APP个人信息使用合规问题不容忽视——数据合规角度看“给差评遭上门报复”案

近日，上海的张女士称自己点了一份饿了么外卖，因自己一直在通话外卖员未能打入，后订单显示已经送达。骑手表示，要明天才能配送。随后，张女士提交了差评。该外卖员次日上门报复，砸门、辱骂恐吓张女士：“差评给我取消掉！3分钟解决不了，我就弄死你！”张女士在恐吓下转给外卖员200元“赔偿”。报警后该外卖员因寻衅滋事被拘留10天。张女士称，在向饿了么投诉后，对方只是提出补偿100元优惠券。

虽然只是个案，但由于该事件极度贴近生活，经互联网传播后还是引起网民的高度关注和热议，人民日报官方微博账号也对类似事件进行了评论。网民议论的话题很多：涉事张女士是否存在过错、外卖骑士评价体系是否科学、恶意差评问题如何解决等。本文要探讨的问题是：假定APP平台方将差评的评价人地址信息直接或间接提供给外卖骑士，是否存在法律风险？该问题涉及数据安全、个人信息保护的相关法律规定。

为方便论述，笔者将案例中涉及到的个人信息抽象和精简为两条来进行讨论，即差评信息和评价人地址信息。以下按照个人信息界定、数据法律关系主体识别、数据环节识别、个人信息使用处理原则、行为性质及合规建议的顺序逐一讨论。

一、案例中的差评信息、评价人地址属于个人信息

从个人信息定义来看，我国采取的定义模式既不是过于狭隘的“隐私型”定义，也不是过于宽泛的“关联性”定义，而是“识别型”定义模式，强调信息与信息主体之间被直接或间接“认出来”的可能性。《网络安全法》第76条第5项规定的“能够单独或者与其他信息结合识别自然人个人身份”就是该定义模式的体现。《民法典》第1034条第2款基本沿袭《网络安全法》的定义，即“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”。从这一定义来看，差评信息和评价人地址显然都能够起到识别特定自然人的作用，属于用户的个人信息。

二、用户是个人信息主体、APP平台方是数据控制者和数据处理者

在数据法律关系中，数据主体、数据控制者、数据处理者都占有一定地位，数据权力体系的构建，实质就是将权利义务在这些主体之间进行平衡的过程，对个人信息保护至关重要。

虽然现行法律没有对数据主体作出明确规定，但数据法的通说观点就是通过个人信息已识别或可识别的自然人。《信息安全技术 个人信息安全规范》第3.3条规定，个人信息主体（personal data subject）是“个人信息所标识或者关联的自然人”。很明显，案例中的用户就是其个人信息的主体。

“数据控制者”首次在法律文本中的确立是经济合作与发展组织（OECD）1980年发布的《隐私保护与个人数据跨境流动指南》，定义是：“根据各国法律能够决定个人数据内容和用途的主体，无论该数据是由其本人还是由其代理人收集、存储、处理和传播的。”欧盟GDPR作为全球个人数据保护法律体系的典范，主要规范的义务主体是“数据控制者”和“数据处理者”。GDPR第4条第7款规定，数据控制者是能够单独或联合决定个人数据处理目的和处理方式的自然人、法人、公共机构、行政机关或其他非法人组织。对“数据处理者”的定义则是：“数据处理者是为数据控制者处理个人数据的自然人、法人、公共机构、行政机关或者其他非法人组织。”之所以进行区分是因为相对成熟的数据法律体系中对数据控制者和数据处理者规定的义务是有所区别和侧重的。

我国与个人信息保护有关的立法是分散的，并未拟制共同的特定义务主体，仅有为数不多的几部法律规范对信息利用主体进行了界定。《全国人大常委会关于加强网络信息保护的决定》中提及的义务主体是网络服务提供者和其他企业事业单位。《网络安全法》中也没有“数据控制者”“数据处理者”的概念，其规范的主体有网络运营者、关键信息基础设施（CII）运营者、网络产品或服务的提供者。为了方便处理，本文采用了通说和控制范围更广泛的概念。案例中APP平台方作为“数据控制者”和“数据处理者”的主体地位也是易于识别、不存在争议的。

三、案例中提供个人信息的行为属于对数据的“披露”或“使用”

对数据流程不同阶段的划分，不同学科、不同理论、不同运用场景下会有不同的划分方式。数据流程理论将划分为数据采集、输入、处理、加工和输出，大数据处理场景下会把数据流程分为收集、存储、变形、分析四个环节。从数据安全、合规监管等角度出发，较多的划分方式是个人信息收集、存储、使用、处理、共享、转让、披露、跨境等环节。

案例中，用户地址是平台在为用户提供服务之前就已经收集到的，也是用户为了享受外卖服务必须提供的信息。平台收集地址信息后在特定外卖订单服务将其通过“派单”形式提供给特定外卖骑手，该行为是外卖平台主要服务内容，属于对该数据的正常、合法使用，当然也是得到用户授权和同意的。差评信息也是用户在平台上作出差评操作后产生、并同步被平台采集的数据。为了让评价体系发挥作用，用户对平台收集差评信息当然是同意的，但对于平台方会如何使用差评信息，用户并没有太多的选择权。大体上说，对外卖产品的服务评价体系的主要作用是APP平台方用以考评商家和骑手、计算业绩、促进服务质量的提升，因此如果APP平台将差评信息反馈或披露给商家、骑手属于对数据的使用。

四、个人信息使用与处理的原则

（一）合法、公平和必要原则

也是数据处理最基本的原则之一。合法是对个人信息使用和处理最基本的原则要求，包括依法合法、方式合法、结果合法等多方面内容。公平原则即正当原则，一方面强调使用和处理个人信息应当具有正当目的，另一方面明确在个人信息处理行为中应遵循权责一致、责任明确的原则。必要原则又称数据最小化或最小必要原则，要求使用和处理个人信息要以充分、相关为要求，并以该个人信息处理目的之必要为限度。

（二）透明度原则

即应以透明的方式处理与主体有关的个人信息。印度《个人数据保护法（草案）》第23条规定透明度要求“处理一般信息应公示、重要操作要通知”。加拿大《个人信息保护法》提出的开放性原则也有类似含义。我国《民法典》第一千零三十五条也指出，处理个人信息应公开处理信息的规则并明示处理信息的目的、方式和范围。

（三）同意原则

个人信息的使用与处理须经过数据主体的同意，又称告知同意原则。国内外立法普遍认为同意原则贯穿个人信息收集、使用、处理、转让和共享等多个环节，也是合法性基础之一。当然立法在确立同意原则的同时也会对例外情况作出规定，属于合理使用范围，但是必须遵循法律明文规定。

（四）目的限制原则

指数据处理者应当在法律、行政法规的规定和与用户约定的范围限制内处理和使用数据，包含目的合法和符合约定两项限制。例如《网络安全法》第41条要求网络运营者不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。

（五）保密性原则

个人信息的保密性原则要求数据处理者采取有效措施和手段保障数据的完整性、准确性和机密性，在存储或传输过程中不被修改、破坏、插入，采取有效措施确保数据不被泄露给非授权的个人和组织。

（六）主体参与原则

又称个人参与原则，指通过个人信息主体的参与和控制，对数据控制者和数据处理者的数据使用和处理行为实现及时、有效的约束和修正。

五、案例中APP平台的行为涉嫌违规向第三方提供个人信息

如前文分析，用户做出差评行为的前提是同意APP平台采集和使用差评信息的，但具体如何披露和使用，APP平台并没有提前对用户明示或者征得用户同意。例如用户对其自己给出的差评能否实时披露给骑手、什么时间会披露、披露哪些信息都是不清楚的，由此才出现互联网上关于骑手是如何得知差评评价人地址信息的广泛讨论。

APP平台将差评信息，关键是连同评价人的地址信息一并向骑手披露的行为，无异于在匿名选举投票后向候选人披露选票内容和对应的投票人情况，一定会对投票人造成安全隐患。当然也有网民称打差评就是为了让骑手知道，从而促使其有针对性地提升服务质量。但可以肯定的是，如果给用户选择的权利，至少不会所有用户都选择实时向被评价人披露差评信息以及与差评订单相关的用户信息。对照个人信息使用的原则规定就能够发现，该行为至少违反了必要原则、透明度原则、保密性原则等，涉嫌违规向第三方提供个人信息。

从2019年多部门联合开展的APP违法违规收集使用个人信息专项治理中通报的结果看，被通报的57款APP中有47款都存在违规向第三方提供个人信息的行为。当然，该违规行为更常见的表现是未详细公开第三方SDK收集使用个人信息的目的、类型或未公开APP委托或嵌入的第三方代码、插件等。虽然表现形式不同，但是性质是一样的。当然，本文探讨的案例中，是不是平台方将差评信息及评价人地址提供给骑手有待进一步讨论。但即使是骑手通过其他方式得到相关信息，平台方也应当担负起更多的社会责任，从制度上、技术上弥补相关漏洞。所幸本文探讨的案例并没有造成更严重的后果，涉事骑手仅被采取行政拘留，如果骑手实施了危及用户生命安全、身体健康的更严重的行为，后果将不堪设想，平台方所承担的法律责任也将更加重大。

六、合规建议及本案启示

本文探讨案例中涉嫌的违规问题，合规整改的思路也是非常清晰的。从必要原则和保密性原则出发，可以对差评信息的披露内容进行限缩，不披露评价人的具体信息，或者在披露前对具体的个人信息作相应隐藏和脱敏处理，使被评价人不能将差评与订单、评价人形成联系。从透明度和同意原则出发，应当向用户公开评价体系实施的具体方式，尤其是用户对相关商家、骑手进行评价后，评价信息、个人信息会如何向被评价人进行披露、什么时间披露、披露范围是什么。从主体参与原则出发，甚至可以开发个性化的评价体系，由用户对评价信息的披露时间、内容、方式进行个性化选择。这些解决方案和合规建议从技术实现上并不是难题，最重要的是企业要从思想上提升对数据合规问题重要性和必要性的认识，并将该思想认识贯彻到个人信息和数据运用的全流程各环节中。

本文讨论的案例虽然只是一起个案和小案，但是背后反映出的是移动互联网信息技术飞速发展现状下个人信息保护、数据合规的必要性和紧迫性。随着国内立法的逐步完善，我国对APP运营平台的规制手段也在不断加强，对涉及个人信息违法犯罪行为打击力度不断增大，相关监管部门的专项整治也还在向纵深开展。从近期证监会发审委披露的对IPO被否决企业的聆讯问题来看，针对用户数据收集、处理的合规性（数据合规问题）已经成为证监会重点关注的问题之一，并成为影响企业上市成功与否的重要因素。数据合规已经成为关系到APP平台、网络运营者生死存亡的课题。

正如人民日报对本案的评论，“相关平台不能在纠纷争议面前做鸵鸟，既保护消费者差评的权利，也维护外卖员正当的权益，这是一道必答题”。同样，相关企业也不可能在网络安全和数据合规的大潮中做鸵鸟，既享受技术发展带来的红利，又履行好网络安全、个人信息保护职责，同样是一道必答题。