【摘要】
GB/T 35273-2020《信息安全技术 个人信息安全规范》即将于2020年10月1日实施,其在修订和完善GB/T 35273-2017《信息安全技术个人信息安全规范》、回应个人信息保护实践热点问题与国内外相关立法规则等基础上,也对产品/服务配套的个人信息保护政策的制定、完善和实施提供了新的指引和参考,对个人信息保护政策的合规管理和调整有着不可忽视的指导价值。
【正文】
2020年3月6日,历经多次修订和征求意见,GB/T 35273-2020《信息安全技术 个人信息安全规范》(以下简称“新版《个人信息安全规范》”)正式出台,并将于2020年10月1日实施。作为GB/T 35273-2017《信息安全技术个人信息安全规范》(以下简称“2017版《个人信息安全规范》”的代替标准,其在结合国内外机构的意见反馈、个人信息保护治理实践及对接国内最新立法动态的基础上,对第三方接入管理等常见业务实践及App违法违规收集使用个人信息专项治理行动等执法实践中的热点问题都进行了回应。[1]
《个人信息安全规范》的一个亮点,就是以资料性附录发布隐私政策(现修订为“个人信息保护政策”)模板示例,手把手地指导个人信息控制者如何通过这份政策中体现公开透明原则,清晰、准确、完整地描述个人信息处理行为,从而保证个人信息主体知情权。新版《个人信息安全规范》针对规范正文中个人信息保护要求细化更新,对个人信息保护政策格式与内容的制定、完善以及获取个人信息主体的授权同意等提出了新的合规调整要求。
一、新版《个人信息安全规范》对个人信息保护政策的修订要点
相较于2017版《个人信息安全规范》,新版《个人信息安全规范》对个人信息保护的具体要求有一些细致的更新调整,有些体现在实务指导中,如对敏感信息的范围示例;有些体现在个人信息保护安全的产品设计中,如第三方接入时的标识和对第三方的管理;有些体现在对个人信息控制者的内部管理要求,如数据融合时的安全影响评估以及个人信息保护机构设置,还有一些调整需要在实务中体现在个人信息保护政策中向个人信息主体告知。个人信息保护政策主要修订内容概括如下 :
(一)“隐私政策”名称修正为“个人信息保护政策”
个人信息与隐私是一对既有相同之处又有所区别的概念。根据《网络安全法》、《个人信息安全保护规范》等相关法律法规、标准的规定:个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份或反映特定自然人活动情况的各种信息。且通常情况下,涉及自然人隐私的信息属于个人敏感信息。而根据《民法典人格权编(草案三次审议稿)》第八百一十一条第二款规定,隐私是自然人不愿为他人知晓的私密空间、私密活动和私密信息等。举例而言,人们与友人的通信内容,当其不愿为其他人所知晓时,该等通信内容就既属于个人信息也属于隐私。
隐私与个人信息的关系如下图所示:
实践中大多数企业会基于惯例将其所运营的产品/服务所配套的个人信息收集使用规则等命名为“隐私政策”,但也有部分企业基于个人信息与隐私概念的不同,采用“个人信息保护政策”(如新浪微博)或“个人信息保护及隐私政策”(如滴滴青桔平台)等表述。
鉴此,这次新版《个人信息安全规范》的命名修正会对企业实践中使用更准确的“个人信息保护政策”起到倡导作用。同时,新版《个人信息安全规范》在考虑企业实践及对接相关监管要求的基础上也进一步明确,“组织会习惯性将个人信息保护政策命名为‘隐私政策’或其他名称,其内容宜与个人信息保护政策内容保持一致。”
(二)个人信息保护政策的授权同意展示与告知要求
为充分保护个人信息主体的知情权和选择权,防范未经个人信息主体同意收集使用其个人信息或强制个人信息主体同意等问题,新版《个人信息安全规范》从个人信息保护政策在产品/服务中的展示时机、多项业务功能下个人信息主体自主选择及个人信息保护政策的定性等方面对2017版《个人信息安全规范》进行了完善。
1、新增个人信息主体在首次打开产品/服务等情形时的个人信息保护政策展示要求
新版《个人信息安全规范》要求,在个人信息主体首次打开产品或服务、注册账户等情形时,宜通过弹窗等形式主动向其展示个人信息保护政策的主要或核心内容,帮助个人信息主体理解该产品或服务的个人信息处理范围和规则,并决定是否继续使用该产品或服务。新版《个人信息安全规范》附录C功能界面模板中,对于弹窗等形式展示的信息收集说明已从原有的“向个人信息主体清晰展示收集个人敏感信息的目的、种类等”扩大为“向个人信息主体清晰展示收集个人信息的目的、种类等”。实践中,一些头部企业早已在《个人信息安全规范》修订征求意见的过程中进行了相应产品/服务更新,在用户首次启动产品/服务时,即以弹窗形式向用户展示个人信息保护政策的主要或核心内容,并为用户提供设备权限管理的交互界面,允许用户逐项选择是否授权,起到良好示范作用。
以淘宝为例,在安装淘宝APP后,首次启动淘宝APP时,其就以弹窗形式向个人信息主体展示《隐私权政策》的主要内容,突出显示《隐私权政策》的全文链接以引导用户阅览,同时也为用户提供了不同意的退出按钮,具体如下:
2、新增多项业务功能的个人信息收集使用告知要求
新版《个人信息安全规范》规定,当“产品或服务提供多项收集、使用个人信息的业务功能的,除个人信息保护政策外,个人信息控制者宜在实际开始收集特定个人信息时,向个人信息主体提供收集、使用该个人信息的目的、方式和范围,以便个人信息主体在作出具体的授权同意前,能充分考虑对其的具体影响。”并且,个人信息主体不授权同意使用、关闭或退出特定业务功能的,不应暂停个人信息主体自主选择使用的其他业务功能,或降低其他业务功能的服务质量。
早在2018年6月28日,美国加州州长批准的《加州消费者隐私法案》(“CCPA”)中就提出了禁止因个人信息主体履行其合法权益而对其提供歧视性的服务,其明确规定,企业不得因消费者行使其访问权、删除权、选择不出售其个人信息等权利,而拒绝向消费者提供商品或服务,或对商品或服务收取不同的价格或费率,或向消费者提供不同水平或质量的商品或服务,除非该等差异是合理的。
而新版《个人信息安全规范》的修订,显然进一步与国际规则对接,并可以更为有效地保障个人信息主体的自主选择权等合法权益。自2017版《个人信息安全规范》实施以来,目前大部分企业均已在个人信息保护政策中分别向用户告知所提供产品/服务的核心业务功能(基本业务功能)及附加业务功能(扩展业务功能)所需收集的个人信息及拒绝提供或拒绝同意将带来的影响。
以京东为例,其在《京东隐私政策》(版本更新日期:2019年12月9日)[2]中对应产品/服务的核心功能和扩展功能所必须收集和使用的个人信息,将其区分为 “您(用户)须授权我们收集和使用您个人信息的情形”、“您可自主选择提供的个人信息的情形”,分别向用户予以阐明并告知拒绝提供或拒绝同意所带来的相应影响。
3、新增个人信息汇聚融合的告知要求
国内外互联网产品和服务实践中,将同一主体的不同产品或不同业务功能间收集的个人信息进行汇聚融合,将会造成个人信息的滥用,比如Facebook收购WhatsApp后修改了WhatsApp隐私政策,允许WhatsApp与母公司Facebook共享用户电话号码等信息就备受指责而最终取消。有鉴于此,新版《个人信息安全规范》明确基于不同业务目所收集个人信息的汇聚融合也需要遵从个人信息使用的目的限制,且如所收集的个人信息进行加工处理而产生的信息,能够单独或与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,应将其认定为个人信息,对其处理应遵循收集个人信息时获得的授权同意范围。加工处理而产生的个人信息属于个人敏感信息的,对其处理需符合对个人敏感信息的要求。
目前国内大型互联网公司已经注意到这一问题,通过账号体系注册要求及相关产品的隐私政策,向个人信息主体予以说明以获得必要授权。以京东金融为例,《京东金融隐私政策》(版本更新日期:2020年4月16日)[3]中明确,为便于用户基于统一账号体系的统一管理、系统和账号的安全保障等目的,在京东金融运营方(京东数字科技控股有限公司)及其管理方之间进行必要共享、关联,且该等共享受《京东金融隐私政策》所声明的约束。
4、新增个人生物识别信息收集使用的授权同意要求
随着生物识别技术的发展,人脸、指纹、声纹等个人生物识别数据用于监控、身份识别甚至社交娱乐功能开始在商业中部署和应用。比如2019年9月初,北京陌陌科技有限公司孵化的“ZAO”软件在迅速串红的同时,也因为未依法依规收集使用用户个人信息等问题被工信部约谈并被责令自查整改。
为强调对个人生物识别信息的更严格的授权同意和保护要求,新版《个人信息安全规范》明确要求,收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。个人生物识别信息原则上不应共享、转让。因业务需要,确需共享、转让的,应单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等,并征得个人信息主体的明示同意。
目前,大部分企业对于个人生物识别信息的收集和使用采用比较审慎的态度,对于如人脸、指纹等信息的采集和存储均由用户授权验证的设备进行,而不会上传至企业服务器中。
以广发银行为例,其在《广发银行电子银行隐私政策》(版本更新时间:2020年2月28日)中明确向用户说明了个人生物识别信息的使用场景、目的及用户开启或关闭相关业务功能的路径等。以广发银行APP中的指纹登录/支付功能的开通为例,其允许用户对指纹登录、指纹支付功能逐项进行授权管理,并配套《广发银行用户生物特征识别服务协议》,再次明确双方在相应生物识别服务场景下的权利、义务及责任等。
5、修改了“征得授权同意的例外”
新版《个人信息安全规范》在2017版《个人信息安全规范》的基础上充分吸收借鉴《欧盟一般数据保护条例》个人信息处理六大合法事由[4]的规定,对标准第5.6条“征得授权同意的例外”及第9.5条“共享、转让、公开披露个人信息时事先征得授权同意的例外”进行了修订,增加 “与个人信息控制者履行法律法规规定的义务相关的”授权同意例外情形。同时,为避免企业将个人信息保护政策定性为合同从而滥用“根据个人信息主体要求签订和履行合同所必需的”授权同意例外,新版《个人信息安全规范》明确,“个人信息保护政策的主要功能为公开个人信息控制者收集、使用个人信息范围和规则,不宜将其视为合同。”
(三)个人信息保护政策体例调整
新版《个人信息安全规范》在附录C中明确了对于基本业务功能与扩展业务功能的划分方法,并强调对于无需一次性全部开启的基本业务功能,宜根据个人信息主体的具体使用行为逐步开启基本业务功能,并在基本业务功能开启前通过交互界面或设计向个人信息主体告知基本业务功能所必要收集的个人信息类型,以及个人信息主体拒绝提供或拒绝同意收集将造成的影响,并通过个人信息主体对信息收集主动作出肯定性动作。对于扩展业务功能,则要求在扩展业务功能首次使用前,应通过交互界面或设计向个人信息主体逐一告知所提供扩展业务功能及所必要收集的个人信息,并允许个人信息主体对扩展业务功能逐项选择同意。
鉴此,为满足上述要求,并帮助个人信息主体更为清晰便捷的了解每项业务功能所对应的个人信息收集、使用、委托处理、共享、转让、公开披露的情况,更好保障其知情权和选择权,附录D中《个人信息保护政策模板》的编写体系调整为以业务功能为基准,详述每项业务功能所对应的个人信息收集使用的规则,该项业务功能通过APP客户端提供时所必须申请的系统权限及拒绝授权的影响等;并将“个人信息的共享、转让和公开披露规则”由专章编写合并至每项业务功能的“个人信息收集使用规则”项下;同时,在个人信息收集使用规则中新增“委托处理”个人信息情形的披露,向个人信息主体说明该项业务是否需要委托处理个人信息,委托处理的原因、对受托方的约束等。基于前述编写体系,不论个人信息控制者或其授权第三方使用自动数据收集工具收集个人信息,均可纳入前述个人信息收集使用规则中,《个人信息保护政策模板》中不再保留关于使用COOKIE和同类技术的相关条款内容。
体例调整可谓是本次个人信息保护政策的一大亮点,但具体落地还需拭目以待。我们初步分析可能存在两个难点:
首先,新版《个人信息安全规范》通过附录C交互式功能界面模板对“分阶段、分窗口、分屏幕”向个人信息主体清晰展示收集个人信息的目的、种类等,并“分情形”征得个人信息主体同意做出了很好的范例。可惜的是,这种交互功能界面的设计可以说是个人信息安全工程的典型示例,需要产品、技术和数据合规多个团队的梳理与配合,并非法务工作者一力可以实现,目前尚未看到对此体例采纳的典型范例。
其次,每项业务功能下的收集使用规则,共享、转让和公开披露规则很可能重合,如何清晰表达而又不显臃肿,也是考验法务团队的智慧与文笔的难点。
(四)共同控制者的披露要求
共同控制者,尤其是第三方嵌入SDK以用户无感知的情形共享个人信息,是APP违法违规收集使用个人信息专项治理活动中的重点监管事项之一,该治理成果也在新版《个人信息安全规范》中体现。
《App违法违规收集使用个人信息行为认定方法》规定,“未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等”可被认定为“未明示收集使用个人信息的目的、方式和范围”。在2019年底APP专项治理工作组发布的《关于61款App存在收集使用个人信息问题的通告》中,链家、招商银行掌上生活、微贷网、搜狗浏览器、有道云笔记等数十款APP即因未满足上述监管要求而被通报。2020年3月下旬,天津市委网信办发布的《天津市疫情防控App专项治理情况通报(第二期)》中,国金圈、朴新网校、阳光e管家物业等三款软件也因未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等被通报。
在结合上述执法实践和监管规则的基础上,新版《个人信息安全规范》规定要求应在个人信息保护政策中明确向个人信息主体告知第三方身份及各方在个人信息安全方面的责任和义务, 如未向个人信息主体明确告知第三方身份,以及在个人信息安全方面自身和第三方应分别承担的责任和义务,个人信息控制者应承担因第三方引起的个人信息安全责任。在个人信息保护政策的模板示例中,有关个人信息如何共享的章节,建议以超链的形式向个人信息主体披露不同共享情形中目前涉及的公司、组织和个人。
目前,头部互联网企业对产品中部署第三方SDK、插件大多在个人信息保护政策的“如何共享个人信息”的章节说明SDK收集的个人信息的目的、方式及范围、相应第三方机的身份,并要求与之共享个人信息的公司、组织和个人按照其协议、个人信息保护政策的要求保密和安全措施处理个人信息。
以京东金融为例,其对第三方对共享的个人信息的使用限制、安全保障及针对基于Andriod版本京东金融APP与IOS版本京东金融APP的业务功能存在的差异,对Andriod版本京东金融APP与IOS版本京东金融APP各自嵌入第三方代码、插件传输个人信息的情形、相应个人信息字段及第三方机构名称的逐项列举。以苏宁易购为例,则对嵌入第三方代码、插件传输个人信息的场景、个人信息类型、个人信息字段、第三方机构名称及链接、数据是否去标识化传输等进行了逐项列举。
(五)个人信息保护政策的其他细节修订
1、个人信息控制者基本情况
将个人信息控制者基本情况的列举由“注册名称、注册地址、常用办公地点和相关负责人的联系方式等”修改为“主体身份、联系方式”,更具实操性,且为自然人作为产品运营者时的个人信息控制者基本情况的公示进行了指引;
2、用户的措辞
将涉及“用户”的条款表述统一修正为“个人信息主体”,用词更为精准,并将用户与个人信息主体不一致的情形囊括在内;
3、二次身份验证
《个人信息保护政策模板》中针对个人信息主体权利新增编写要求,如果个人信息主体行使权利的过程需要再次验证身份,需明确说明验证身份的原因,并采取适当的控制措施,避免验证身份过程中造成的个人信息泄露。
4、新增无法响应个人信息主体请求的情形
在无法响应个人信息主体权利请求的情形中新增“与个人信息控制者履行法律法规规定的义务相关的”与“出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的”。
5、双方责任披露
对共享、转让、公开披露个人信息等场景下的责任披露,由“对外共享、转让、公开披露个人信息的目的、涉及的个人信息类型、接收个人信息的第三方类型,以及所承担的相应法律责任”修改为“对外共享、转让、公开披露个人信息的目的、涉及的个人信息类型、接收个人信息的第三方类型,以及各自的安全和法律责任”,强调需要在隐私政策中披露这些场景下各自均负有的安全和法律责任。
6、保障个人信息主体注销权
账号注销难一直是个人信息主体权利保障中的难点问题。仅在2019年12月20日,App专项治理工作组公布的《关于61款App存在收集使用个人信息问题的通告》中,就有30多款APP涉及设置要求提供手持身份证照片等不合理条件、未提供账号注销功能,未提供账号注销的有效路径等问题,其中不乏如腾讯课题、有道云笔记、搜狗浏览器等由头部企业运营的产品。
新版《个人信息安全规范》在账户注销申请的响应实践监管要求。因此,企业在制定和完善个人信息保护政策的过程中,若约定以电子邮件等人工客服响应方式为个人信息主体提供注销服务的,响应时限应不超过15个工作日,不应再约定为三十天内;同时,不应在个人信息保护政策中约定账户注销的不合理条件或额外增加个人信息主体义务的要求。
对于同一个人信息控制者所运营的不同产品/服务间使用的统一账户的注销,应在个人信息保护政策中为个人信息主体提供切断账户体系与相应产品/服务的关联的路径;若一旦注销将会导致其他产品或服务的必要业务功能无法实现或者服务质量明显下降的,需在个人信息保护政策中向个人信息主体进行详细说明。例如,苏宁易购在《苏宁易购隐私政策》(版本:2019年10月29日)[5]中告知用户注销账户的路径。此外还在《苏宁账户注销须知》[6]中进一步向用户说明其注销账户的方式、应满足的条件及注销账户的影响(包括将无法再使用苏宁易购账号登录并享受通过苏宁易购账号授权登录的苏宁易购相关或第三方的网站及APP服务等)。
二、对隐私政策监管与指导的域外实践
从第一部分的介绍中我们可以充分感受到,作为国家推荐标准的《个人信息安全规范》从2017年第一版发布之日,就已经将个人信息保护要求落地到企业执行和政府监管的实操层面,把对企业个人信息保护的教育实务和指导作为首要任务,随后每一版本的更新均将个人信息保护要求落地在隐私政策的撰写实务中,认真梳理企业披露个人信息的规则保证用户的知情权。我们再把目光投向个人信息保护先进区域代表欧盟和美国,看看他们对隐私政策的指导有哪些良好实践值得借鉴。
(一)欧盟
以个人信息保护最全面和严格著称的《欧盟一般数据保护条例》自2016年发布以来,原第29条工作小组和现欧洲数据保护委员会发布了大量的指南指引或者示范合同,但对隐私政策的编写要求鲜见指导。在与隐私政策关系最密切的《同意指南》[7]中,提出了两点要求,一是要求控制者使用清晰明了的语言寻求同意,而不能使用难以理解的长篇隐私政策或充满法律术语的语句,同意必须与其他事项清楚和区分,并以易懂易访问的形式提供。二是强调控制者要在2018年5月25日之前详细审查当前的工作过程和记录,以确保现有的同意符合GDPR标准,特别是GDPR前言第171项。GDPR在实施同意机制方面提高了标准,并引入了一些新的要求,要求控制者改变同意机制,而不是仅仅重写隐私政策。
在欧盟各国的具体实践中,我们也看到有些国家的行业组织会以指导文件的形式发布个人数据使用的模板,例如英国的保险行业协会在2018年发布文件指导保险市场信息通知如何做[8],建议企业在实务中参考或者直接以链接的形式在自己的隐私政策引用。这份文件在简介保险市场如何运作的背景后,说明我们可能收集的你的资料,我们可能从何处收集你的资料;数据控制者和数据保护联系人;我们处理你的个人信息的目的、类别、法律依据和联系人;同意;分析;个人信息的保留;国际转移;你在英国个人信息保护机构ICO的权利和ICO联系方式。这样的行业指导性文件对本行业个人信息保护有针对性和指导意义。
(二)美国
美国的个人信息保护实践以2018年发布并于2020年实施的《加利福尼亚州消费者隐私保护法案》为代表,这个法案以消费者的个人信息保护为视角,从“原则上允许,有条件禁止”的角度做出规定,在第1798.110节从收集消费者个人信息的企业,第1798.115节从出售消费者个人信息或者为商业目的披露消费者信息的企业的不同角度,列示应向消费者披露的信息内容,但也仅限于法条的概括性介绍。
其实早在2013年2月,美国联邦贸易委员会以员工报告(Staff Report)的形式发布了一份关注移动应用生态领域的透明度的指导报告,对应用平台、应用程序开发者、广告网络和第三方以及行业协会均提出了详细的建议。这份文件对应用程序开发者提出了起草隐私政策的要求,更重要的是对应用平台提出了他们作为移动空间“守门人”肩负着连接消费者与应用程序的中介任务,应用平台负有责任在隐私方面教育和指导应用程序开发人员,建议通过合同要求开发人员进行隐私披露以及合理地执行这些要求,应当肩负起在向消费者提供应用程序之前的审核,以及在应用程序发布后进一步审核的责任。历经八年的应用平台发展,美国两大主流应用市场APP Store和Google Play已经在对开发者审核中的数据与隐私保护审核有了比较多的管理经验,可以说由这两大平台起到了隐私政策落地的指导和教育作用。
苹果应用审核指南第五部分法律以专门章节说明隐私要求,包括数据收集和存储,数据的使用和共享,有关健康、儿童和位置数据的特殊管理要求。平台要求开发者应上传隐私政策,且必须明确而清楚地指明 app/服务所收集的数据 (若有)、收集数据的方式,以及这些数据的所有用途。确认与 app 共享用户数据 (遵从这些准则) 的任何第三方 (例如,分析工具、广告网络和第三方 SDK,以及能够访问用户数据的任何母公司、子公司或其他相关实体) 会提供与 app 隐私政策所述及这些准则所要求相同或等同的用户数据保护措施。解释数据保留/删除政策,并且说明用户可以如何撤销同意和/或请求删除用户数据。
GooglePlay市场的开发者政策中《隐私权、安全性和欺骗行为》专章阐述用户数据保,不仅进行应用发布的准入审核,还在应用发布后持续监督,如发现对用户数据的保护不符的行为立刻下架整改。在准入层面上开发者政策要求(1)在 Play 管理中心内的指定字段以及应用内明示隐私权政策;(2)隐私权政策(以及任何形式的应用内披露声明)必须详尽地说明应用如何访问、收集、使用和分享用户数据;(3)隐私权政策必须披露应用将会访问、收集、使用和分享哪些类型的个人和敏感数据,以及用户的个人或敏感数据的分享对象类型;(4)以安全的方式处理用户的所有个人或敏感数据,包括在数据传输方面采用新型加密技术(例如通过 HTTPS);(4) 在访问由 Android 权限把关的数据之前,应尽可能使用运行时权限请求;(5)不得出售用户的个人或敏感数据。
GooglePlay还对某些用户不会预期到的个人数据的使用提出了“显著”应用内声明披露的要求,此时征求用户同意必须满足:征求同意的对话框必须以清楚明确的方式呈现;必须要求用户执行明确的确认操作(例如点按接受、勾选复选框);不得将用户离开披露声明页面的操作(包括点按其他位置离开或者按返回或主屏幕按钮)视为同意;并且不得使用会自动关闭或设有期限的消息。这与中国特殊场景下(例如生物识别信息收集、设备权限使用)明示同意的弹窗要求有异曲同工之处。
综上,域外对个人信息保护政策的实务指导体现在行业协会和应用平台实践中。行业协会与应用平台对隐私政策的要求相对于中国国家性推荐标准《个人信息安全规范》公信力和普适性较弱,但是也提供了一个思路借鉴,《个人信息安全规范》中的个人信息保护政策模板和要求可以进一步通过行业协会和APP应用市场监管上进行宣传和推广,通过他们的行业细化和准入要求继续个人信息保护的教育和指导工作。
三、新版《个人信息安全规范》下,个人信息保护政策的调整建议
新版《个人信息安全规范》及其对个人信息保护政策的更新,再一次通过细致的梳理强化企业个人信息保护意识和实务指导。为此,我们对企业个人信息保护政策的调整建议如下:
(一)个人信息保护政策的命名
随着立法的完善,个人信息与隐私的界定和区分已日渐明确,显然采用“个人信息保护政策”的命名更符合相关规则的约定目的,即便企业习惯性采用“隐私政策”等命名时,亦应注意,对该等规则的制定和完善也应遵从新版《个人信息保护规范》的规定,且其内容宜与“个人信息保护政策”的内容保持一致。
(二)授权同意机制的完善
虽然新版《个人信息安全规范》未强制要求个人信息控制者在个人信息主体首次打开产品或服务、注册账户等情形时必须通过弹窗等形式主动向其展示个人信息保护政策的主要或核心内容。但根据《App违法违规收集使用个人信息行为认定方法》的规定,“App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则”可被认定为“未公开收集使用规则”。
因此,对于APP运营者而言,其必须在APP首次运行时通过弹窗等形式提示用户阅读个人信息保护政策,同时为便于用户理解产品/服务收集使用个人信息的相关规则,可在相应弹窗等交互界面中展示个人信息保护政策的主要或核心内容,包括收集个人信息的目的、种类等。对于通过网页形式为用户提供服务的运营者而言,若其需要用户注册产品/服务账号并进行登录后方可使用的,则可在用户注册时以弹窗等形式引导用户阅读个人信息保护规则。并可在弹窗等交互界面的显著位置中设置个人信息保护政策的全文链接,以便于用户进行查阅。
实践中,为提升用户的服务体验,多数产品/服务均同时为用户提供多项收集、使用个人信息的业务功能。在新版《个人信息安全规范》下,如何进一步准确区分基本业务功能和扩展功能,扩展业务功能逐一告知的个人信息内容并允许个人信息主体“逐项选择同意”的交互设计等都对产品/服务获得个人信息收集使用的授权同意提出了更多的挑战和调整要求。
同时,鉴于通讯录、好友列表、群组列表等信息已被明确纳入个人敏感信息范畴,对其不得再采用默示同意方式获取用户的授权同意;而对于个人生物识别信息的收集授权同意,除个人信息保护政策外,还须单独向个人信息主体告知收集、使用(包括共享、转让)个人生物识别信息的目的、方式和范围,以及存储时间等规则,涉及共享/转让的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等,并征得个人信息主体的明示同意。不过,新版《个人信息安全规范》个人信息主体通过口头等方式主动作出的纸质/电子形式的声明也被纳入“明示同意”范畴,也为企业获取用户授权同意的方式提供了更多的灵活性。此外,根据新版《个人信息安全规范》,企业不得再将主要功能为公开其收集使用个人信息范围和规则的个人信息保护政策定性为合同,从而免除自身在个人信息收集使用中征得个人信息主体的授权同意义务。
(三)个人信息保护政策内容的调整与完善
1、个人敏感信息的明确标识或突出显示
显著标识个人敏感信息一直是App违法违规收集使用个人信息专项治理行动等执法工作中的监管重点之一,大多数APP运营者均已按照监管要求在其产品/服务配套的个人信息保护政策中对个人敏感信息进行了显著标识。
但对于通过网页等非APP客户端提供的产品和服务,此前则无此类要求。因此,也有诸多网站运营者并未在其产品/服务个人信息保护政策中对相关业务功能中对收集和使用的个人敏感信息进行突出显示。
对于此类企业而言,其应按照新版《个人信息安全规范》的要求,尽快调整和完善其个人信息保护政策,对各业务功能涉及收集使用的个人敏感信息予以明确标识或突出显示。
2、个人信息共享、转让、公开披露相关政策内容的完善
根据新版《个人信息安全规范》的规定,个人信息保护政策内容中应包括“对外共享、转让、公开披露个人信息的目的、涉及的个人信息类型、接收个人信息的第三方类型,以及各自的安全和法律责任”。
且对于第三方接入的管理,若该等第三方与个人信息控制者构成共同个人信息控制者时,亦应遵从上述要求;若所接入的第三方独立收集使用用户个人信息并为用户提供产品/服务的,应向用户明确标识,并可在个人信息保护政策中向用户予以说明,良好实践是由第三方直接与用户缔结用户协议和个人信息保护政策。
同时, APP运营者在满足上述要求外,还应在其个人信息保护政策中逐一列出APP(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等。
(四)账户注销机制的完善
新版《个人信息安全规范》对接APP收集使用个人信息的监管要求,将个人信息主体注销账户的人工响应时间限定在十五个工作日内,而不在是三十天内。因此,对于注销账户人工响应时间约定在十五个工作日以上的企业而言,则亟需对其个人信息保护政策的相关内容予以修正,并建立有效的响应机制。
对于统一账号体系下不同产品的账号注销需求,新版《个人信息安全规范》也以“注”的形式明确可以删除产品/服务账号以外其他个人信息并切断账户体系与产品或服务的关联等措施实现注销。并明确对于多个产品或服务之间存在必要业务关联关系的,一旦注销某个产品或服务的账户,将会导致其他产品或服务的必要业务功能无法实现或者服务质量明显下降的,需向个人信息主体进行详细说明。从而在保障用户注销权和企业维护产品/服务运营质量的需求间达到平衡。
同时,针对注册时未要求提供身份证号码,注销时却以验证身份为由要求提供手持身份证照片等以不合理条件阻碍用户行使其账户注销权的现象,新版《个人信息安全规范》明确要求“注销过程不应设置不合理的条件或提出额外要求增加个人信息主体义务”且“注销账户的过程需收集个人敏感信息核验身份时,应明确对收集个人敏感信息 后的处理措施”。因此,在企业个人信息保护政策内容的调整和完善中,应避免出现前述增加个人信息主体义务的条款。
此外,应注意,部分国际性公司在为用户提供账户注销服务的同时,也设定了一定时间的“反悔期”,并约定在反悔期内仅将用户账户标记为关闭状态,一旦用户重新开启其产品/服务账户,即账户注销流程将终止,否则,则在反悔期届满时永久删除相应产品/服务账户及该等账户中的个人信息等。
对此,根据新版《个人信息安全规范》的规定,“个人信息主体注销账户后,应及时删除其个人信息或匿名化处理。因法律法规规定需要留存个人信息的,不能再次将其用于日常业务活动中”。显然,该等反悔期的设置并不符合中国境内的监管要求,对于国际性公司而言,其在中国境内提供产品/服务所配套的个人信息保护政策仍需进一步进行本土化的合规调整,满足中国国内相关监管规定的要求。
四、小结
个人信息保护政策是企业对监管、用户公开承诺的自我约束。新版《个人信息安全规范》附录D中的《个人信息保护政策模板》可以带动企业提升隐私政策编制水平,以相对规范、较为统一的隐私政策,逐渐提升用户对隐私政策的阅读习惯和理解能力。企业通过借鉴《个人信息保护政策模板》对已有个人信息保护政策予以完善,按照新版《个人信息安全规范》的要求以业务功能为基准集中向个人信息主体披露每项业务功能所对应的个人信息收集使用规则,增删相应章节的约定等。同时,新版《个人信息安全规范》在为企业提供了更具可操作性指引的同时,也对企业个人信息保护政策的合规调整和完善提出了要求。合规,对于企业而言,并不该被视为不得不投入的成本,而是促进企业良性发展、树立企业品牌良好形象和公信力的投资。已经有诸多企业走在了个人信息保护政策调整和完善的前沿,成为行业内的最佳实践案例和效仿对象。个人信息保护的工作任重而道远,积微致着,我们相信,结合头部企业的示范作用和政府的监管要求,《个人信息安全规范》已经并将持续对中国个人信息保护起到显著的推动作用。
(作者及单位:北京德和衡律师事务所 辛小天 周杨 史蕾 江智茹)
[1]洪延青;葛鑫;国家标准《信息安全技术 个人信息安全规范》修订解读[J];保密科学技术;2019年08期
[2]详见《京东隐私政策》https://about.jd.com/privacy/
[3]详见《京东金融隐私政策》
https://h5.m.jd.com/babelDiy/Zeus/r6GfckUwQej2Y4JK3nn1whkLv2k/index.html
[4]《欧盟一般数据保护条例》规定了数据处理的六大合法事由,即:数据主体已经同意基于一项或多项目的而对其个人数据进行处理;处理对于完成某项数据主体所参与的契约是必要的,或者在签订契约前基于数据主体的请求而进行的处理;处理是控制者履行其法定义务所必需的;处理对于保护数据主体或另一个自然人的核心利益所必要的;处理是数据控制者为了公共利益或基于官方权威而履行某项任务而进行的;处理对于控制者或第三方所追求的正当利益是必要的,这不包括需要通过个人数据保护以实现数据主体的优先性利益或基本权利与自由,特别是儿童的优先性利益或基本权利与自由,不适用公共机构在履行其任务时的处理。
[5]详见《苏宁易购隐私政策》
https://sale.suning.com/all/regProtocol/yssm.html?safp=d488778a.uzD.RZ7FT.95fba22fd4&safpn=10009
[6]详见《苏宁易购账户注销须知》
http://hc.suning.com/help/channel-154537341756174978/K15513425233526740.htm
[7]见
https://ec.europa.eu/newsroom/article29/news.cfm?item_type=1360&tpa_id=6936
[8]见
https://lmg.london/wp-content/uploads/2019/07/LMA-Insurance-Market-Information-Uses-Notice-post-enactment-31-05-2018.pdf