2021年1月5日，虾米音乐发布公告称，因业务发展上的调整，将于2021年2月5日停止虾米音乐服务。自2021年3月5日0点起，除网页端音螺平台音乐人（即原“数字音乐新场景”）授权服务维持运营外，其他运营均停止，关闭服务器，届时及以后将无法登录。[1]其中，虾米音乐开启用户个人资料与资产处理通道，对所收集个人信息处理进行指引。

在运营过程中，App运营者通过用户注册账户、使用业务功能、添加好友等多项操作，收集到大量个人信息。这些信息为协助App运营者为用户提供更好服务的同时，亦增加App运营者合规经营的法律风险。若App停止运营，这些个人信息又该何去何从？

Q1　当计划停止App服务时，App运营者需进行哪些工作？

A　首先，App运营者需将停止运营的通知以逐一送达或公告的形式通知个人信息主体。刚刚生效的《民法典》第一千零三十七条规定，自然人可以依法向信息处理者查阅或者复制其个人信息，个人信息主体对其个人信息处理活动享有知情权与选择权。比如虾米音乐在公告中表示，由于业务发展上的调整，虾米音乐播放器业务将于2月5日0点停止服务，自2021年1月5日10点至2021年3月5日0点期间，虾米音乐为用户开启了“个人资料与资产”处理通道，用户可将创建、收藏的歌单、专辑等通过Excel等方式进行保存。

其次，App运营者还需做好删除或匿名化处理个人信息的准备工作，待App正式停止运营后及时停止继续收集个人信息并删除或匿名化处理所有个人信息。《个人信息保护法（草案）》第四十七条规定，当个人信息处理者停止提供产品或服务时应主动或根据个人的请求，删除时个人信息。《信息安全技术个人信息安全规范》（GB/T 35273-2020）（以下简称“《个人信息安全规范》”）6.4要求，当个人信息控制者停止其产品或服务时，应对其所持有的个人信息进行删除或匿名化处理。

部分个人信息存在法定保存期限要求，《网络交易管理办法》第三十条要求交易记录等其他信息记录备份保存时间从交易完成之日起不少于两年。在虾米音乐的公告中，亦明确表示在根据国家法律法规及《虾米音乐隐私权政策》确定的保存期限到期后，将对个人信息进行删除、注销或匿名化处理。App运营者可制定个人信息处理时间表，有序进行App停止运营后个人信息后续处理工作。

此外，App运营者不仅需删除或匿名化处理存储于运营者所使用服务器上的个人信息，还需注意检查并要求员工彻底删除存储于员工电脑中的个人信息。

最后，App运营者还需将停止运营的消息通知曾接收个人信息传输的第三方，对个人信息处理后续工作进行协商。

Q2　App停止运营后可将所收集个人信息传输至第三方吗？

A　一般而言，未经个人信息主体同意，不得将所收集个人信息传输至第三方，但经过加工无法识别特定个人且不能复原的除外。根据《民法典》第一千零三十八条，信息处理者不得泄露其收集、存储的个人信息；未经自然人同意，不得向他人非法提供其个人信息，但是经过加工无法识别特定个人且不能复原的除外。结合《个人信息保护法（草案）》对“匿名化”的定义——“个人信息经过处理无法识别特定自然人且不能复原的过程”，在对个人信息进行匿名化处理后，可未经同意向第三方提供相关数据。

未经同意传输个人信息至第三方可能面临刑事风险。根据《刑法》第二百五十三条之一，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。

此外，App运营者亦不得未经同意将停止运营App收集的个人信息提供给App运营者的其他App使用。App停止运营后，App无法提供服务，用户当初同意的《隐私政策》《用户协议》等文件亦失去效力。App运营者若想将原App用户的个人信息迁移至其他App需重新获取个人信息主体的同意。

Q3　我司曾接收停止运营App经用户同意传输的个人信息，在该App停止运营后是否可继续使用该个人信息？

A　该问题需根据接收者的法律地位判断，关键在于该接收者是否能够单独或与他人共同决定个人信息处理的目的和方式，类似于GDPR中“数据控制者”与“数据处理者”的区别。

在GDPR中，“数据控制者”（controller）是指单独或与他人共同决定个人信息处理的目的和方式的自然人、法人、公务机关、办事机构或其他组织，与我国《个人信息保护法（草案）》中的“个人信息处理者”及《个人信息安全规范》中的“个人信息控制者”内涵相似。而“数据处理者”（processor）是指代表数据控制者处理个人信息的自然人、法人、公务机关、办事机构或其他组织，其处理个人信息的目的与方式均需按照数据控制者的指示进行。

在《隐私政策》中，App运营者一般会披露其向第三方委托处理、共享、转让个人信息的情况。在委托处理活动中，《个人信息安全规范》要求受委托者严格按照个人信息控制者的要求处理个人信息，此时的数据接收者相当于GDPR中的“数据处理者”，其处理个人信息的目的与方式受限于App控制者的指示。若该App停止运营，那么数据接收者需按照App运营者的指示及时停止相关个人信息处理行为，删除或匿名化处理其存储的相关个人信息。

根据《个人信息安全规范》3.12与3.13，“转让”是指将个人信息控制权由一个控制者向另一个控制者转移的过程，而“共享”是指个人信息控制者向其他控制者提供个人信息，且双方分别对个人信息拥有独立控制权的过程。在“共享”或“转让”个人信息的过程中，App运营者需通过合同等方式规定数据接收方的责任和义务，数据接收方取得对个人信息的独立控制权。由于此时数据接收方相当于GDPR中的“数据控制者”，可独立决定个人信息处理的目的和方式，当该App停止运营时，可以不删除或匿名化处理相关个人信息。

但根据《个人信息安全规范》9.2，在共享、转让个人信息后，个人信息控制者发现数据接收方违反法律法规要求或双方约定处理个人信息的，应立即要求数据接收方停止相关行为，且采取或要求数据接收方采取有效补救措施（如更改口令、回收权限、断开网络连接等）控制或消除个人信息面临的安全风险；必要时个人信息控制者应解除与数据接收方的业务关系，并要求数据接收方及时删除从个人信息控制者获得的个人信息。这说明，虽然在共享、转让个人信息后，数据接收方取得了独立控制权，但原数据传输方仍可依据法律法规要求或双方约定监督数据接收方的个人信息处理行为。当App运营者仅仅停止某一App的运营而非自身停止经营时，App运营者与数据接收者间的合同依然有效，App运营者仍可依据合同约定监督对方处理行为。若App运营者自身停止经营，需申请注销时，建议App运营者向个人信息主体告知共享或转让个人信息的数据接收者名单及联系方式，数据接收者逐一送达或公告的形式通知个人信息主体目前的个人信息处理情况，以保障个人信息主体依《民法典》第一千零三十七条享有的查阅、复制、更正或删除等项权利。

[1]虾米音乐：《感谢您的一路陪伴》,[2021-01-05](2021-01-07).https://act.xiami.com/wow/z/xiami/xiami/1215?wh_biz=tm

来源：微信公众号“大数据法律研究”