网络个人信息收集如何获得用户同意

　　前不久，花呗的用户协议经网络媒体披露后在微信朋友圈刷屏，大家纷纷惊呼怎么你们连我打电话时长几分几秒这样的个人信息都要收集?由于点击合同用户只有“同意”的权利，大家才想起来，一向只对用户协议点击同意的人们还需要仔细看一下协议。

　　其实，这是企业在履行网络安全法等法律法规的合规要求，即企业收集用户信息必须经过用户同意。

　　新华社的调查报道显示，手机应用软件无一例外要求用户全部提供各种权限，比如手机识别码，安装应用清单，地理位置，读取、发送短信，拨打电话，读取通讯录等等。

　　法律上，这种通过用户协议获取用户授权的属于概括性授权，在中国授权可以分为概括性授权和特别授权，前者如过去民间常说的“全权代理”，现在中国法院不认这种笼统的授权方式，要求对于“承认、变更、放弃、诉讼请求，和解，调解，上诉，反诉”等事关当事人重大权益的，必须有当事人写明的特别授权。当然这是在诉讼中的要求，对于手机软件获得用户的收集个人信息的同意图片采集程序，这种概括性授权是否符合法律关于必须征得用户同意的条件呢?

　　先假设一下，法院认定可以。那么可能导致的局面就是，各公司聘请好的律师把用户协议关于要求授权的内容写得尽可能多一些、长一些、完备一些，而用户基本上也还是不会看，仅此而已。

　　我个人的观点是，对于手机应用软件的权限索取要求，应当借鉴诉讼授权区分重大权利的思路，区分敏感个人信息权限和一般个人信息权限。对于一般个人信息，可以通过概括性授权予以同意，也就是通过用户协议点击合同的方式予以同意;对于敏感类的个人信息，则不能通过概括性授权同意，而应当坚持“个别告知、逐次告知，特别授权”同意的方式。

　　那么，接下来就有几个问题：第一是敏感信息如何界定，第二是敏感信息授权如何实现个别告知、逐次告知与特别授权，第三，如何平衡法律合规要求与用户体验采集图片工具。

　　关于第一个问题，按照诉讼特别授权的思路，笔者以为敏感类个人信息的界定应由法律法规、规章和规范性文件予以明确，最高人民法院关于侵犯个人信息罪的司法解释也是区分信息敏感程度的等级。

　　结合目前各企业的实践来看，地理位置信息首先是应当经每次提醒个别授权的敏感信息。我个人认为，地理位置也应区分可以精确到市县的大致位置和精确到目前技术可以达到更为精确的适应导航需求的位置信息，但不能太精确以免出现道德风险。对于前者可以从宽许可，后者则必须逐次告知并获得许可，因为这是事关用户安全的，一旦不慎泄露可能导致重大安全风险。

采集工具 　　读取、发送短信，读取通讯录图片采集器，拨打电话等也属于敏感个人信息，但这些信息的获取一方面要考虑应用的目的和读取信息的用途，比如对于通讯录管理软件和名片类软件，读取通讯录的目的就在于履行合同，可以认为收集是正当的;但如果一个听书软件，读取通讯录就不一定有正当性。这个说明与证明正当性的责任，当然应当由个人信息收集者来承担。

　　第二个问题网站图片采集软件，关于如何实现个人信息的授权，对于非敏感信息，企业通过一个用户协议告知一下，也算有了合同网络图片采集器，勉强说得过去。而有些企业为了实现自己的商业目的，在一个应用软件内捆绑越来越多的内容，然后以自己具有相关业务为由要求获得用户的敏感个人信息，这种要求是否正当呢?

　　这就涉及法律关于收集个人信息应当遵守“必要”原则，这个“必要”应解释为对用户的必要还是对企业的必要问题，我认为比较理想的状态是企业在应用设置时应将信息收集设置为用户可以自行选择。如果用户选择了要求提供相关服务，却没有选择开通权限，用户调用服务时你需要开通权限，你再去要求用户开通不迟。如果可以做得更好一些，那就像国外有些网站那样，通过技术设置强迫用户必须逐条阅读、点击同意用户协议，否则不走向下一条。逐步给人选择，才是尊重用户隐私和平衡实现企业商业目的的最佳途径。

　　其实现在很多手机软件虽然在下载和安装时没有提供选择，但通过安全软件，仍可以关闭对上述敏感信息的授权。所以，从一定程度上来说，企业也可以解释为已落实了网络安全法等法律关于必须获得同意的合规要求。

　　第三个问题，可能企业技术人员会提出，如果按照最敏感的位置信息要逐次告知并获得同意，那如果在高速行驶的车辆上、基站一个个迅速变化，是否不停向用户发送请求?这样是否骚扰用户?其实现在的实践，已经实现了这种法律合规与用户体验的均衡，位置变化现在大部分地图软件都会有提示，但也不会过于频繁，这就是商业实践已经认识到合规要求与用户体验的平衡。

　　各位读者不妨看看现在自己手机里的个人信息收集情况，大概就能知道这当中有多大的困难要去逐步克服了。