会员登录
您所在的位置:首都律师 > 正文
透明和控制:从近期动态看个人信息保护合规重点 2019年第3期  作者:段志超??蔡克蒙??何?雯?汉坤律师事务所

 


  本文尝试以下列三个运营中常见的问题为中心,总结和梳理《规范草案》和《评估指南》中的相关规定,在为企业合规提供指南的同时,也对可能出现的问题进行探讨。
  2019年2月1日,全国信息安全标准化技术委员会公布了《信息安全技术个人信息安全规范》(以下简称《个人信息安全规范》)的修订草案(以下简称《规范草案》),向社会公开征求意见。3月1日,App违法违规收集使用个人信息专项治理工作组①发布了《App违法违规收集使用个人信息自评估指南》(以下简称《评估指南》)。分别作为个人信息保护合规的重要实践指南以及四部委组织开展的APP违法违规收集使用个人信息专项治理行动的重要参照,这两部实操规范虽然各有侧重,但都针对了前期个人信息保护领域中暴露出的突出问题,体现了监管部门进一步加强个人信息保护执法力度的趋势。
  
  一、收集:什么样的个人信息可以收集
  
  《规范草案》和《评估指南》都着力于从必要性的角度对企业过度收集个人信息进行约束,具体而言,都意图将个人信息收集和细分的业务功能对应,并规定不得通过捆绑业务功能来获得用户对个人信息收集和使用的概括同意。此外,《规范草案》还在现行《个人信息安全规范》的基础上,对基本业务功能和扩展业务功能作了更具操作性的划分指引,并对于不同类型的业务功能获得用户同意的方式和对应的处理方式作出了不同的规定。
  (一)以业务功能为基础映射收集的个人信息,禁止业务功能的强制捆绑和一揽子授权
  监管机构显然对现行实践中企业将所有业务功能捆绑在一起获取同意,以在满足《网络安全法》对同意的最低限度要求的前提下尽可能多的收集个人信息的做法有所察觉,并试图对其进行规制。
  其中,《规范草案》和《评估指南》都明确规定,企业需要将每一项业务功能对应收集的个人信息列明,并以业务功能为基础分别获取用户的同意,而不得通过捆绑产品或服务的方式来强迫用户一次性授权企业收集多个业务功能所对应的多种类型的个人信息。
  作为更加具体和可操作的指引,《评估指南》更是明确要求逐项列明业务功能和每一项业务功能对应收集的个人信息类型,而排除使用概括说明的方式,为个人信息合规工作提出了高标准。(见表1)


  (二)为区分基本业务功能和核心业务功能提供客观化标准,仅在退出机制上对两者进行区分
  虽然现行《个人信息安全规范》已经尝试对核心业务功能和附加业务功能进行区分,以解决业务功能强行捆绑的问题。但实践中,企业通常会对业务功能的定义作不同的解读,以尽可能地扩大核心功能的范围,从而使其获取不同类型的个人信息的行为合法化和正当化。
  针对该问题,《规范草案》作了更具有操作性的设计和规定。一方面,其为基本业务功能(对应核心业务功能)和扩展业务功能(对应附加业务功能)的划分提供了更具有操作性的指引;另一方面,也整体提升了对个人信息收集同意的标准,仅是在用户拒绝提供相关同意的退出机制上针对不同类型的业务功能作出了不同的规定②。
  在基本业务功能和扩展业务功能的划分上,《规划草案》强调了用户对产品的期待等客观因素,且弱化了企业可控的版本迭代、体验提升等主观因素。此举旨在提高划分的可预测性,为执法提供更确实的标准。在退出机制上规定,仅在用户拒绝针对核心业务功能提供必要的个人信息时,企业可拒绝提供相关服务;而在用户仅拒绝就扩展业务功能提供相关信息时,不得影响其使用基本业务功能,以希籍此进一步减少业务功能和个人信息采集的捆绑问题。
  上述规定也在《评估指南》中有所体现,其规定,对于对应于基本业务功能之外的业务功能的个人信息的收集,需经过用户自主选择同意;对于和业务功能无关的个人信息,企业不得收集。(见表2)


  探讨和后续关注
  尽管《规范草案》和《评估指南》已经就解决个人信息收集必要性的问题作出了多维度和具有可操作性的设计,但在实践中,在基本业务功能和扩展业务功能界定等问题上,仍然可能出现不同主体的不同解读。就此,我们注意到全国信息安全标准化技术委员会正在制定相关的指引方案,以进一步明确十类基本功能的具体内容,为企业提供更切实和确定的合规依据③。
  需要注意的是,如相关指引对基本功能及其对应的必要个人信息仅限定在较小的范围,根据《规范草案》和《评估指南》的规定,企业在收集扩展功能对应的个人信息时,需要在其启动时逐项明示以获取用户的同意,实践中该操作可能会在用户体验和业务设计上给企业提出更多的挑战。
  
  二、应用:基于画像的个性化展示应该注意什么
  
  近年来,基于用户画像的个性化推送,以及与其相关联的精准广告营销引起了越来越多人的注意。从用户角度观察,个性化推送的滥用可能会影响其获取信息的效率或间接影响其作出不正确的判断,继而侵害其正当权益。在此背景下,《规范草案》和《评估指南》均强化了对个性化展示的透明度及用户控制力方面的要求。
  《规范草案》和《评估指南》重申了现行法规中企业就画像以及与之相关的个性化展示需要向用户进行充分说明并获取其同意的规定,要求企业在隐私政策中说明个人信息用于用户画像、个性化展示的应用场景和对用户可能产生的影响。在此基础上,《规范草案》还要求对基于个性化展示推送的内容作显著的标示,增强用户对其个人信息使用情况的了解。
  进一步的,《规范草案》还明确要求企业在进行个性化展示的同时,提供简单直观的非个性化展示选项和退出途径。即,让用户有权控制是否被基于其画像推送相关内容或进行搜索结果排序。此外,《规范草案》还以倡议的方式建议企业赋予用户对其画像的更高的控制权,以及在用户决定退出个性化展示的同时向其提供删除相关画像标签或个人信息的选项,这点也和《评估指南》中关于隐私政策应向用户提供撤回已同意的授权的规定相对应。(见表3)


  探讨和后续关注
  一个有待探讨的重点问题是个性化展示的范围。《规范草案》第3.15条将个性化展示界定为“基于特定个人信息主体的网络浏览历史、兴趣爱好、消费记录和习惯等个人信息,向该个人信息主体展示信息内容、提供商品或服务的搜索结果等活动”。然而,实践中常见的基于用户群体标签开展的个性化展示是否属于个性化展示?例如,基于用户收入范围、所在城市、可能感兴趣的内容等用户群标签,对具有该标签的特定用户群体进行推送,是否构成《规范草案》项下的个性化推送?从《规范草案》的文本来看,似乎只有信息来源和推送对象均为同一人的推送才构成个性化展示,因此答案可能是否定的。在这种情况下,个性化展示的范围无疑将大大限缩,这一立场是否会为规范终稿所采纳,仍有待观察。
  
  三、合作:第三方合作中的数据合规要求是什么
  
  《规范草案》在原《个人信息安全规范》的基础上,进一步完善了对第三方数据处理的合规要求,将第三方个人信息处理活动分为委托第三方处理个人信息、第三方构成共同控制者,以及企业接入或跳转的第三方产品或服务三类。这三类第三方处理情况的核心区别不在于采取特定的技术手段上的差异,而在于企业与第三方之间关于个人信息处理的范围、目的等决定权的分配。
  ◎在企业委托第三方处理个人信息的情况下,委托企业决定个人信息处理的目的和范围,受托第三方应按照企业指示处理个人信息。此时,第三方仅构成个人信息处理者。例如APP运营者在应用程序中部署第三方统计分析类的软件工具开发包(SDK),第三方完全按照APP运营者的指令将个人信息用于统计分析并反馈分析结果,不会另行使用或共享相关个人信息。
  ◎在企业与第三方共同决定个人信息处理的范围和目的情况下,第三方可能构成个人信息共同控制者。例如在APP中嵌入第三方广告SDK或APP中嵌入第三方地图服务商应用程序编程接口(API接口),往往双方共同决定SDK收集哪些信息或对API接口开放哪些信息。
  ◎企业将服务接入或跳转至第三方产品或服务,第三方通常对个人信息处理的范围和目的享有决定权。例如通过企业的账号登录第三方服务。
  实践中第三方个人信息处理监管的重点和难点在于第二种和第三种情况。
  在企业嵌入第三方插件或向第三方开放接口的情况下,常见的问题包括企业未就第三方信息收集对用户进行告知取得用户同意,或在第三方超出服务所必需的范围收集个人信息或变更个人信息使用目的的情况下仅取得用户的概括式授权同意。甚至企业往往对其嵌入的第三方插件收集或通过API接口向第三方传输的个人信息的情况缺乏标记和记录,导致隐秘收集个人信息的情况泛滥,难以对第三方进行有效管理和追责。对此,《评估指南》和《规范草案》要求企业向用户明确告知第三方收集个人信息的情况并取得用户同意。由于《规范草案》提高了对扩展业务功能的告知和同意要求,这意味着如果嵌入第三方仅提供或支持扩展业务功能,则应就第三方提供的扩展业务功能进行逐项说明并取得用户明示同意。
  在企业将服务接入或跳转至第三方服务的情况下,实践中企业往往未明确标明或区分服务由第三方提供,未能对第三方进行有效的审查和监督。对此,《规范草案》要求企业在事前建立第三方产品或服务接入管理机制,并在接入后对第三方产品和服务进行持续监督。首先,企业应明确标明接入的产品或服务由第三方提供。在接入前,企业应建立第三方产品或服务接入管理机制和工作流程,必要时应建立安全评估等机制设置接入条件。企业还应通过合同等形式明确双方的安全责任及应实施的个人信息安全措施,并要求第三方向个人信息主体征得收集个人信息的授权同意,建立响应个人信息主体请求、申诉等的机制。在接入期间,企业应妥善留存平台第三方接入有关合同和管理记录,应督促和监督第三方产品或服务提供者加强个人信息安全管理。如企业发现第三方产品或服务没有落实安全管理要求和责任,应及时督促整改,必要时停止接入。(见表4)


  探讨和后续关注
  《规范草案》对企业嵌入第三方插件或接入第三方产品或服务提出了很高的合规要求。如这些要求全部施行,企业则需要对嵌入或接入的第三方进行排查和评估,根据排查评估修订隐私政策及弹窗交互式界面,完善对用户的告知和同意机制,并升级产品或服务,剔除或停止接入不符合要求的第三方插件、产品或服务。企业还可能需要与第三方签署或修订相关合作协议,落实第三方的个人信息安全责任以及企业对第三方的监督检查权利。这些要求可能会给企业带来很大挑战,例如,平台方往往接入众多第三方产品或服务,平台方可能难以具备足够的资源和能力审核并持续监督第三方同意的获取情况,以及用户权利请求响应机制的运转状态,或对第三方开展技术检测。企业究竟对第三方负有何种程度的审查监督义务,仍有待实践检验。
  结语
  在数字经济下,个人信息和大数据的价值被越来越多的企业所认知。而基于用户画像的自动决策和个性化推送,在为企业提高效率和带来利益的同时,也加剧了信息传播的不对称性,切实影响到用户的体验和利益。个人信息收集和应用过程的黑盒化,只能加剧用户和企业之间的对立。透明和控制,即便短期内会给企业带来较多的合规负担,从长远利益考量,才是数据合规和个人信息保护中不变的解药。
  ①根据中央网信办、工业和信息化部、公安部、市场监管总局在1月23日发布的《关于开展App违法违规收集使用个人信息专项治理的公告》,全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立App。
  ②《规范草案》附录C.2:“基本业务功能的告知和明示同意??个人信息主体不同意收集基本业务功能收集所必要的个人信息时,个人信息控制者可拒绝向个人信息主体提供该业务功能。”《规范草案》附录C.3:“扩展业务功能的告知和明示同意??b)如个人信息主体不同意收集扩展业务功能收集所必要的个人信息,个人信息控制者不得反复征求个人信息主体的同意。除非个人信息主体主动选择开启扩展业务功能,在24小时内向用户征求同意的次数不得超过一次??c) 如个人信息主体不同意收集扩展业务功能收集所必要的个人信息,不得拒绝提供基本业务功能或降低基本业务功能的服务质量”。
  ③《DPO沙龙纪实:〈个人信息安全规范〉修订中的用户授权与个性化推送》。④第8.1条指委托处理的情况;第8.6条指共同个人信息处理者的情况,由于《规范草案》未对这两部分进行实质性修改,故我们未在此引用相关条文。
 


打开微信扫一扫
通过手机分享
主办单位:美高梅正规网址技术支持热线:010-85269998
京ICP备09012756号京公网安备 11010102003312号
XML 地图 | Sitemap 地图