【公开透明原则】
处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。
【条文主旨】
本条是关于个人信息处理中的“公开透明”原则的规定。
【条文理解】
“公开透明”原则对个人信息处理者科以公开、明示的义务,要求其“公开个人信息处理规则,明示处理的目的、方式和范围”,这本质上是对于个人信息主体知情权的保障,从而确保个人信息主体在充分知情的基础上做出真实的意思表示。从功能上来说,“公开透明”原则发挥的是传统个人信息保护体系中“告知-同意”规则中的告知规则的作用。这在我国之前的立法中也有所体现,比如《全国人民代表大会常务委员会关于加强网络信息保护的决定》第二条规定,网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当明示收集、使用信息的目的、方式和范围;网络安全法第四十一条第一款也要求,网络运营者收集、使用个人信息,应当公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意;民法典第一千零三十五条第一款第三项要求处理自然人的个人信息时,必须公开处理信息的规则并明示处理信息的目的、方式和范围。
在实践中,公开明示的义务的履行方式一般分为两种,一种是个人信息处理者一对一地向个人信息主体进行告知,这种方式主要用于人工收集个人信息时,比如防控传染病期间,一些地方政府对外来人口信息进行登记,采取的是一对一收集信息的方式,在收集前需要对收集目的、范围等进行告知。另一种是个人信息处理者制定个人信息处理规则,统一告知个人信息主体,这种方式往往是在通过信息网络进行个人信息自动化处理的背景下使用,最典型的就是各种应用软件中的《用户协议》或者《隐私政策》,一般是通过公告或者弹窗形式实现。
对于明示的内容,根据个人信息保护法第十七条,所应明示的内容至少包括:(1)个人信息处理者的名称或者姓名和联系方式;(2)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(3)个人行使权利的方式和程序;(4)法律、行政法规规定应当告知的其他事项。以上信息出现变更时,需要将变更部分告知个人。
此外,个人信息保护法还规定了一些特殊情形下的告知事项:
1.根据第三十条,处理敏感个人信息,信息处理者还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。
2.根据个人信息保护法第二十二条,个人信息处理者因合并、分立等原因,需要转移个人信息的,应当向个人告知接收者的身份、联系方式。
3.根据第二十三条,个人信息处理者向第三方提供其处理的个人信息的,应当向个人告知第三方的身份、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。需要特别注意的是,委托处理是否算作向第三方提供的情形,从而向用户告知并获得同意,目前尚无明确指引。
4.根据第二十四条,通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明。
5.根据第三十五条,国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务。
6.根据第三十九条,个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。
7.根据第五十七条,发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。
最后,在某些情形下,为了公共利益和个人信息主体自身的利益需要,应当免除处理者的告知义务,否则不利于保护公共利益或者维护自然人的合法权益。我国民法典第一千零三十六条规定了两种情形可以免除告知义务:如果处理者处理的是自然人自行公开的或者其他已经合法公开的信息,则无需告知,除非该自然人明确拒绝或者处理该信息侵害其重大利益;如果是为了维护公共利益或者该自然人合法权益实施的处理行为,也无需告知。此外民法典第九百九十九条还列举了一种具体的情形,即为公共利益实施新闻报道、舆论监督等行为而合理使用自然人个人信息的,无需承担民事责任。个人信息保护法第十八条也明确了两种可以豁免告知的情形,分别是:(1)法律、行政法规规定的应当保密或者不需要告知的情形的;(2)紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的。需要注意的是,紧急情况消除后,个人信息处理者应当及时补充告知。具体应当如何补充告知,尚待实践中进一步摸索。
【适用指南】
个人信息保护政策(隐私政策)是向用户进行告知,使用户达成“知情-同意”的主要途径,是保障用户知情权的基础。在个人信息主体首次运行软件、注册账户等情形时,应通过弹窗、链接等方式主动向其展示个人信息保护政策的主要或核心内容,帮助个人信息主体理解该产品或服务的个人信息处理范围和规则,并决定是否继续使用该产品或服务。关于个人信息保护政策的内容,在《信息安全技术 个人信息安全规范》中提出了明确详细的要求:
1.个人信息控制者应制定个人信息保护政策,内容应包括但不限于:
(1)个人信息控制者的基本情况,包括主体身份、联系方式。
(2)收集、使用个人信息的业务功能,以及各业务功能分别收集的个人信息类型。涉及个人敏感信息的,需明确标识或突出显示。
(3)个人信息收集方式、存储期限、涉及数据出境情况等个人信息处理规则。
(4)对外共享、转让、公开披露个人信息的目的、涉及的个人信息类型、接收个人信息的第三方类型,以及各自的安全和法律责任。
(5)个人信息主体的权利和实现机制,如查询方法、更正方法、删除方法、注销账户的方法、撤回授权同意的方法、获取个人信息副本的方法、对信息系统自动决策结果进行投诉的方法等。
(6)提供个人信息后可能存在的安全风险,及不提供个人信息可能产生的影响。(https://www.daowen.com)
(7)遵循的个人信息安全基本原则,具备的数据安全能力,以及采取的个人信息安全保护措施,必要时可公开数据安全和个人信息保护相关的合规证明。
(8)处理个人信息主体询问、投诉的渠道和机制,以及外部纠纷解决机构及联络方式。
2.个人信息保护政策所告知的信息应真实、准确、完整。
3.个人信息保护政策的内容应清晰易懂,符合通用的语言习惯,使用标准化的数字、图示等,避免使用有歧义的语言。
4.个人信息保护政策应公开发布且易于访问,例如,在网站主页、移动互联网应用程序安装页、附录C中的交互界面或设计等显著位置设置链接。
5.个人信息保护政策应逐一送达个人信息主体。当成本过高或有显著困难时,可以公告的形式发布。
6.在“1.”所载事项发生变化时,应及时更新个人信息保护政策并重新告知个人信息主体。
在实践中,关于个人信息保护政策的设置,仍然存在诸多问题,包括但不限于:
1.一些个人信息保护政策不利于阅读,篇幅过长,字体较小,排布过于密集,显示界面设置混乱,结构不清晰,未达到突出显示的效果,整体展示不友好。
2.对于收集的个人信息类型和业务功能表述不清晰明确,往往是用“等”“例如”等较为笼统的方式概括说明,收集个人信息的类型和业务功能也并未一一对应,对于敏感信息等信息未加以显著强调,或者将大段连续内容统一加粗,未能起到突出强调的作用。
3.对于个人信息共享、转让规则约定模糊,很多个人信息保护政策中只是概括说明可能会将用户个人信息披露及转移给第三方,但是对于具体转移信息的类别、用途以及转移对象都未有明确的说明。
4.缺乏用户反馈机制,一些个人信息保护政策中个人信息主体难以与数据控制者进行联系。
5.在需要用户选择的界面采用预填写的方式。
6.缺乏明确的退出机制。
个人信息保护政策可以说是企业数据合规的起点,应当对此予以重视,以达成对用户的充分告知。
所以,建议个人信息保护政策在满足《信息安全技术 个人信息安全规范》第5.5条的规定的基础上,从以下方面进行完善:
1.为了适应小屏幕或者信息空间受限的情况,可以在适当的情况下考虑分层呈现信息的方式以免在一页中密集呈现过多信息,过度干扰用户体验或产品设计。
2.考虑通过通俗易懂的方式(比如动画、漫画等)呈现,可以使不同文化水平、生活背景的受众了解到自己的信息如何被收集,以满足告知“透明度”的要求。
3.在列举业务功能时,尽量不使用“等”“例如”等字样,建立功能与信息之间的一一对应,一项功能对应一项或多项个人信息,功能后对应的应为实现该功能而必须收集和处理的个人信息类别,不能使用“等”“例如”等方式概括;个人信息保护政策只能列举现有业务功能及其对应的个人信息集,不能为拟开发或待开发的业务功能所需的个人信息预先获取用户的授权。对于这种情况,企业可待新功能上线时再征求用户的授权,不能混在现有的功能和信息中。
4.在共享、转让、公开披露的个人信息规则部分,应给关联方以清晰准确的定义,明确其范围,最好能够进行列举;明确对外提供的目的、个人信息类型以及接收方类型或身份。对外提供一般个人信息需披露接收者的类型,对外提供敏感个人信息则需披露接收者的身份,即具体指明接收者是谁。
5.个人信息保护政策需告知用户如何查询、更正、删除个人信息,以及如何注销账户或撤回同意。也可以考虑在隐私政策中设置“个人信息控制”功能,使用户可以直接对管理可收集信息的种类、删除个人信息、广告管理等相关功能进行控制。
6.为用户提供至少一种投诉渠道:电子邮件、电话、传真、在线客服、在线表格。
7.不为用户进行预先选择。
8.隐私政策所描述的情形,如业务功能、出境情况、使用目的、负责人联络方式等发生变更时,企业应进行修订,并通过弹窗、邮件等方式有效告知用户。
9.针对个性化广告等拓展服务,应当明确说明信息收集范围,并且提供退出机制。
此外,基于透明原则,虽然在有些情况下可以不获得用户同意就处理,但是还应当履行基本的告知义务。
【相关规定】
《全国人民代表大会常务委员会关于加强网络信息保护的决定》第二条;《中华人民共和国网络安全法》第四十一条第一款;《中华人民共和国民法典》第九百九十九条、第一千零三十五条第一款、第一千零三十六条;《中华人民共和国个人信息保护法》第十七条、第十八条、第二十二条、第二十三条、第二十四条、第三十条、第三十五条、第三十九条、第五十七条。