根据中国互联网络信息中心发布的《中国互联网络发展状况统计报告》,截至2021年12月,我国网民规模达10.32亿。互联网的飞速发展、智能手机的普及以及应用程序的涌现,个人数据收集的体量越来越大,数据资产已经成为互联网企业的重要资产之一。相应地,数据合规问题也越来越受到企业的关注。制作一份合规的、实用的用户隐私政策成为互联网企业数据合规管理的一项重要工作。
一、什么是用户隐私政策
隐私政策是一份法律文件,用于披露企业收集、使用、和管理客户数据的部分或全部方式。该文件旨在告知网站访客开发者的网站或APP具体收集哪些个人信息,以及如何使用和保护这些信息。
隐私政策是一份格式合同,用户在网站进行注册,或者接受APP服务的同时就意味着接受了开发者的隐私政策,用户没有对隐私政策进行讨价还价的余地。格式条款对于企业来说的好处是,文本起草权掌握在自己手中,很容易将自己的诉求转化成法律文本上的优势;坏处是,格式文本受到法律严格的规范,稍不留神就会出格,而受到法律的否定性评价。
二、目前规范用户隐私政策的主要法律依据
(一)《中华人民共和国民法典》关于个人信息保护的条款(生效日式:2021年1月1日)
《民法典》人格编第六章“隐私权和个人信息保护”主要规定了自然人的隐私权、对侵害自然人隐私权行为的规制、关于个人信息的定义、关于处理个人信息的原则和条件、处理个人信息的免责事由的相关规定。《民法典》关于隐私权和个人信息保护的规定对个人信息需依法合规收集提供了最基础的法律依据。
(二)《中华人民共和国个人信息保护法》(生效日期:2021年11月1日)
《个人信息保护法》借鉴国际经验并立足我国实际,确立了个人信息处理应遵循的原则,强调处理个人信息应当遵循合法、正当、必要和诚信原则,具有明确、合理的目的并与处理目的直接相关,采取对个人权益影响最小的方式,限于实现处理目的的最小范围,公开处理规则,保证信息质量,采取安全保护措施等。
《个人信息保护法》是我国第一部系统、全面保护个人信息的专门性法律,其在性质上属于公法、私法的组合。但就《个人信息保护法》的内容而言,大多是关于民事权利和义务的规定,就民事规范而言,《个人信息保护法》和《民法典》之间的关系就是特别法与基础法的关系,或者说是特别法与普通法的关系。
(三)《中华人民共和国数据安全法》(生效日期:2021年9月1日)
《数据安全法》是为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益制定的法律。《数据安全法》更强调数据本身的安全。而较之《个人信息保护法》,《数据安全法》主要关注数据宏观层面(而非个人层面)的安全。
(四)《信息安全技术 个人信息安全规范》GB/T 35273-2020
此次标准的修订发布,是为了进一步贯彻落实《中华人民共和国网络安全法》规定的个人信息收集、使用的“合法、正当、必要”基本原则,解决人民群众反映强烈的APP“强制索权、捆绑授权、过度索权、超范围收集”的问题。同时,针对当前APP运营管理的一些不合理现象,如告知目的不明确、注销账户难、滥用用户画像、无法关闭个性化推送信息、第三方接入缺乏有效管理、内部管理职责不明等问题,进一步梳理完善条款,指导组织使用标准完善个人信息保护体系。
三、一份完整的隐私政策应该包含哪些基本内容
(一)收集的用户信息种类及用途
隐私政策需要注明收集用户的信息种类以及收集此类信息的原因或者用途,有时候也会注明此类信息产生的风险责任的归属。
一般隐私政策条款都会注明:需要用户在注册时候提供的一些常规信息:如电话号码、邮箱地址和账户密码,或者是用户与软件提供商的通讯信息、网站的cookies及类似技术、日志信息、设备身份、位置与网络访问等信息。并说明收集该类信息的原因。
另外,开发者会根据业务的实际情况,收集一些个性化信息或者用户制作的信息,同时说明这类信息产生的风险承担问题。例如:一款学习类软件的隐私条款在收集用户信息时注明:系列产品包含的某些功能,会为用户提供产生、展示、发布特定内容的机会。例如,您可以使用制作学习卡片分享的功能,制作学习卡片并在社交网络分享。另外,您也可以使用系列产品包含的功能,制作保存在您账户内的内容,例如笔记、高亮等。上述内容统称“用户产生的内容”。在您自主选择使用相应功能以分享用户产生的内容的情况下,WeDevote Bible(开发者)将通过系列产品,为您使用这些功能,制作、存储、发布这些内容提供便利。您应特别注意的是:在系列产品以外的领域、平台(例如社交网络),公开发布用户产生的内容,由此带来的风险,由您自行承担。
(二)与第三方共同使用用户信息的问题
一个产品或者服务,不可避免地会与第三方发生链接,因此开发者需要在隐私政策中明确关于共享、转让、公开披露、委托处理用户的个人信息以及所接入的第三方的相关政策。
例如:未征得用户的同意,不得向第三方共享、转让、公开披露、委托处理用户的信息,但是有以下情形除外:
(1)与国家安全、国防安全直接相关的;
(2)为订立、履行个人作为一方当事人的合同所必需;
(3)为履行法定职责或者法定义务所必需与公共安全、公共卫生、重大公共利益直接相关的。
(4)与犯罪侦查、起诉、审判和判决执行等直接相关的;
(5)出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的;
(6)依照法律法规的规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;法律、行政法规另有规定的情形。
开发者应对连接到第三方时,第三方会对用户信息收集时进行责任豁免的说明。例如:开发者不能控制其他从我公司网页和服务链接出去的其他网站。其他网站可能在您的电脑上储存它们的缓存或其他文件,收集数据或者要求您的个人资料。如果选择访问他们的网站,建议您事先详细了解他们各自的隐私政策。
(三)开发者会如何使用用户的信息
在该部分,开发者需要注明,基于何种目的需要使用用户的何种信息,以及在何种环境下使用用户的何种信息。这部分内容往往根据开发者的产品可以提供的具体服务,用户在使用这些具体服务时,开发者需要收集的信息,以及如何使用收集的信息确定。例如:一些知识类APP会允许不同的用户之间进行互动,其条款会约定:开发者将允许您与其他系列产品用户进行交流与连接,以分享用户投稿及其他内容。是否与其他成员进行交流或连接及分享您的信息或用户投稿,都是您的选择。为方便您同其他系列产品用户连接,您可以选择是否和我们分享存储在您设备上的联系人信息。要使用系列产品或和任何特定成员连接,您无需分享这些信息。如果您决定和我们分享这些信息,则这些信息仅被用来尝试对您的联系人和其他系列产品成员进行关联,以创建可能的WeDevote Bible连接,且我们只会在您拥有系列产品成员账号期间存储这些信息。当您为使用朋友推荐、联系人加入通知或发送邀请加入We Devote Bible等目的授权访问您设备上的通讯录时,那些信息会以散列格式存储在我们的服务器上,以便为您提供这一功能。
(四)开发者会如何保存用户的信息
在该部分内容往往会约定,开发者对用户信息的保存期限、保存地域、以及为保存用户信息而采取的安全措施等。
保存期限:《信息安全技术 个人信息安全规范》第6.1条规定,“个人信息存储期限应为实现个人信息主体授权使用的目的所必需的最短时间,法律法规另有规定或者个人信息主体另行授权同意的除外”,因此,个人信息保护要求数据保存时间最小化,即尽早尽快删除为原则,而出于监管等目的,法律要求相关数据(含有个人信息)至少保存一段时间,二者之间存在一定张力。企业应当在遵守上述法律要求的前提下,采取适当的技术措施和管理措施,确保数据安全。
保存地域:原则上在境内收集和产生的个人信息,将存储在中华人民共和国境内。如果用户的个人信息可能会被转移到用户使用产品的区域,主要是境外,开发者需要事先获得用户的同意。
安全措施:安全措施的内容一般包括:按照“最小化”原则收集、使用、存储和传输用户信息,并通过用户协议和隐私政策告知您相关信息的使用目的和范围;对企业员工进行数据安全的意识培养和安全能力的培训和考核;建立专门的团队负责信息安全等安全措施。
(五)用户的权利
提供信息的用户往往拥有以下权利:如查阅个人信息的权利、更正及补充个人信息的权利、撤回授权的权利、删除信息的权利、注销账户的权利等。对于用户的权利,隐私政策需要清晰载明,并且需要明确载明用户行使权利的方式。
(六)处理未成年的信息
有些产品的用户对象主要面向成年人,所以会在隐私政策中注明处理未成年的信息,如果是未满14周岁的未成年人,在使用服务前,需在征得其父母或其他监护人同意的前提下使用开发者的产品和服务。
(七)隐私政策的变更
隐私政策的内容并非一成不变,而是随着开发者提供的业务的改变而进行调整或更新,该等修订内容是隐私政策的一部分。类似于条款解释权归属于开发者,如果对隐私政策的修改造成用户的权利减损,开发者需要在修订生效前,在主页显著位置提示或向用户发送电子邮件,或者以其他方式提示。修改后,如果用户继续使用开发者提供的服务,则视为同意接受修订后的隐私政策。
四、做好一份隐私政策需要注意的问题
(一)隐私政策条款的底层逻辑是默认同意,需做好格式内容提示
隐私政策的一项重要特征为使用即同意,因此隐私政策文本在内容上难免会涉及个人信息采集权限的授权问题,而国家政策法规反复强调采集个人信息应通过明示的方式获取授权,同时,为了避免格式条款受到否定性评价,目前各大互联网网站的隐私政策采取的应对措施为:对于需要用户重点阅读的内容通过加黑、描粗与下划线等各种形式强调,之前是用户点击同意用户服务协议或隐私政策即可注册,现在更多的是要求用户阅读达到要求的时间,并且下拉至协议底端才可以进行注册。只有做到起草内容加发布形式的双重加持,才能完成一份好的隐私政策。
(二)隐私政策的内容应该符合企业实际情况
隐私政策应紧密围绕企业业务展开。不同行业、不同发展阶段、不同的业务侧重,决定了企业收集数据的不同,隐私政策不可脱离业务实际,应当紧密围绕企业核心业务展开。
比如,因为有最小收集原则的存在,那么某个企业某个业务需要收集什么数据就是一个需要精准拿捏的事情,太少,无法满足业务需求;太多,则会违反法律法规。所以,不了解企业业务,就不可能起草一个高质量的隐私政策。
有些APP提供的业务相对简单,可能只需要电话号码、邮件地址和账户密码此类简单的信息。有些产品因为提供的服务比较复杂,可能需要采集的用户信息多达几十项。
提供信息的多少以能够覆盖产品的服务为原则,不宜过多,也不宜过少。过多的话,则违背了最小收集原则,过少的话,则不能覆盖服务需要收集的信息,则存在数据合规的风险。
(三)符合企业所在行业的特殊监管要求
《个人信息保护法》出台前后,人民银行、工信部、卫健委等均已在各自领域内出台了各类适用于各自行业的特殊规则,旨在监管本行业内企业对个人信息的保护。因此,此类企业除了需遵守《民法典》、《个人信息保护法》、《数据安全法》等通用法律法规的要求外,还需要遵守相关行业规定。在正式文本起草之前,企业也应当收集、整理个人信息保护领域的行业规定,并在隐私政策中予以体现,避免出现疏漏。
五、结语
隐私政策的起草不是简单陈述个人信息处理者处理个人信息的实际情况,隐私政策所体现的具体处理行为应符合正当、合法、必要和诚信原则。尽管隐私政策是个人信息保护合规工作极其重要的一环,是网站服务、APP服务必不可少的内容,但是隐私政策只是数据合规的手段之一,除了隐私政策外,还有用户服务协议、会员服务协议等一系列数据合规的举措,同样需要开发者给予关注并依照法律规定进行完善。只有开发者采取了足够的保护措施来保障个人信息的安全,才是《个人信息保护法》和监管部门所关注的对个人信息安全的实质保障。