近年來,隨著移動互聯網技術的蓬勃興起,APP市場獲得了前所未有的發展,APP用戶群體日益龐大。但與此同時,也頻頻出現APP非法獲取和使用個人信息,從而侵犯個人隱私的亂象。2019年初,國家多部委重拳出擊,重點整治亂象。數十款app被強制下架,數百款app被點名整改。業內表示,app收集個人信息迎來強監管元年。隱私政策作為文本形式的“契約橋梁”,是平臺與用戶之間達成個人信息處理理解的最常見、最有效的方式。為了進壹步提升業務合規能力,實現持續合規的目標,互聯網企業應充分認識到制定合格的隱私政策的重要性。本文將圍繞APP隱私政策的合規點展開,為互聯網企業合規管理體系的全面完善貢獻力量。
1.什麽是應用隱私政策?
隱私政策通常指網站、應用程序等的政策。基於隱私策略的用戶信息處理。它是企業和用戶之間關於如何處理和保護用戶個人信息的基本權利和義務的文件,用於告知用戶個人信息是如何被第三方收集、使用和共享的。既是對企業的約束,也是企業提醒用戶自主、自願、合理提供和處置個人信息,分清用戶責任的依據。用戶應在開始使用產品和/或服務前仔細閱讀,並確認已完全理解相關隱私政策中所述內容,並在使用產品/服務前同意。
目前,保護個人隱私信息的主要國際立法包括歐盟的《壹般數據保護條例》(GDPR)和美國加州議會通過的《消費者隱私法》。我國行業沒有統壹的隱私政策合規性評價體系,而是通過《中華人民共和國網絡安全法》、《電信和互聯網用戶個人信息保護規定》、《信息安全技術個人信息安全規範》(GB /T35273—2020)、《兒童個人信息網絡保護規定》等壹系列法律法規建立合規性評價體系。其中,《信息安全技術個人信息安全規範》明確了個人信息控制者在信息收集、存儲、使用、* * * *享受、轉移和披露等方面的行為,也提供了隱私政策的編寫模板,為完善移動社交app的隱私保護政策提供了依據。
二,常見的不合規情況
根據《APP非法收集和使用個人信息行為認定辦法》(以下簡稱《認定辦法》)、《APP非法收集和使用個人信息行為自我評估指南》(以下簡稱《指南》)和工信部系列行政處罰公告(如《關於侵害用戶權益的APP的通知》),結合實踐中突出的違規行為,本文列舉了以下幾種常見的APP隱私政策不合規情形:
(1)隱私政策未完整列出其收集和使用的用戶信息,或者運營商收集和使用的用戶信息超出隱私政策所列範圍;
(2)隱私政策未詳細規定第三方SDK收集和使用個人信息的目的、方式和範圍,或者未在隱私政策中插入第三方SDK的目錄;
(3)隱私政策沒有提供用戶投訴、申訴和反饋的渠道(壹般投訴渠道包括:郵件、電話、在線客服等。);
(4)隱私政策未能提供更正、刪除個人信息和註銷用戶賬戶的有效功能,或對上述操作設置不必要或不合理的條件,或未能及時響應上述操作;
(5)沒有針對14周歲以下兒童的保護兒童個人信息的專門政策;
(6)把平臺的利益放在首位,忽視用戶的權利;
(7)數據保存時限不明確,忽視用戶享有的被遺忘權。
第三,互聯網公司要重視APP隱私政策的制定
制定單獨的隱私政策,並以適當的方式表達出來。
首先,互聯網公司應該制定單獨的隱私政策。從上面可以看出,隱私協議是壹個告訴用戶網站或移動軟件如何收集和使用用戶信息和數據的文檔。用戶協議相當於網站和用戶之間的合同,比如知識產權的歸屬,封禁賬號的權利等等。這兩者不能混為壹談。2021,11,1,《個人信息保護法》(以下簡稱《個人保護法》)正式生效。圍繞《個人保護法》的規範本質,平臺應據此做出及時、適當的回應,包括重視與用戶的溝通,突出隱私政策的存在。第壹個任務是保持隱私政策的獨立性,即建立單獨的隱私政策。壹方面,隱私政策獨立性的要求是基於隱私政策的重要性而提出的。近年來,隨著互聯網的發展,個人信息保護地位的提高,基於個人信息的隱私政策逐漸後來居上,形成了與用戶協議相抗衡的局面。為此,對隱私政策的獨立性和可讀性的要求逐漸走上了合規階段;另壹方面是出於合同標準化的考慮。隱私政策和用戶協議的本質是平臺和用戶簽訂的協議。當隱私政策條款隱藏在用戶協議中時,平臺很難充分強調個人信息保護條款對用戶的重要性。而且隱私政策涉及金額大,適用規則與用戶協議不同,雙方權利義務也不同。因此,隱私政策應該是獨立的,並作為壹個完整和獨立的合同出現。
其次,應該以適當的方式清楚地說明隱私政策。根據《民法典》第1035條規定:“個人信息的處理應當遵循合法、正當、必要的原則,不得過度處理,並符合下列條件: (壹)取得自然人或者其監護人的同意,法律、行政法規另有規定的除外;(二)公開處理信息的規則;(3)明確說明信息處理的目的、方式和範圍;(四)不違反法律、行政法規的規定和雙方的約定。個人信息的處理包括個人信息的收集、存儲、使用、處理、傳輸、提供和披露。”
註意隱私政策條款的完整性
01
明確個人信息收集和利用的規則
《指南》指出,互聯網公司在收集和使用個人信息時,應當首先征得用戶同意。具體來說,要求APP運營者對用戶作出隱私安全承諾,明確告知用戶個人信息收集的類型、收集的目的、收集和利用的原則。采集和利用應當遵循合法、正當、必要的原則。因此,互聯網公司在制定隱私政策和用戶協議時,應明確上述內容。其次,個人信息的使用和收集的基本法律依據是個人同意機制,即個人信息的收集和使用需要得到用戶的同意;應明確告知用戶收集和使用信息的目的、方法和範圍;不得收集非提供服務所必需的用戶個人信息,不得將信息用於提供服務以外的目的,不得以欺騙、誤導、脅迫等手段或違反法律、行政法規及雙方約定的方式收集或使用信息;用戶停止使用電信服務或者互聯網信息服務後,應當停止收集、使用用戶個人信息,並向用戶提供註銷號碼或者賬戶的服務。例如,騰訊的隱私政策將“我們可能收集信息的時間”進壹步分類,然後規定* * *分為三類:您提供的信息、其他方共享的信息和我們獲取的信息(包括日誌信息和位置信息)。
02
明確個人信息* * *享受和轉移相關內容。
“把平臺利益放在第壹位,忽視用戶權利”的問題,在信息的享有、傳遞和披露上尤為明顯。雖然原則上消費者的個人數據是不能共享、公開和轉讓的,但在現實生活中,數據背後巨大的經濟利益讓運營商很難抵禦二次利用的誘惑。APP運營方往往會與第三方共享用戶數據,第三方通過算法分析特征和偏好,形成間接人群畫像,精準推送商業廣告。多數運營商強調與關聯方、合作夥伴共享消費者數據的權利;企業合並、分立或清算時的消費者資料轉移權;經數據主體同意,或者為維護公共利益或者他人合法利益,依法公開相關數據的權利。也就是說,經營者過分強調自己的權利,而忽略了相應的義務和責任。對此,筆者建議,互聯網公司在有必要共享、傳輸用戶信息時,應當告知消費者共享信息的目的、涉及的個人信息範圍、接收方的類型以及安全和法律責任。
個人信息對外共享主要包括用戶向第三方共享信息、個人信息跨境流通以及其他個人信息共享的情形。其中,第三方平臺共享是網絡平臺服務中最常見的情況之壹,是指用戶從原平臺跳轉到其他平臺,在該平臺上共享相關信息的行為。通常平臺跳轉時,用戶的壹些基本個人信息或用戶信息(包括但不限於個人昵稱、個人頭像等物品)會被第三方(即用戶跳轉到的平臺)收集。針對此類問題的方案可以參照“個人信息的收集和使用”的內容制定。同時,還需要在“信息共享”壹章中明確列出這種信息共享的形式,以提醒和告知網絡服務的使用者可能存在的風險和後果。根據《指南》,APP享有、轉讓個人信息的,應當符合以下條件:壹是在轉讓前告知個人信息主體該信息、轉讓該信息的目的、數據接收方的類型等信息,並取得個人信息主體的授權和同意;二是在* * *享受和轉讓過程中,應采取措施保證過程安全;三是記錄* * *享受和轉讓的信息內容,登記* * *享受和轉讓的信息,包括* * *享受和轉讓的日期、數據量、用途和數據接收方的基本信息;最後,在* * *享有和轉讓後,應當了解接收方對個人信息的保存和使用,以及個人信息主體的權利,如查閱、更正、刪除、註銷等。因此,互聯網公司在擬定APP隱私政策和用戶協議時,如果確實涉及* * *分享、轉讓所收集的用戶個人信息的行為,應當在相關協議中明確上述內容。
03
明確個人信息的處理制度
《指南》中對個人信息的處理包括申請、刪除、第三方委托三個部分。就個人信息的應用而言,APP運營者對個人信息的應用應當符合用戶註冊協議和隱私政策的規定,不得超出與用戶簽訂的信息使用協議的範圍。
就刪除個人信息而言,應滿足四個要求:壹是個人信息超過存儲時限後,應刪除與個人信息相關的存儲設備;二是個人信息相關存儲設備應當滿足防止存儲的個人信息數據被刪除後通過技術手段恢復的要求;第三,對已存儲個人信息的設備存儲新信息時,應刪除之前的所有內容;第四,丟棄的存儲設備應在處置前刪除。
最後,關於第三方委托加工,在委托第三方加工前,應對受托方的安全能力進行評估,同時與委托方簽訂相關協議,要求委托方符合《指引》的相關要求。最後,個人信息的委托處理不得超出信息主體授權的範圍,受托方在處理完個人信息的相關數據後,應當刪除存儲的數據內容。因此,互聯網公司在制定用戶協議和隱私政策時,應當按照《指引》的要求,完善對個人信息處理的相關規定。
04
明確未成年人信息保護制度
隨著《兒童個人信息網絡保護條例》、《互聯網音像信息服務管理規定》、《互聯網企業個人信息保護評價標準》的出臺,明確未成年人信息保護制度,互聯網企業義不容辭。根據《兒童個人信息網絡保護條例》、《互聯網音像信息服務管理規定》和《互聯網企業個人信息保護評估標準》,互聯網企業應當建立未成年人保護制度,應當規定未成年人個人信息處理的專門措施。未經監護人明確同意,他們不應處理未成年人的個人信息。同時,互聯網公司應當設立專門的未成年人個人信息保護規則和用戶協議,指定專人負責未成年人個人信息保護工作。同時,隨著個人信息強監管的逐步實施,從長遠來看,互聯網公司應制定獨立的兒童個人信息保護政策,區分適用於14以下未成年人和14以上未成年人的內容。
隱私政策的內容應符合合理性的要求。
所謂合理性,是指APP運營者在設置隱私政策條款時,不得設置不公平的條款,比如免除自身責任、增加對方義務的條款。壹旦隱私政策內容過於強勢,極有可能陷入霸王條款,面臨隱私政策內容無效的局面。根據《民法典》的規定,格式條款是指當事人在訂立合同時,為重復使用而事先擬定的、未經雙方協商的條款。可以說,目前幾乎所有的隱私政策都是格式條款。《民法典》第四百九十七條規定了格式條款的無效:“(壹)具有本法第壹部分第六章第三節和本法第五百零六條規定的無效性;(二)提供格式條款的壹方不合理地免除或者減輕其責任、加重對方責任或者限制對方主要權利的;(三)提供格式條款的壹方排除對方的主要權利。”相關APP運營公司應做好對用戶協議內容的效力審查,避免出現因違反上述規定導致協議條款法律無效的情況。
完全適用“告知-同意”規則
2013年,工信部頒布的《電信和互聯網用戶個人信息保護規定》首次明確了未經用戶同意,不得收集、使用其個人信息的原則。隨後,2017網絡安全法進壹步規定,網絡運營者公開收集、使用個人信息,應當明確說明收集、使用信息的目的、方式和範圍,並征得被收集者的同意。從而確立了我國個人信息收集和使用的壹個基本原則:告知-同意原則。網絡運營者可以收集的用戶個人信息僅限於與其提供的服務相關的範圍,在收集和使用信息的過程中應當遵守法律、行政法規以及與用戶的約定。即將出臺的《人身保險法》依然堅持以“告知-同意”為核心的個人信息處理規則。在此前提下,APP運營者必須公開其收集和使用信息的目的、方式和範圍,並征得被收集人的同意。
結論
在赤裸裸的隱私大數據時代,隱私政策作為現代公司治理體系的重要組成部分,必然會對數字經濟的發展產生重要影響。隨著消費者對數據隱私保護需求的不斷增加,擁有完備隱私政策的運營商在市場上的競爭力將不斷增強。隱私政策不完善的運營商勢必會失去用戶的信任,對企業的發展造成不利影響。因此,重視APP隱私文本的合規性,對企業的長遠發展意義重大。
作者:上海溫嵐律師事務所孫良娟律師