第三方市场开展投资,形成风险共担、利益共享的合作格局。比如,中石油、丝路基金和俄罗斯诺瓦泰克公司、法国道达尔公司共同投资建设俄罗斯亚马尔液化天然气项目,2018年前三条生产线已实现投产。项目为人类在北极圈内建设超级液化天然气(LNG)工厂提供了参考范本,同时有力带动了项目所在地区船运、保险、金融等相关产业发展,推动了北极东北航道使用,为亚太和欧洲乃至世界物流带来了便利。 产融结合类通常是指中外方金融机构通过银团贷款、联合融资、转贷款、股权参与等多种方式在第三方市场开展合作,拓宽企业融资渠道,分散金融机构融资风险,实现企业和金融机构共生共荣。比如,在加纳特马港扩建项目中,中国银行通过银团贷款的方式与世界银行下属的国际金融公司开展合作。对于国际金融公司而言,中国银行的加入为银团筹组提供了有力支撑;对于项目股东而言,直接高效的融资方式有效降低了项目融资成本,推动了项目顺利实施。 战略合作类通常是指中国企业与外方企业通过签署战略合作协议、建立战略合作联盟等形式在第三方市场开展研发、制造、工程、物流、资本、人才等全方位、多领域、多层次合作,实现资源共享和优势互补,同时为第三方市场带来更多发展机遇。比如,中远海运与法国达飞轮船等企业共同组建“海洋联盟”,共同投船、共享舱位,显著降低了联盟航线覆盖的东西干线运输成本,同时推动了航运市场的健康发展。 以上五种是比较常见的第三方市场合作模式。我们鼓励企业因时因地因事制宜,集众智、汇合力,不断创新第三方市场合作模式。 问:请介绍一下第三方市场合作的总体进展。 答:近年来,中方以共建“一带一路”为引领,深化国际产能合作,积极与有关国家开展第三方市场合作,取得了各施所长、各得其所、多方共赢的积极进展。 一是合作共识不断增进。自2015年中国与法国发布第三方市场合作联合声明以来,中方已同新加坡、日本、瑞士、英国等14个国家签署合作文件,达成加强第三方市场合作的共识,进而将之转化为政策对接、规则对接、项目对接等实际行动,共同为各国企业深化务实合作创造有利条件。 二是合作主体更加多元。参与第三方市场合作的主体,既有金融企业,也有非金融企业;既有国有企业,也有民营企业,还有合资企业;既有中国企业、发达国家跨国企业,也有项目所在国的本地企业,还有国际金融机构。这充分体现了第三方市场合作的开放包容、多元共赢。 三是合作平台加快构建。中国-法国第三方市场合作指导委员会、中国-新加坡第三方市场合作工作组等工作机制相继建立并运行。中国-意大利、中国-奥地利等一系列第三方市场合作论坛成功举办,成为中外企业交换信息、洽谈合作、达成协议的重要平台。以首届中日第三方市场合作论坛为例,两国地方政府、企业、金融机构之间签署了50余项合作协议,涉及基础设施、物流、金融等多个领域,协议金额超过180亿美元。 四是合作成效逐步显现。在各方共同努力下,中法第三方市场合作基金初步确定首个投资项目,俄罗斯亚马尔液化天然气、莫桑比克马普托大桥、埃塞俄比亚吉布三水电站等一批高标准、惠民生、可持续的重大项目顺利建成,中方企业、外方企业、项目所在国企业和民众等相关方都从中获益。可以说,第三方市场合作已经成为各方集思广益、尽施所长、惠及彼此的重要途径。 问:下一步还将采取哪些措施推进第三方市场合作? 答:第三方市场合作顺应经济全球化的历史潮流,契合各国开放合作、联动发展的现实需要,具有广阔的发展前景。下一步,我们将坚持以习近平新时代中国特色社会主义思想为指导,认真贯彻党中央、国务院决策部署,以共建“一带一路”为引领,坚持共商共建共享、开放绿色廉洁等理念和原则,充分发挥企业主体作用,与有关方面共同推动第三方市场合作沿着高质量发展方向不断前进。 一是加强机制建设,进一步扩大合作朋友圈。深入落实已对外签署的第三方市场合作文件,继续与有意愿的国家建立合作机制,开展从政策到项目的一揽子合作。统筹利用双边、多边合作平台和资源推进第三方市场合作,努力实现各渠道对外合作互促并进。加强理念、政策和案例的对外宣介,鼓励更多跨国公司、国际金融机构与中方企业联合开拓第三方市场。 二是拓展合作领域,进一步挖掘发展新动能。继续深化基础设施、资源能源、产能和装备制造等传统领域的第三方市场合作,推动构建包容普惠的全球产业链。同时,顺应第四次工业革命发展趋势,便利中外企业在智能制造、数字经济、第五代移动通信网络等新兴领域互学互鉴,不断开辟第三方市场合作新前景。 三是优化综合服务,进一步增强企业获得感。用好发展改革委部门网站等信息平台,加强第三方市场合作信息的归集和发布。提升贸易投资便利化水平,加强与有关国家的标准信息交换和共享,为各方企业开展合作营造良好制度环境。办好中法、中日、中新等系列第三方市场合作论坛,促成更多务实成果。鼓励贸易投资促进机构、商协会在提供政策咨询、搭建合作平台、加强行业自律等方面发挥积极作用。 四是推动重大项目,进一步增加利益交汇点。推动中法第三方市场合作基金高效运营,继续与有条件的国家共设投融资平台,引导金融企业创新产品和服务,拓宽第三方市场合作项目的市场化融资渠道。发挥第三方市场合作机制作用,坚持市场化、商业化运作,推动落实已对外签署的项目清单,同时与有意愿的国家新签项目清单,促进第三方市场合作取得更多实实在在成果。
登录
工商服务
危机公关
金融律师
app开发
财税服务
金融牌照
网站建设
知识产权
企业征信
审计评估