本文上篇系统地梳理了在当前的法律框架下,与个人信息保护相关的法律规范,在本篇中将结合现有规范探讨一份合格的隐私政策应当符合哪些要求。
首先需要明确的是,个人信息与隐私并不是相同的概念。《网络安全法》第76条对个人信息的定义是:以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。《民法典(草案)》对隐私的定义是:自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。由定义可见,是否构成个人信息在于是否具有识别特定自然人的能力,而隐私则强调自然人活动和信息的私密性。网络用户为获得特定APP提供的服务,需要向APP运营者提供部分个人信息,APP收集、使用个人信息的规则通常以隐私协议的形式向用户告知。但实际上用户提供的这些个人信息并不限于个人隐私,因此将收集、使用个人信息的规则命名为隐私政策并不恰当,2020版《个人信息安全规范》也将2017版本中的“隐私政策”替换为“个人信息保护政策”。由于“隐私政策”在实践中并不直接与法律意义上的隐私挂钩,其告知个人信息收集规则的功能已为APP运营者和用户接受,因此本文继续使用这一叫法。
《网络安全法》第41条规定, 网络运营者收集、使用个人信息,应当公开收集、使用规则,明示收集、使用信息的目的、方式和范围。结合《GB/T 35273-2020 信息安全技术 个人信息安全规范》、《App违法违规收集使用个人信息行为认定方法》、《儿童个人信息网络保护规定》、《个人信息出境安全评估办法(征求意见稿)》、《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范(征求意见稿)》、《网络安全标准实践指南-移动互联网应用程序(App)收集使用个人信息自评估指南(征求意见稿)》、《网络安全标准实践指南-移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)》,隐私政策的撰写要求如下:
一、隐私政策的形式要求
1.1 隐私政策应以单独成文的形式发布,而不是作为用户协议、用户说明等文件中的一部分存在。
1.2 隐私政策应易于阅读,文本文字显示方式(字号、颜色、行间距、清晰度等)不会造成阅读困难。
1.3 隐私政策的内容需符合通用的语言习惯,使用标准化的数字、图示,避免出现错别字或有歧义的语句。
二、隐私政策的实质要求
2.1 隐私政策应说明所适用的产品或服务的范围、所适用的个人信息主体的类型以及生效和更新日期。
2.2 隐私政策应对App运营者的基本情况进行描述,至少包括公司名称、地址、个人信息保护负责人联系方式。
2.3 隐私政策应明示收集、使用个人信息的目的、方式和范围。
2.3.1 隐私政策应逐一列出App提供的各项业务功能,并逐项说明各业务功能收集个人信息的目的、类型、方式,不能使用概括性的语言,要求用户对多项业务功能一揽子授权,对目的的描述应明确、易懂。
2.3.2 如果涉及个人敏感信息,需明确标识或突出显示,并说明处理目的、处理规则。通常情况下,14岁以下儿童的个人信息和涉及自然人隐私的信息属于个人敏感信息,包括:身份证件号码、个人生物识别信息、个人健康生理信息、财产信息、行踪轨迹等。
2.3.3 如使用Cookie或同类技术收集个人信息,应向用户说明使用该类技术收集个人信息的目的、类型、方式。
2.3.4 如App嵌入了第三方代码、插件(如SDK)收集个人信息,应说明第三方的类型、收集个人信息的目的、类型、方式。
2.3.5 如委托的第三方或嵌入的第三方代码、插件直接将个人信息传输至境外,应明确说明跨境传输个人信息的目的、类型和接收方等。
2.3.6 如存在利用用户个人信息和算法定向推送信息的情形,包括推送新闻、广告、商品等,应告知用户停止、退出、关闭相应功能的机制,或向用户说明如何获得不针对其个人特征的选项。
2.3.7 隐私政策应告知当收集、使用个人信息的目的、方式和范围发生变化时,通知用户的方式,并说明会再次征得用户的授权。
2.4 隐私政策应向用户告知对外共享、转让、公开披露个人信息的目的、涉及的个人信息类型、接受个人信息的第三方类型,以及各自的安全和法律责任。
2.5 隐私政策应说明无需用户授权即可收集、使用、共享、转让、公开披露个人信息的情形,例如响应执法机关和政府机构的要求、保护用户免受欺诈和严重人身伤害等。
2.6 隐私政策应向用户告知APP运营者所遵循的个人信息安全基本规则,具备的数据安全能力,所采取的个人信息安全保护措施。
2.7 隐私政策应告知个人信息存储的位置(境内或境外)、数据出境情况以及存储期限。如存在个人信息出境情形,应将出境个人信息类型逐项列出并显著标识,如不存在出境情形,则明确说明。
2.8 隐私政策应向用户告知个人信息查询、更正、删除、注销账户、撤回授权同意、获取个人信息副本、对信息系统自动决策结果进行投诉等的途径和方式。
2.9 隐私政策应告知处理未成年人个人信息的方式。
2.10 隐私政策应告知提供个人信息后可能存在的安全风险,以及不提供个人信息可能产生的影响。
2.11 隐私政策应说明在发生个人信息安全事件后,将及时告知用户,以及App运营者将承担的法律责任。
2.12 隐私政策应告知用户询问、投诉的渠道和机制,以及外部纠纷解决机构及联络方式。
依据上文提到的部门规章、规范性文件以及技术标准,结合自2019年初四部门联合对App违法违规收集使用个人信息专项治理的执法实践,以上是一份合格的隐私政策必须包含的内容。而一份优秀的隐私政策,显然不应当是一份放之四海而皆准的标准文本,而应当紧密围绕企业的核心业务,在“合法、正当、必要”的原则下,权衡应收集个人信息的范围,实现满足业务需求与合法合规的对立统一。
在数字经济时代,数据对经济发展的推动作用已经无可置疑,2020年3月30日,中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》,将数据与土地、劳动力、资本、技术等传统要素并列,纳入新型生产要素,提出建立健全数据的权属、公开、交易、共享等规则,加快培育数据要素市场,实现数据要素资源的深度挖掘和开发利用。数据要流动、分享、加工处理才能创造价值,而隐私政策作为约定App运营者与用户在个人信息处理过程中权利义务的法律文件,从根源上解决了数据合法化的问题,不仅对企业自身,对整个互联网行业的健康发展都至关重要。告别了互联网的野蛮发展阶段,权责清晰、内容明确、合法合规的隐私政策是行业持续、良性发展不可缺少的基石。
