智能设备的应用程序(APP)极大地便利了人们的生活,我们获得便利的对价是向APP提供一定的个人信息,《网络安全法》第41条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。《网络安全法》作为我国网络空间治理的基本法律,对APP运营者收集、使用个人信息作出了原则性的规定,即“合法、正当、必要”。然而,面对纷繁众多的APP,哪些个人信息是获得网络服务必要的信息,显然超出了用户的判断能力。随着大数据和云计算的快速发展,为了最大程度地获取数据这一数字经济中最重要的资源,近年来APP超范围收集个人信息是普遍存在的现象。2019年1月以来,中央网信办、工信部、公安部和国家市场监管总局联合开展了APP违法违规收集、使用个人信息的专项治理工作。在治理过程中,相关部门参照《网络安全法》等法律法规的要求,结合实践中公众的举报,密集出台了一系列规章、规范性文件以及技术规范和标准文本。
APP运营者通常通过隐私政策向用户告知收集使用个人信息的规则,隐私政策成为APP运营者与用户之间就个人信息的收集和使用达成的协议。本文梳理了目前与个人信息保护相关的立法规范,归纳出在撰写隐私政策时应参照和适用的法律依据。
一. 基本法律
2012年12月28日,全国人大常委会通过《关于加强网络信息保护的决定》,首次明确提出国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。在此之后,《消费者权益保护法》、《网络安全法》、《民法总则》以及《电子商务法》也相继设立了保护个人信息的条款。此外,《刑法》第二百五十三条之一规定了侵犯公民个人信息罪,规定个人和单位均可成为该罪的犯罪主体。
值得关注的是,《个人信息保护法》于2018年9月被纳入第十三届全国人大常委会立法规划,属于“条件比较成熟、任期内拟提请审议”的法律草案,也就是说,《个人信息保护法》有望在两年内通过。
二. 行政法规
2013年3月15日,国务院通过《征信业管理条例》,对征信机构在征信活动中收集使用个人信息进行了规范。
三. 司法解释
自2014年起,为应对互联网技术快速发展带来的新型案件,最高人民法院和最高人民检察院也发布了多项适用于个人信息案件的司法解释,对此本文不再赘述。
四. 部门规章、规范性文件
在个人信息保护领域,本文第一部分介绍的基本法律对个人信息保护作出了原则性的规定,而具体的实施则需要国务院各部门依照基本法律的要求所制定的规章和规范性文件,以此作为本部门的执法依据。下表为自《网络安全法》发布以来,国务院多个部门出台的与个人信息保护有关的规章和规范性文件,以出台的时间排序:
此外,由于金融机构、电信运营商、快递和网约车行业涉及大量个人信息处理,相关主管部门在《网络安全法》发布前就已经制定了规章和规范性文件,具体如下表所示:
五. 国家标准、行业标准
由于互联网行业较强的技术属性,法律上原则性的规定在具体实施时还需要技术标准的支撑,因此在个人信息保护领域,不能忽视标准和技术规范的合规指引作用。
1. 国家标准
个人信息保护领域最重要的标准当属2018年5月1日生效的推荐性国家标准《GB/T 35273-2017 信息安全技术 个人信息安全规范》,该标准对收集、保存、使用、共享、转让、公开披露等个人信息处理活动应遵循的原则和安全要求进行了全面的规范,为企业落实《网络安全法》提供了明确的指引,同时也是监管部门管理和执法的重要参考依据。为紧跟行业发展的热点问题,在2019年初,规范生效仅半年多便迎来了第一次修订,历经了两次公开征求意见,最终版本《GB/T 35273-2020 信息安全技术 个人信息安全规范》于2020年3月公布,对实践中热点的用户画像、个性化展示、个人生物识别信息等问题均作出了回应。新版本将于2020年10月1日生效,业务领域涉及新增和修改内容的网络运营者应及时对现有隐私政策进行评估,避免合规风险。
个人信息保护领域另一重要标准是《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范》,该标准对APP收集个人信息应满足的基本要求进行了规范,并规定了地图导航、网络约车、网络支付、网上购物等21种常用APP可收集的最小必要信息,以及最小必要信息涉及的最小必要权限。该标准目前尚处于征求意见阶段,但与《个人信息安全规范》相同,虽然生效后也是推荐性的标准,但可以作为监管部门管理和执法的参考依据。
此外,全国信息安全标准化技术委员会于2020年3月发布《网络安全标准实践指南-移动互联网应用程序(App)收集使用个人信息自评估指南》和《网络安全标准实践指南-移动互联网应用程序(App)个人信息安全防范指引》的征求意见稿,以期为监管部门认定App违法违规收集使用个人信息行为提供参考,为App运营者自查自纠和网民社会监督提供指引。
2. 行业标准
金融机构处理大量身份、财产、借贷等个人敏感信息,一旦泄露不仅会直接侵害个人金融信息主体的合法权益、影响金融机构的正常运营,甚至可能带来系统性的金融风险。为加强个人金融信息安全管理,中国人民银行于2020年2月发布《个人金融信息保护技术规范》,对收集、传输、存储、使用、删除、销毁等数据生命周期各环节提出安全防护要求。
以上为到目前为止不同立法主体制定的针对个人信息保护的立法情况,在以网络安全法为主的基本法律所规定的框架下,我国已经初步形成以规章、规范性文件、技术标准为支撑的个人信息保护立法体系。规章、规范性文件、技术标准包含具体的评估标准和操作规范,具有相当高的可操作性,为企业落实网络安全法提供了明确的指引,本文下篇将从这些具体的规则出发,探讨如何撰写一份符合要求的隐私政策。