前 言
近年來,伴隨著移動互聯網技術的蓬勃興起,APP市場獲得了前所未有的發展,APP用戶群體亦日趨龐大。然而,與此同時,APP違規獲取、利用個人信息從而侵犯個人隱私的亂象頻出。2019年伊始,國家多部委重拳出擊,著重整治該亂象,幾十款APP遭到強制下架、上百款APP被點名整改,業內稱APP收集個人信息迎來了強監管元年。作為壹種文本形式的“契約橋梁”,隱私政策是目前平臺與用戶達成個人信息處理***識最普遍、最有效的方法。為進壹步提升業務的合規能力,實現持續合規的目標,互聯網企業應充分認識到制定壹份合格的隱私政策的重要性。本文將聚焦於APP隱私政策的合規要點,對互聯網企業全方位提升合規管理體系貢獻綿薄之力。
壹、APP隱私政策是什麽?
隱私政策通常是指網站、應用程序等依據隱私權政策制定的對用戶信息處理的政策,是企業與用戶之間關於如何處理和保護用戶個人信息的基本的權利義務的文件,用以告知用戶個人信息如何被搜集、使用、與第三方***享的情況。它不是僅對企業的束縛,也是企業提示用戶自主、自願、合理提供和處分個人信息,並區分與用戶責任的依據。用戶開始使用產品與/或服務前需仔細閱讀,並確認已經充分理解相關隱私政策所寫明的內容並且同意後才能使用產品/服務。
目前,國際上對個人隱私信息保護的主要立法包括歐盟的《通用數據保護條例》(簡稱 GDPR)和美國加州議會通過的《消費者隱私法案》。我國業界尚未有統壹的隱私政策合規性評價體系,而是通過《中華人民***和國網絡安全法》、《電信和互聯網用戶個人信息保護規定》、《信息安全技術個人信息安全規範》(GB /T35273—2020)、《兒童個人信息網絡保護規定》等壹系列法律法規構建合規性評價體系,其中《信息安全技術個人信息安全規範》明確了對個人信息控制者在信息收集、保存、使用、***享、轉讓和披露等方面行為的規範,同時也提供了隱私政策書寫模板,為移動社交 APP 完善隱私保護政策提供依據。
二、常見的不合規情形
根據《APP違法違規收集使用個人信息行為認定方法》(以下簡稱“認定方法”)《APP違法違規收集使用個人信息自評估指南》(以下簡稱“指南”)及工信部系列行政處罰公告(如《關於侵害用戶權益行為的APP通報》),結合實務中突出存在的違規情形,本文列舉了如下常見的APP隱私政策條款不合規情形:
(1)隱私政策未完整列舉其收集、使用的用戶信息或運營者超出隱私政策所列範圍收集、使用用戶信息;
(2)隱私政策中未能詳細列明第三方SDK收集使用個人信息的目的、方式、範圍,或未在隱私政策中插入第三方SDK目錄;
(3)隱私政策中未提供用戶投訴、申訴、反饋渠道(壹般投訴渠道有:電子郵件、電話、在線客服等方式);
(4)隱私政策中未提供有效的更正、刪除個人信息及註銷用戶賬號功能,或為以上操作設置不必要或不合理條件,或未能及時響應以上操作;
(5)未對14歲以下兒童制定專門的兒童個人信息保護政策;
(6)將平臺的利益放在首位,忽視用戶權利;
(7)數據存儲時限不明確,無視用戶享有的被遺忘權。
三、互聯網企業制定APP隱私政策註意事項
制定單獨的隱私政策並以適當方式明示
首先,互聯網企業應當制定單獨的隱私政策。由上述可知,隱私協議是告知用戶網站或者移動端軟件如何收集和使用用戶信息和數據的文檔。而用戶使用協議相當於是網站和用戶之間的合同,比如知識產權歸屬,賬號禁封權利等等。這兩者是不可混為壹談的。2021年11月1日,《個人信息保護法》(以下簡稱“個保法”)生效。圍繞個保法的規範要旨,平臺方需依據其作出及時恰當的回應,包括重視與用戶溝通、凸顯隱私政策的存在感等,首要任務就是保持隱私政策的獨立性,即設置單獨的隱私政策。對於隱私政策獨立性的要求,壹方面是基於隱私政策的重要性提出,近年來,隨著互聯網發展,個人信息保護地位提升,圍繞個人信息展開的隱私政策逐漸後來居上,形成了與用戶協議分庭抗禮的局面。為此,對於隱私政策的獨立性和易讀性的要求逐步登上合規舞臺;另壹方面是出於合同規範性的考量。隱私政策和用戶協議的本質都是平臺與用戶簽訂的協議,而當隱私政策條款隱藏在用戶協議之中時,平臺很難向用戶充分強調個人信息保護條款的重要性,並且,隱私政策涉及的款項眾多,適用規則也不同於用戶協議,雙方權利義務亦不相同。因此,隱私政策應當具有獨立性,作為完整獨立的合同出現。
其次,隱私政策應當以適當方式明示。根據《民法典》第1035條的規定:“處理個人信息的,應當遵循合法、正當、必要原則,不得過度處理,並符合下列條件:(壹)征得該自然人或者其監護人同意,但是法律、行政法規另有規定的除外;(二)公開處理信息的規則;(三)明示處理信息的目的、方式和範圍;(四)不違反法律、行政法規的規定和雙方的約定。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等。”
註重隱私政策條款的完備性
01
明確個人信息采集與利用規則
根據《指南》規定,互聯網企業在收集、使用個人信息時,首先應當獲得用戶的同意。具體來說要求APP運營者對用戶作出隱私安全保障承諾,並且明確告知用戶個人信息采集的種類、采集的目的以及采集與利用原則,采集與利用應當遵循合法、正當和必要原則。因此互聯網企業擬定隱私權政策、用戶協議時應當對上述內容進行明確。其次,個人信息使用和收集的基本合法性基礎是個人同意機制,即對於用戶個人信息的收集和使用需要經用戶同意;應當明確告知用戶收集、使用信息的目的、方式和範圍;不得收集其提供服務所必需以外的用戶個人信息或者將信息用於提供服務之外的目的,不得以欺騙、誤導或者強迫等方式或者違反法律、行政法規以及雙方的約定收集、使用信息;用戶終止使用電信服務或者互聯網信息服務後,應當停止對用戶個人信息的收集和使用,並為用戶提供註銷號碼或者賬號的服務。例如,騰訊隱私政策在提到“我們可能收集的信息時”進行了進壹步分類之後再具體規定,***分為三類:您提供的信息、其他方分享的您的信息、我們獲取的您的信息(包括日誌信息和位置信息)。
02
明確個人信息***享、轉讓相關內容
“將平臺的利益放在首位,忽視用戶權利”這壹問題在信息的***享、轉讓、披露環節表現得尤為明顯。盡管原則上消費者的個人數據不得***享、披露與轉移,但在現實生活中,數據背後巨大的經濟效益使得運營商難以抵制二次使用的誘惑。APP 運營商們往往將用戶數據與第三方***享,第三方通過算法進行特征與偏好分析,形成間接人群畫像,精準推送商業廣告。大多數運營商強調的是,與關聯方和合作夥伴***享消費者數據的權利;在企業合並、分立、清算時,轉移消費者資料的權利;在數據主體同意,或維護公***利益或他人的合法利益的情況下,依法披露相關數據的權利。也就是說,經營者過分強調自己的權利,忽視應承擔相應的義務和責任。對此,筆者建議互聯網企業在有必要***享和傳輸用戶信息時,應告知消費者信息***享的目的、涉及的個人信息的範圍、接收方的類型以及安全與法律責任。
個人信息對外分享的情形主要包括用戶向第三方進行信息分享、個人信息 的跨境流通、個人信息分享的其他情況。其中第三方平臺分享是網絡平臺服務中最常遇到的情況之壹,是指用戶從原平臺跳轉到其他平臺並在該平臺上分享相 關信息的行為,通常情況下,平臺跳轉的同時會由第三方(也就是用戶將要跳轉到的平臺)收集用戶的部分基本個人信息或用戶信息(包括但不限於個人昵稱、個人頭像等項目)。針對此類問題的方案可以參照前文“個人信息的收集及使用”的內容進行制定。與此同時,也需要在“信息分享”壹章中明確列舉此類信息分享的形式,提示並告知網絡服務用戶由此可能造成的風險及後果。根據《指南》的規定,APP如存在對個人信息***享和轉讓行為的,應當滿足如下條件:第壹、轉讓前告知個人信息主體***享、轉讓該信息的目的、數據接收方的類型等信息並征得個人信息主體的授權同意;第二、***享、轉讓過程中應采取措施保證過程的安全性;第三、應當記錄***享、轉讓信息內容,將***享、轉讓情況中包括***享、轉讓的日期、數據量、目的和數據接收方的基本情況在內的信息進行登記;最後、在***享、轉讓後應當了解接收方對個人信息的保存、使用情況和個人信息主體的權利,如訪問、更正、刪除、註銷等。因此,互聯網企業在擬定APP隱私權政策、用戶協議等時,如確涉及到對采集的用戶個人信息***享、轉讓行為的,應在相關協議中對上述內容予以明確。
03
明確對個人信息的處理制度
《指南》中對個人信息的處理包括了應用、刪除以及第三方委托處理三部分。就個人信息的應用而言,APP運營者對個人信息的應用應當滿足用戶註冊協議、隱私權政策的規定,不能超出與用戶簽署的信息使用協議的範圍。
就個人信息的刪除方面來說,應當滿足四個要求:第壹,個人信息相關存儲設備應當在個人信息超過保存時限之後進行刪除;第二,個人信息相關存儲設備應當滿足將存儲的個人信息數據進行刪除之後防止通過技術手段進行恢復的要求;第三,對存儲過個人信息的設備在進行新信息的存儲時,應將之前的內容全部進行刪除;第四,廢棄存儲設備,應在進行刪除後再進行處理。
最後就第三方委托處理方面來說,在委托第三方進行處理前,應當對受托方的安全能力進行評估,同時與委托方簽訂相關協議要求委托方符合《指引》的相關要求,最後,對個人信息委托處理時,不應超出該信息主體授權同意的範圍,並且受托方對個人信息的相關數據處理完畢後,應當對存儲的數據內容進行刪除。因此互聯網企業擬定用戶協議、隱私權政策時對個人信息的處理相關條款應當按照《指引》的要求進行完善。
04
明確對未成年人的信息保護制度
隨著《兒童個人信息網絡保護規定》《網絡音視頻信息服務管理規定》和《互聯網企業個人信息保護測評標準》等相關規定的出臺,明確對未成年人的信息保護制度對互聯網企業來說責無旁貸。根據《兒童個人信息網絡保護規定》《網絡音視頻信息服務管理規定》和《互聯網企業個人信息保護測評標準》等相關規定,互聯網企業應當建立未成年人保護制度,應規定未成年人個人信息處理的特殊措施,在未征得監護人明示同意時不得處理未成年人的個人信息。同時,互聯網企業應當設置專門的未成年人個人信息保護規則和用戶協議,並指定專人負責未成年人個人信息保護。同時,伴隨著個人信息強監管的逐步落地,為長遠計,互聯網企業應當制定獨立的《兒童個人信息保護政策》,區分14歲以下和14歲以上未成年人適用的內容。
隱私政策的內容應滿足合理性要求
所謂的合理性是指APP運營商設置隱私政策條款時,不應設置不公平條款,例如規定免除己方責任,加重對方義務的條款。壹旦隱私政策的條款內容過於強勢極有可能陷入霸王條款,而面臨隱私政策內容無效的局面。根據《民法典》規定,格式條款是指當事人為了重復使用而預先擬定、並在訂立合同時未與對方協商的條款。可以說目前幾乎所有的隱私政策都屬於格式條款。《民法典》第四百九十七條規定了格式條款的無效情形:“(壹)具有本法第壹編第六章第三節和本法第五百零六條規定的無效情形;(二)提供格式條款壹方不合理地免除或者減輕其責任、加重對方責任、限制對方主要權利;(三)提供格式條款壹方排除對方主要權利。”相關APP運營企業應當做好用戶協議內容效力審查工作,避免出現因違反上述規定導致協議條款法定無效的情況。
全面適用“告知-同意”規則
2013年工信部頒布的《電信和互聯網用戶個人信息保護規定》首次明確了未經用戶同意不得收集、使用其個人信息的原則。其後,2017年《網絡安全法》進壹步規定網絡運營者收集、使用個人信息,應當公開收集、使用規則,明示收集、使用信息的目的、方式和範圍,並經被收集者同意。由此確立了我國個人信息收集使用的壹項基本原則:告知-同意原則。網絡運營者可收集的用戶個人信息被限定在與其提供的服務相關的範圍之內,且在收集和使用信息的過程中需遵守法律、行政法規的同時,也應當遵守與用戶的約定。出臺不久的個保法中依然堅持了以“告知-同意”為核心的個人信息的處理規則。在此前提之下,APP運營者須對其收集、使用的信息之目的、方式及範圍進行公開,並獲取被收集者的同意。
結 語
在隱私裸奔的大數據時代,隱私政策作為現代公司治理體系的重要組成部分,必然對數字經濟的發展產生重要影響。隨著消費者對數據隱私保護的需求增加,那些擁有完整隱私政策的運營商在市場上的競爭力也將不斷增強。而隱私政策不完善的運營商勢必會損耗用戶的信任,對企業發展帶來不利影響。因此,註重APP隱私文本的合規性,對企業長遠發展具有至關重要的意義。
作者:上海蘭迪律師事務所孫良娟律師