一、个人信息收集
根据《个人信息安全规范》第3.5条,个人信息收集系指获得个人信息的控制权的行为,包括直接收集个人信息和间接收集个人信息两种方式,其中直接收集个人信息系指由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集行为;间接收集个人信息系指通过共享、转让、搜集公开信息等间接获取个人信息等行为。对不属于收集个人信息的行为,该条在其注的部分也进行了界定,即如果产品或服务的提供者提供工具供个人信息主体使用,提供者不对个人信息进行访问的,则不属于个人信息收集,例如,离线导航软件在终端获取个人信息主体位置信息后,如果不回传至软件提供者,则不属于个人信息主体位置信息的收集。
根据《个人信息告知同意指南(征求意见稿)》第5.1条,收集个人信息包括但不限于以下情形:a)个人信息主体主动填写、选择、上传等主动提供个人信息的;b)网络运营者通过智能终端、API、SDK、IoT设备、浏览器、传感器等自动采集个人信息的;c)网络运营者通过与用户交互记录个人信息主体行为的;d)网络运营者从第三方间接接受、查询等方式间接获取的;e)网络运营者从非完全公开渠道搜集个人信息的;f)网络运营者从个人信息主体关联身份或账号收集个人信息的;g)网络运营者使用大数据、AI等技术分析、关联和生成个人信息的。
收集个人信息是个人信息处理活动的基础,也是个人信息全生命周期保护的开端。《网络安全法》第41条对收集个人信息进行了基础性规定,该条要求,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。接下来,将具体探讨个人信息收集的合规要求。
(一)合法性
根据《个人信息安全规范》第5.1条,收集个人信息的合法性要求具体包括:
1.不应以欺诈、诱骗、误导的方式收集个人信息
《App违法违规认定方法》第3.7条对不应以欺诈、诱骗、误导的方式收集个人信息进行了明确的规定,该条强调不得“以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的”。因此,网络运营者收集用户个人信息,应依法如实、全面告知收集个人信息的真实目的,不得为了追求形式上的合规宣称收集信息用于A目的而实际却用于B目的,该等被隐瞒和被掩饰的B目的往往难以解释其合法性。
2.不应隐瞒产品或服务所具有的收集个人信息的功能
《App自评估指南》评估点5对于“业务功能”进行了界定:“业务功能是指App面向个人用户所提供的一类完整的服务,如地图导航、网络约车、即时通讯、社区社交、网络支付、新闻资讯、网上购物、短视频、快递配送、餐饮外卖、交通票务等。”《网络安全实践指南 移动互联网应用基本业务功能必要信息规范(V1.0)》对“业务功能”也进行了定义,指出业务功能系指“满足个人信息主体的具体使用需求的业务或功能”。
《App自评估指南》评估点5要求评估“是否明示收集个人信息的业务功能”,评估标准为“个人信息保护政策中应当将收集个人信息的业务功能逐项列举,不应使用‘等、例如’字样”。不应隐瞒产品或服务所具有的收集个人信息的业务功能,需要做到逐项列举收集个人信息的业务功能,不能懒于全面梳理业务功能,更不能因为想要隐瞒某些实际在收集个人信息的业务功能,而使用“等、例如”的字样,或者列举了A、B、C业务功能收集个人信息,但实际收集个人信息的功能是A、B、C、D。
3.不应从非法渠道获取个人信息
不应从非法渠道获取个人信息,主要规范的是间接获取个人信息时不应通过黑市等渠道获取来源不明的个人信息。因黑客窃取、“内鬼”出卖个人信息等导致的个人信息泄露事件频繁发生,大量个人信息流入黑市等非法渠道。大数据时代,数据有价,导致黑市等非法渠道的非法个人信息交易不断,对个人信息安全造成极大困扰,严重侵犯公民个人信息。对网络运营者来说,间接获取用户个人信息时,不应从黑市等非法渠道获取个人信息。而且,对于数据提供方,应对其数据来源、是否获得用户授权以及授权的范围进行必要的尽调,以防止从非法渠道获取个人信息。
(二)必要性
根据《个人信息安全规范》第4.d)条,必要性即只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。根据《App违法违规认定方法》第4条和《App自评估指南》评估项7,必要性的要求具体包括:
1.收集的个人信息类型或打开的可收集个人信息权限应为现有业务功能所必需或有合理应用场景收集的个人信息类型或打开的可收集个人信息权限不得与现有业务功能或合理的应用场景无关,不得过度收集和过度索权。实践中典型的问题包括,过度收集用户通讯录、短信、通话记录等,或将收集身份证号、人脸、指纹等作为应用开启使用的前提条件,或通过积分、奖励等方式诱导用户,收集身份证号、人脸、指纹等个人信息。典型问题还包括,App在用户未使用相关功能或服务时,提前申请开启通讯录、定位、短信、录音、相机等权限,或超出其业务功能或服务外,申请通讯录、定位、短信、录音、相机等权限。
此外,需要强调的是,“现有业务功能”将适用范围限定于业务功能,并且是现有的而非过去或者准备开发的新的业务功能。
网络运营者实际收集的个人信息类型及索取的权限与现有业务功能逐项对应,并且与现有业务功能直接相关,缺少该信息则现有业务功能无法实现。为了明确移动互联网应用程序(App)收集个人信息时应满足的基本要求,《App收集信息基本规范(征求意见稿)》明确了地图导航、网络约车、即时通讯、网络社区、网络支付、新闻资讯、网上购物、金融借贷等30种常用服务类型可收集的最小必要信息,网络运营者可以参照所述服务类型最小必要信息的要求,进行调整和优化。
2.不得因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能实践中大量存在通过拒绝提供业务功能,变相强迫用户同意收集非必要个人信息或打开非必要权限的行为。常见的典型问题为App运行时向用户索取与当前服务场景无关的权限,用户拒绝授权后,应用退出或关闭。
结合《个人信息安全规范》附录C.4c)的规定,在用户不同意收集扩展业务功能所必要收集的个人信息的,不得因此拒绝向用户提供基本业务功能或降低基本业务功能的服务质量。
3.新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,不得拒绝提供原有业务功能,但新增业务功能取代原有业务功能的除外实践中,随着公司战略、市场行情、消费需求等的变化,新增业务功能的情况非常普遍。
对此,超出原有个人信息同意范围收集个人信息的,如用户不同意,仅应影响新增业务功能的使用,不得拒绝提供原有业务功能。但新增业务取代原有业务功能导致业务功能发生变更的除外。
4.收集个人信息的频度等,不得超出业务功能实际需要
收集个人信息的频率应限于实现该业务功能的需要。实践中存在典型的问题包括按照一定频次收集位置信息、IMEI或频繁读取通讯录、短信、图片等。
根据《个人信息安全规范》第5.2b)条要求“自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率”,网络运营者在收集个人信息时,应当按照实现产品或服务的业务功能所必需的最低频率收集个人信息。
5.不得仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息实践中,相当数量的App在个人信息保护政策中将改善服务质量、提高用户体验、定向推送信息、研发新产品单独表述为业务功能和收集使用目的,并将其作为“利器”而肆意收集使用与业务功能无关的用户个人信息。
对此,网络运营者可以将改善服务质量、提高用户体验、定向推送信息、研发新产品等目的与其他业务功能相结合,确保收集使用个人信息的类型与具体业务功能相对应。
6.不得要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用实践中大量存在强制捆绑授权问题,特别是在安卓系统下,所声明的TargetSdkVersion值小于23的App大量存在“用户安装时就声明索要所有权限,一旦安装,这些权限就默认打开”的情形。(TargetSdkVersion值对应着App开发时设置的API等级,App对应的API等级越高,通常在权限管理和安全设计机制方面越完善)。常见的典型问题为,App首次启动时,向用户索取电话、通讯录、定位、短信、录音、相机、存储、日历等权限,用户拒绝授权后,应用退出或关闭。
网络运营者不得通过捆绑多项业务功能的方式要求用户一次性接受并授权同意多项业务功能收集个人信息的请求。用户不同意应仅影响与所拒绝提供个人信息相关的业务功能,不得影响其他业务功能的正常使用,不得以不同意一揽子授权为理由不提供任何单一服务。
7.不得在用户明确拒绝后继续频繁索要权限、打扰用户
实践中大量存在用户明确拒绝权限申请后,仍向用户频繁弹窗申请开启与当前服务场景无关的通讯录、定位、短信、录音、相机等权限的问题,给用户造成很大困扰,严重影响用户体验。
网络运营者在用户明确拒绝权限申请后,不得频繁申请开启与当前服务场景无关的权限,不得骚扰用户。
(三)被收集者同意
《网络安全法》第41条明确将被收集者同意作为个人信息收集的合法性基础。根据《App违法违规认定方法》第3条,参照《个人信息告知同意指南(征求意见稿)》,对于获得被收集者同意,网络运营者应做到:
1.不得在征得用户同意前就开始收集个人信息或打开可收集个人信息的权限用户同意作为《网络安全法》规定的收集用户信息的法定基础,也是在我国现行网络安全生态下收集用户信息的合法来源。实践中常见问题包括App运行时,缺乏向用户明示且征求用户同意的环节,收集IMEI、设备MAC地址、软件安装列表、通讯录、短信等个人信息,或App运行时,虽然有向用户明示并经用户同意环节,但个人信息收集发生在用户同意前。
用户同意是收集使用个人信息的起始点,运营者要合法合规收集使用个人信息,就需要能够证明已经获得用户同意,且能够证明用户同意的时间点先于收集使用行为。以现行App运行的生态为例,根据《App违法违规认定方法》第1.2条,在App首次运行时应通过弹窗等明显方式提示用户阅读个人信息保护政策等收集使用规则。从展示方式上,宜采取弹窗方式,在弹窗内展示内容摘要并放置《个人信息保护政策》全文链接。在提示用户阅读后,可以征求用户的同意。
从证明已征得用户同意角度出发,参照《个人信息告知同意指南(征求意见稿)》第9.4d)条,网络运营者可以根据自身情况灵活选择用户同意的证据留存的方式。例如,在网络环境中,个人信息控制者可以留存当时个人信息主体授权同意的页面、告知同意的工作流程、个人信息主体同意行为的记录(如日志)以及提供给个人信息主体的告知内容。
2.用户明确表示不同意后,不得收集个人信息或打开可收集个人信息的权限实践中经常出现用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限的情况。网络运营者应尊重用户意愿,在用户明确拒绝收集个人信息或打开可收集个人信息权限的请求后,不得收集个人信息或打开可收集个人信息的权限。
此外,需要强调的是,用户明确拒绝收集个人信息或打开可收集个人信息权限的请求,应仅影响与拒绝提供个人信息或可收集个人信息权限相关的业务功能,不得影响用户正常使用其他业务功能。
3.实际收集的个人信息或打开的可收集个人信息权限,应与声明并经用户同意的收集规则保持一致个人信息保护政策、个人信息查询授权书等授权文本均构成声明的收集规则,其作用不仅仅在于告知用户获得用户的同意,还在于对网络运营者自身遵循该等规则收集个人信息的约束。用户知悉并同意该等收集规则后,对网络运营者按照个人信息保护政策等用户授权文本收集其个人信息会形成合理期待。
网络运营者不应利用个人信息保护政策等用户授权文本宣示合法合规收集个人信息,但实际中超出用户授权范围收集个人信息或实际收集的个人信息与授权范围不一致。当面一套,背后一套,主观恶意明显,不可取。
4.以默认选择同意个人信息保护政策等非明示方式征求用户同意
随着我国互联网生态的发展,公民个人信息保护意识逐渐觉醒,原有的默示同意方式已经无法当然满足现行个人信息保护需求。对此,《个人信息告知同意指南(征求意见稿)》第5.1条规定,收集个人信息时,需向个人信息主体告知收集、使用个人信息的类型、目的、方式和范围,并征得个人信息主体的明示同意……
实践中常见的非明示方式包括默认勾选同意、注册即表示同意等。根据《个人信息告知同意指南(征求意见稿)》第3.7条,明示同意系指个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明,或者自主作出肯定性动作,对其个人信息进行特定处理作出明确授权的行为。肯定性动作包括个人信息主体主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等。根据《个人信息告知同意指南(征求意见稿)》第9.1条,网络运营者可结合产品或服务的特点以及个人信息主体造成影响的程度等因素,选择以下一种或几种明示同意的模式:
a)设置交互式界面,由个人信息主体做出主动勾选、主动点击“同意”“下一步”“继续”、滑动滑块、主动发送等动作表示意愿;
b)由个人信息主体主动填写、输入个人信息表示意愿;
c)由个人信息主体开启可收集个人信息的API、权限表示意愿;
d)个人信息主体通过纸质或电子的书面声明、签字确认表示意愿;
e)个人信息主体通过电子签名方式表示意愿;
f)个人信息主体通过电话录音、视频录像等方式表示意愿。
5.不得未经用户同意更改其设置的可收集个人信息权限状态,如App更新时自动将用户设置的权限恢复到默认状态未经用户同意更改其设置的可收集个人信息权限状态,即用户拒绝打开可收集个人信息权限,网络运营者利用App更新等方式在未经用户同意的情况下,隐秘修改用户设置的可收集个人信息权限状态,此过程用户全程处于无感状态。如果没有专门去查看权限状态,很难发现该等修改,而网络运营者则借助该等个人信息权限的打开,违规收集相应的个人信息。
网络运营者申请调用可收集个人信息权限均应获得用户的同意,不得未经用户同意私自更改用户权限设置,不得利用系统更新升级去更改原有的系统权限设置。
6.收集个人生物识别信息的特殊要求
根据《个人信息安全规范》第5.4c)条,收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。注3:个人生物识别信息包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等。
相较于征求意见稿,对收集个人生物识别信息的特殊要求系《个人信息安全规范》新增内容。在探讨对收集个人生物识别信息的特殊要求前,我们需要先来探讨一个问题,为什么要新增对个人生物识别信息的强化保护?《信息技术 安全技术 生物特征识别信息的保护要求(征求意见稿)》在其引言部分指出了个人生物识别信息需要加以保护的原因。简单来说,一方面,个人生物识别信息用于身份鉴别有其独特优势,比如手机指纹解锁、人脸解锁、人脸支付、声音锁等。因为一般来说,个人生物识别信息难以或不可能发生变化、与个人密切绑定且不同人的信息不一致;但另一方面,也正因为个人生物识别信息难以或不可能发生变化、与个人密切绑定,其一旦出现被泄露、被窃取等安全事件,通常的更改密码、发新令牌等身份鉴别更新措施都难以奏效,也很容易给个人信息主体造成财产损失、名誉损失等严重后果。之前出现的小学生用照片刷开了某智能快递柜、换脸软件“ZAO”引发的对刷脸支付安全性的担忧,都与个人生物识别信息的应用直接相关。基于此,需要对个人生物识别信息进行强化保护。
对于收集个人生物识别信息的要求看,包括告知方式、告知内容和同意方式三个要点:(1)告知方式,单独告知;(2)告知内容,收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则;(3)同意方式,明示同意。
从理解适用角度,只将个人生物识别信息的相关规则放置在个人信息保护政策中,可能已经无法满足《个人信息安全规范》的要求。可供参考的模式为,企业制定单独的个人生物识别信息保护政策或个人生物识别信息保护说明,在实际开始采集个人生物识别信息前弹窗告知个人生物识别信息保护的简要规则并放置完整版个人生物识别信息保护政策或个人生物识别信息保护说明的链接,通过用户手动点击确认弹窗内容来获得用户的明示同意。但是否确切能够满足《个人信息安全规范》的要求,还有待实践的进一步探索和监管部门的进一步意见。
(四)征得被收集者同意的例外
对于征集被收集者同意的例外情形,《个人信息安全规范》和《个人信息告知同意指南(征求意见稿)》均进行了规定,网络运营者可以进行参考,具体如下:
1.《个人信息安全规范》规定的例外情形
对于征得被收集者同意的例外,《个人信息安全规范》第5.6条作出了如下规定,可以供网络运营者参考:
a)与个人信息控制者履行法律法规规定的义务相关的;
b)与国家安全、国防安全直接相关的;
c)与公共安全、公共卫生、重大公共利益直接相关的;
d)与刑事侦查、起诉、审判和判决执行等直接相关的;
e)出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的;
f)所涉及的个人信息是个人信息主体自行向社会公众公开的;
g)根据个人信息主体要求签订和履行合同所必需的;
注:个人信息保护政策的主要功能为公开个人信息控制者收集、使用个人信息范围和规则,不应将其视为合同。
h)从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道;
i)维护所提供产品或服务的安全稳定运行所必需的,例如发现、处置产品或服务的故障;
j)个人信息控制者为新闻单位,且其开展合法的新闻报道所必需的;
k)个人信息控制者为学术研究机构,出于公共利益开展统计或学术研究所必要,且其对外提供学术研究或描述的结果时,对结果中所包含的个人信息进行去标识化处理的。
2.《个人信息告知同意指南(征求意见稿)》规定的例外情形
在《个人信息安全规范》第5.6条的基础上,对于征得被收集者同意的例外情形,《个人信息告知同意指南(征求意见稿)》第6.1条进行了进一步的细化、扩充和完善,具体规定如下,同样也可以供网络运营者参考:
a)与个人信息控制者履行法律法规规定的强制性义务相关的,例如为履行相关法律法规规定的反洗钱监管要求,收集实名身份信息及相关交易记录。
b)与国家安全、国防安全直接相关的。
c)与公共安全、公共卫生、公共网络安全、网络环境治理、重大公共利益直接相关的,例如为加强口岸防控人感染特定流感疫情,对疑似病例人员采样进行病原体监测,详细登记其个人信息、联系方式等。
d)与犯罪侦查直接相关的,例如为侦查刑事案件,收集、使用犯罪嫌疑人的指纹、DNA等生物信息、通话记录、上网记录等。
e)出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的,例如因患者陷入严重昏迷无法取得本人同意,医生为救助患者必须检测其血型以向其输血。
f)所涉及的个人信息是个人信息主体自行向不特定社会公众公开的,例如收集、使用用户在开放式社交平台上自行向所有平台用户公开的本人学历背景、就职单位等个人信息。
g)与商业或职务行为直接相关的个人信息,例如企业依法注册登记、备案的法定代表人、股东、监事、高管的个人信息,个体工商户依法登记、备案的个人信息等。
h)为履行或签订个人信息主体与个体信息控制者之间的合同所必需的,如,购物网站为实现其基本功能寄送用户网购的商品而收集、使用用户的姓名、住址和联系电话,网络租房平台为实现其基本功能与用户签订租房合同,收集用户的实名信息、手机号码等个人信息。
i)用于维护所提供的产品或服务安全、质量和稳定运行以及防范危害运营安全行为所必需的。例如某软件为确保产品或服务的安全稳定运行,收集用户的设备类型、网络运行日志、崩溃报告等日志信息用于分析和改善软件运行情况;或者防止恶意注册、批量点击等危害运营安全活动,收集用户设备信息、日志信息、网络接入情况等信息。
j)个人信息控制者为学术研究机构,出于公共利益开展统计或学术研究所科研机构必要,且其对外提供学术研究或描述的结果时,对结果中所包含的个人信息进行去标识化处理的,例如某学术研究机构为调查研究某公共政策对不同性别、不同年龄、不同地区的人群的影响情况,收集、使用被调查人员的性别、年龄、地区等个人信息,但在提供研究成果时对所包含的个人信息进行去标识化处理。
k)个人信息控制者为新闻单位且其在开展合法的新闻报道所必需的,例如某报社为报道某大学志愿者在贫困山区支教的情况,收集、使用了志愿者的姓名、在读学校等个人信息等。
l)从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道,例如国家审计署网站公告的移送违纪违法问题线索的查处情况等。
m)与个人信息主体求职、就业直接相关的,例如用人单位收集个人信息主体投递的包含姓名、联系电话、学历背景、工作经验等个人信息的简历。
n)法律法规规定的其他情形,例如酒店、航空公司等按照相关法律法规规定收集旅客的实名身份信息等。
o)专为未成年人提供服务的产品或应用,为保障未成年人的合法权益(例如:教育应用为保障教学过程中教师不侵犯儿童合法权益而对教学视频进行抽检),在充分告知监护人的前提下,可以豁免征求同意。
p)收集已进行匿名化处理的个人信息,该个人信息无法单独识别到个人身份(不具有可识别性的信息)。
q)个人信息控制者因被收购、兼并、重组、分拆等主体变更导致向继受者提供或者转移个人信息的情形。
r)法律法规规定的其他情形。
注:个人信息控制者在以上情形中收集使用个人信息的,应该告知信息主体收集使用其个人信息的情形。
(五)个人信息保护政策(惯称隐私政策)优化
个人信息保护政策、个人信息查询授权书等个人信息授权文本,其作用在于,一方面,向个人信息主体说明网络运营者收集处理个人信息的相关规则,保证个人信息主体知情权的有效实现,同时构成对网络运营者自身行为的约束;另一方面,其也是网络运营者获得个人信息主体授权的重要依据,个人信息主体同意后,其可以作为网络运营者配合监督管理的重要机制,用以证明获得授权以减轻或豁免责任的重要凭证。
作为App和网页端最常使用的个人信息授权文本,这里我们选取个人信息保护政策进行深入研究。从现状来看,相当一部分网络运营者的个人信息保护政策仍然不够规范,存在文本雷同、内容陈旧、条款简略、语言不够清晰易懂、存在强制性霸王条款、缺少对使用的技术的解释、未告知用户享有的权利、未告知对外共享信息的第三方、未告知接入的第三方SDK等问题。
为了规范个人信息保护政策等个人信息授权文本的内容和设置,《个人信息安全规范》第5.5条、《App自评估指南》评估项1-4和《App违法违规认定方法》第1-2条均提出了相关要求,《个人信息安全规范》在其附录D放置了个人信息保护政策模板,也可以供网络运营者进行有益参考。
需要指出的是,相较于征求意见稿、过往相关规定和文件以及实践中普遍使用的“隐私政策”,《个人信息安全规范》将其名称变更为“个人信息保护政策”。原因有二:
一、个人信息与隐私的范围不一致,对此基本达成了共识。《民法典(草案)》第四编人格权第六章的名称为“隐私权和个人信息保护”,将隐私权和个人信息保护进行了明确区分,其中第1032条第2款规定“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”,第1034条第2款规定“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等”。而第1034条第3款则更加直接地说明了隐私和个人信息的关系,“个人信息中的私密信息,同时适用隐私权保护的有关规定”。也就是说,个人信息中的私密信息属于隐私信息,除私密信息外的个人信息不属于隐私信息。
二、实践中惯用的“隐私政策”,规定的内容实际是对个人信息的保护政策,而非专门针对隐私的保护政策。翻阅各个网站、App的隐私政策,其内容基本围绕对全部个人信息的收集、使用、存储、对外提供、个人信息主体权利保护等个人信息的相关保护内容,而非仅针对隐私信息。
因此,从“隐私政策”调整为“个人信息保护政策”,表面上是对政策文本名称的简单变化,但实际上将政策文本的适用范围界定得更加严谨、准确。
个人信息保护政策应清晰、准确、完整地描述网络运营者的个人信息处理行为,具体要求如下:
1.个人信息保护政策应符合独立性、易读性要求
(1)有单独成文的个人信息保护政策
涉及收集个人信息的网络运营者应有个人信息保护政策,且个人信息保护政策应以单独成文的形式发布,而不是作为用户协议、用户说明等文件中的一部分存在。
(2)易于访问
个人信息保护政策应易于访问,以App个人信息保护政策访问为例,进入App主功能界面后,通过四次以内的点击,应能够访问到个人信息保护政策,且个人信息保护政策链接位置突出、无遮挡,不得出现个人信息保护政策链接无效、文本无法正常显示等情形。从个人信息保护政策放置位置看,一般放置在“我的—设置”或“我的—关于”的子栏目,在该等位置相对方便用户查找。
(3)易于阅读
个人信息保护政策应易于阅读,不得在文本文字显示方式(字号、颜色、行间距等)上“动手脚”从而造成阅读困难,不得出现文字过小过密、颜色过淡、模糊不清、晦涩难懂、冗长烦琐的问题,或未提供简体中文版、使用大量专业术语等影响正常阅读的情形。个人信息保护政策内容应清晰易懂,符合通用的语言习惯,使用标准化的数字、图示等,避免使用有歧义的语言。
2.个人信息保护政策应清晰说明各项业务功能及所收集个人信息类型(1)明示收集个人信息的业务功能
个人信息保护政策中应当将收集个人信息的业务功能逐项列举,不应使用“等、例如”字样。对此,本书前面已经进行阐述,此处不再赘述。
(2)明示各项业务功能所收集的个人信息类型
每个业务功能在说明其所收集的个人信息类型时,应在个人信息保护政策中逐项列举,不应使用“等、例如”等方式概括说明。该问题在实践中颇为常见,不论是因为怠于梳理具体收集的全部信息,还是因为有些收集的信息不便公开告知,抑或是想要为额外收集个人信息留有余地,都是不可取的。
(3)显著标识个人敏感信息类型
个人信息保护政策应对个人敏感信息类型进行显著标识(如字体加粗、标星号、下划线、斜体、颜色等)。对此,需要注意避免进入一个误区,即既然要求显著标识个人敏感信息类型,那干脆就把所收集的个人信息全部进行显著标识。所收集的个人信息全部均进行显著标识,反而会导致收集的个人敏感信息没有得到额外的显著标识。
3.个人信息保护政策应清晰说明个人信息处理规则及用户权益保障
(1)应说明网络运营者的基本情况
个人信息保护政策应对网络运营者的基本情况进行描述,至少包括:主体身份、联系方式。这里的联系方式,为了避免造成不必要的骚扰,不再强调放置个人信息保护相关负责人的联系方式。对此,如有数据保护专门的邮箱或者客户电话等,可以进行放置;如无,至少应放置公司的客户电话或客服邮箱作为联系方式。
(2)应说明个人信息存储和超期处理方式
个人信息保护政策应明确说明个人信息的如下情况:1)存放地域,如果存储在境外,宜说明境外的哪个国家或地区;2)存储期限,有明确的存储期限最好说明,如无,至少说明法律规定范围内最短期限;3)超期处理方式,如删除或匿名化等。
(3)应说明个人信息的使用规则
个人信息保护政策应明确说明收集使用个人信息的目的、方式、范围等。如果将个人信息用于用户画像、个性化展示等,应说明其应用场景和可能对用户产生的影响。
(4)应说明个人信息出境情况
如果存在个人信息出境情况,个人信息保护政策中应将出境个人信息类型逐项列出并显著标识,显著标识方式如字体加粗、标星号、下划线、斜体、颜色等。
(5)应说明个人信息安全保护措施和能力
个人信息保护政策中应对网络运营者在个人信息保护方面采取的措施和具备的能力进行说明,如身份鉴别、数据加密、访问控制、恶意代码防范、安全审计等。
(6)应说明对外共享、转让、公开披露个人信息规则
如果存在个人信息对外共享、转让、公开披露等情况,个人信息保护政策应明确以下内容:1)对外共享、转让、公开披露个人信息的目的;2)涉及的个人信息类型;3)接收方类型或身份;4)各自的安全和法律责任。
对于这里的接收方类型或身份,能够列明具体的接收方名称更好,如考虑到业务合作方动态变化,则至少应说明接收方的机构类型,如银行、物流公司、行业协会等,避免直接使用“提供给第三方”等类似过于宽泛的表述。
(7)应说明用户权利保障机制
个人信息保护政策中应对以下用户操作方法提供明确说明:1)个人信息查询;2)个人信息更正;3)个人信息删除;4)用户账户注销;5)撤回已同意的授权。这里需要强调的是,该等方法应该方便用户操作且能切实保障用户该等权利的有效实现,避免故意设置操作障碍,无法保障用户该等个人信息权利的实现。
(8)应说明用户申诉渠道和反馈机制
个人信息保护政策中至少提供以下一种投诉渠道:1)电子邮件;2)电话;3)传真;4)在线客服;5)在线表格。
(9)应具备时效性
应明确标识个人信息保护政策发布、生效或更新日期。按照一般实践,该等标识一般在个人信息保护政策文首或末尾部分。
(10)个人信息保护政策更新
作为个人信息保护政策,其最核心的是真实地反映当前网络运营者的信息保护实践。一旦网络运营者的行为被发现与其个人信息保护政策宣示的内容不一致,则难以轻易地再次获得监管部门和社会公众的信任。有些网络运营者的个人信息保护政策制定后,长时间未经修改,致使最初的个人信息保护政策不再符合当前的实践。因此,网络运营者应当定期审查个人信息保护政策并进行及时的更新。
需要更新个人信息保护政策的情形,包括发生业务功能变更、个人信息出境情况变更、使用目的变更、联系方式变更等。个人信息保护政策更新后,应通过电子邮件、信函、电话、推送通知等方式及时告知用户。从建议的角度,对于个人信息保护政策的重要更新,使用弹窗方式提醒用户阅读,并通过用户手动点击确认、手动勾选等方式获得用户的再次授权。
4.不应在个人信息保护政策中设置免责等不合理条款
网络运营者不应在个人信息保护政策等文件中出现免除自身责任、加重用户责任、排除用户主要权利条款,如某App个人信息保护政策列明“您须对您本人在使用本网站所提供的服务时的一切行为、行动(不论是否故意)负全部责任”。
这里的免除自身责任,系指网络运营者免除其依照法律规定应当负有的强制性法定义务;这里的加重用户责任,系指网络运营者要求用户在法律规定的义务范围之外承担责任或损失;排除用户主要权利,系指网络运营者排除用户依照法律规定或者依照合同的性质通常应当享有的主要权利。
(六)间接获取个人信息的要求
大数据时代,数据流通成为趋势,网络运营者限于自身掌握的数据相对有限,很多情况下需要寻求合作伙伴、大数据公司、征信机构等第三方来间接获取个人信息。单从商业价值角度考虑,第三方提供的满足网络运营者需求的数据越多,网络运营者能够挖掘的价值越多。但从我国数据保护现状出发,不同网络运营者的数据保护合规程度有所区别,商业利益驱使下从事非法数据获取、买卖和交易的事件屡屡见诸报端。在直接收集个人信息时,网络运营者可以自行进行相应的合规安排,来确保合法合规收集个人信息;但在间接获取个人信息时,网络运营者无法直接掌握个人信息的收集和提供是否合法合规。因此,在间接获取个人信息时,网络运营者需要进行如下合规安排:
1.有限尽调
根据《个人信息安全规范》第5.4e)条,间接获取个人信息时:1)应要求个人信息提供方说明个人信息来源,并对其个人信息来源的合法性进行确认;2)应了解个人信息提供方已获得的个人信息处理的授权同意范围,包括使用目的,个人信息主体是否授权同意转让、共享、公开披露、删除等;3)如开展业务所需进行的个人信息处理活动超出已获得的授权同意范围的,应在获取个人信息后的合理期限内或处理个人信息前,征得个人信息主体的明示同意,或通过个人信息提供方征得个人信息主体的明示同意。
从实操角度,建议:1)要求个人信息提供方书面说明个人信息来源和已获得的个人信息处理的授权同意范围,并提供其个人信息保护政策、个人信息查询授权书等个人信息授权文本;2)要求个人信息提供方签署承诺函或在合作协议中设置专门条款,要求其承诺合法合规且获得用户同意获取并有权对外提供个人信息;3)对个人信息提供方进行必要的网络检索,检索内容包括个人信息方面的涉诉情况、行政处罚情况、通报情况、新闻报道情况和用户投诉情况;4)持续关注个人信息提供方的数据合规情况,如可行建议定期抽查其个人信息授权文本等用户授权情况。一旦发现个人信息提供方存在前述个人信息方面的涉诉情况等,及时与个人信息保护提供方进行核实。如属实,应视违法违规程度要求其限期改正或终止相关合作。
2.关注立法动态
根据《数据安全管理办法(征求意见稿)》第14条,网络运营者从其他途径获得个人信息,与直接收集个人信息负有同等的保护责任和义务。该要求系通过该条首次提出。
相较于以往对间接获取个人信息的有限尽调要求,本条对间接获取个人信息的要求可能过于严格,限于无法准确核查个人信息来源、个人信息数量过大等因素,实际执行起来可能面临较大困难。建议网络运营者高度关注该条的立法动态,并及时根据后续立法动态采取相应的合规安排。