Loading
2017-11-20 09:05:20
一、界定個(gè)人信息范圍應(yīng)當(dāng)有所側(cè)重
設(shè)計(jì)《隱私政策》時(shí),必然繞不開(kāi)“個(gè)人信息”的問(wèn)題。《網(wǎng)絡(luò)安全法》第七十六條對(duì)“個(gè)人信息”已經(jīng)明確規(guī)定是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息,包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等。需要注意的是,工業(yè)和信息化部出臺(tái)的《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》中將個(gè)人信息分為敏感信息和一般信息,其中敏感信息是指一旦遭到泄露或修改,會(huì)對(duì)標(biāo)識(shí)的個(gè)人信息主體造成不良影響的個(gè)人信息。鑒于敏感信息決定著網(wǎng)絡(luò)運(yùn)營(yíng)者取得用戶(hù)授權(quán)的方式、使用的限制、保管責(zé)任的大小等,《隱私政策》中對(duì)于敏感信息的定義切莫奉行“拿來(lái)主義”,隨意照抄他人條款,需要根據(jù)各自行業(yè)的特點(diǎn),重點(diǎn)進(jìn)行列舉,例如購(gòu)物類(lèi)的可以包括身份證號(hào)碼、手機(jī)號(hào)碼、銀行賬戶(hù)等,出行類(lèi)的可以包括行蹤軌跡、家庭住址等,醫(yī)療健康類(lèi)的可以包括基因、指紋、健康信息等。
當(dāng)然,為了避免“無(wú)用”信息全部放置于“個(gè)人信息”,不妨對(duì)信息作出負(fù)面清單的規(guī)定,比如:經(jīng)過(guò)匿名化處理后,使得個(gè)人信息無(wú)法被識(shí)別,且不能恢復(fù)原有信息的,則不屬于個(gè)人信息;其他無(wú)法識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的信息不屬于個(gè)人信息。
二、隱私政策的核心條款
筆者閱讀并解析了支付寶、高德等十大產(chǎn)品以及其他的產(chǎn)品或服務(wù)的隱私政策,歸納出隱私政策必備的核心條款主要如下六個(gè):
1、如何收集和使用個(gè)人信息;
2、如何共享、轉(zhuǎn)讓、公開(kāi)披露信息;
3、如何使用Cookie和同類(lèi)技術(shù);
4、如何保護(hù)和儲(chǔ)存?zhèn)€人信息;
5、如何管理個(gè)人信息;
6、未成年保護(hù)。
對(duì)于上述的六大核心條款,既有因《網(wǎng)絡(luò)安全法》提出的新要求,也有因監(jiān)管層高度重視的“老問(wèn)題”,對(duì)此,我們將逐一展開(kāi)分析:
1、告知具體的收集和使用方式
鑒于網(wǎng)絡(luò)運(yùn)營(yíng)者對(duì)于信息收集需求和使用的方式各不相同,無(wú)法在此一一例舉,建議遵循明確告知收集的相關(guān)操作路徑的方法,提升運(yùn)作的透明度,以滿足《網(wǎng)絡(luò)安全法》的“合法、正當(dāng)、必要”原則要求。
2、明確共享、轉(zhuǎn)讓的對(duì)象
將收集信息并同第三方共享是商業(yè)社會(huì)必不可少的情景,對(duì)于《網(wǎng)絡(luò)安全法》規(guī)定的“他人”應(yīng)做如何理解,可具體參考筆者發(fā)表的《從高德地圖的<隱私政策>看互聯(lián)網(wǎng)個(gè)人信息保護(hù)》(點(diǎn)擊文章名即可閱讀)一文。
3、對(duì)于cookie和相同技術(shù)的使用需說(shuō)明
Cookie(“小甜點(diǎn)”)這種服務(wù)器暫存在設(shè)備上的小數(shù)據(jù)文件,在實(shí)現(xiàn)自動(dòng)識(shí)別、輕松訪問(wèn)、判斷安全等功能的同時(shí),如同甜點(diǎn)一般獲得用戶(hù)和互聯(lián)網(wǎng)服務(wù)提供者的青睞,然而正如甜點(diǎn)吃多了也有風(fēng)險(xiǎn)一樣,Cookie卻也存在默默地大量記錄用戶(hù)身份、密碼等信息,容易造成個(gè)人信息泄露,且用戶(hù)對(duì)收集用途缺少知情和拒絕的權(quán)利,因此無(wú)論國(guó)內(nèi)外,Cookie的安全管理程度、是否有便捷明確的途徑授予用戶(hù)知情、選擇和拒絕的權(quán)利等諸如此類(lèi)問(wèn)題一向引起監(jiān)管層的高度重視。然而,一般來(lái)說(shuō),拒絕使用Cookie收集信息,又勢(shì)必會(huì)影響到用戶(hù)對(duì)產(chǎn)品或服務(wù)的體驗(yàn),目前大部分網(wǎng)絡(luò)運(yùn)營(yíng)者一般通過(guò)建議修改瀏覽器/賬戶(hù)的設(shè)置方式,或者是清除軟件內(nèi)保存的Cookie,來(lái)滿足用戶(hù)這一方面的安全需要和達(dá)到合規(guī)要求。同時(shí),為了使Cookie這種隱性收集技術(shù)變得透明化、公開(kāi)化,采取專(zhuān)章對(duì)Cookie的概念做出詳細(xì)解釋?zhuān)?duì)如何實(shí)現(xiàn)提升質(zhì)量、優(yōu)化體驗(yàn)進(jìn)行說(shuō)明,以及逐一列舉用途,成了較為普遍的做法。
4、從嚴(yán)保護(hù)和存儲(chǔ)個(gè)人信息
(1)保護(hù)措施需到位
大量的數(shù)據(jù)安全事件引起了各界的警覺(jué),為防止信息泄露、毀損、丟失,《網(wǎng)絡(luò)安全法》第四十三條明文規(guī)定必須采取技術(shù)措施和其他必要措施。現(xiàn)有網(wǎng)絡(luò)運(yùn)營(yíng)者在隱私政策中一般也對(duì)于傳輸加密技術(shù)、隔離保存技術(shù)、脫敏技術(shù)等常用的安全技術(shù)措施和使用規(guī)范制度、風(fēng)險(xiǎn)評(píng)估、培訓(xùn)制度等配套措施,予以詳細(xì)規(guī)定。但企業(yè)也需要量體裁衣,根據(jù)自身情況且可以做到的技術(shù)和制度措施,切不盲目標(biāo)示,吹噓夸大企業(yè)的能力,而引起行政處罰的后果。
(2)存儲(chǔ)和傳輸需從嚴(yán)
由于《網(wǎng)絡(luò)安全法》對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者,提出中國(guó)境內(nèi)收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)的強(qiáng)制性要求,而在關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者的范圍尚不明朗之前,對(duì)產(chǎn)品或服務(wù)的定性從嚴(yán)把握,直接強(qiáng)調(diào)“個(gè)人的信息放置在中國(guó)境內(nèi)的服務(wù)器存儲(chǔ)和使用”似乎達(dá)成了共識(shí)。
當(dāng)然,對(duì)于個(gè)人信息的跨境轉(zhuǎn)移問(wèn)題,除了諸如人口健康信息、征信信息、金融信息已經(jīng)明確禁止外,對(duì)于其他的信息,目前尚未有明文禁令,但也沒(méi)有明確許可。如企業(yè)確有跨國(guó)傳輸之需要,除查明相關(guān)的法律法規(guī)之外,則可考慮在協(xié)議中增加諸如“需要跨境傳輸服務(wù)時(shí),運(yùn)營(yíng)方會(huì)默認(rèn)為繼續(xù)使用中國(guó)境內(nèi)的服務(wù)器”,“如果涉及向境外傳輸個(gè)人信息的,將明確告知用戶(hù)的出境目的、接收方、安全保障措施等,并另外征得用戶(hù)的同意”的規(guī)定,以符合我國(guó)日益趨嚴(yán)的監(jiān)管要求。
5、應(yīng)還權(quán)用戶(hù),賦予“被遺忘”的權(quán)利
“注冊(cè)容易撤銷(xiāo)難”是用戶(hù)在使用產(chǎn)品或接受服務(wù)時(shí)普遍面臨的問(wèn)題,其實(shí)質(zhì)是對(duì)于用戶(hù)對(duì)數(shù)據(jù)的處分權(quán)的侵犯。為此,在隱私政策的設(shè)計(jì)和修改時(shí),應(yīng)還權(quán)于用戶(hù),使用戶(hù)對(duì)其個(gè)人信息擁有一定程度的控制力。筆者建議,明確列出用戶(hù)的權(quán)限,尤其是刪除權(quán)、撤銷(xiāo)權(quán)、注銷(xiāo)權(quán)這三項(xiàng)權(quán)利需要做出更加細(xì)致的說(shuō)明、操作指引,比如滴滴明確規(guī)定用戶(hù)可以通過(guò)說(shuō)明退訂的方式、通過(guò)設(shè)備功能開(kāi)關(guān)、解除銀行卡綁定等方式撤回授權(quán);支付寶則指出了注銷(xiāo)操作路徑;京東考慮到了賬戶(hù)注銷(xiāo)行為是不可逆的,給予了30日的后悔期。
6、對(duì)于未成年的信息保護(hù)需更加重視
近年來(lái),未成年的隱私保護(hù)這一“老問(wèn)題”次次被提及,乃至上升到了立法層面(2016年12月公布《未成年人網(wǎng)絡(luò)保護(hù)條例(草案征求意見(jiàn)稿)》。因此,在對(duì)未成年信息保護(hù)日益重要的今天,網(wǎng)絡(luò)運(yùn)營(yíng)者對(duì)于未成年尤其是14周歲以下的未成年的個(gè)人信息的收集和使用,建議經(jīng)父母或監(jiān)護(hù)人同意或授權(quán),如需共享、轉(zhuǎn)讓或披露,則建議限制在法律法規(guī)允許、父母或監(jiān)護(hù)人明確同意或單獨(dú)授權(quán)、保護(hù)未成年人所必要的情況下進(jìn)行。
三、結(jié)語(yǔ)
用戶(hù)在使用APP產(chǎn)品或接受網(wǎng)絡(luò)服務(wù)時(shí),一般選擇忽略對(duì)隱私政策的閱讀,這既有用戶(hù)無(wú)權(quán)選擇不同意的原因,也有隱私政策篇幅冗長(zhǎng)、專(zhuān)業(yè)術(shù)語(yǔ)晦澀難懂的問(wèn)題。如何提供一份完備、合規(guī)同時(shí)清晰、易懂的隱私條款,是值得網(wǎng)絡(luò)服務(wù)提供者進(jìn)一步思考的問(wèn)題。至于制定了一份合格的隱私條款后,對(duì)用戶(hù)個(gè)人信息的收集、存儲(chǔ)和使用,是在注冊(cè)時(shí)對(duì)《隱私政策》“一攬子”同意即可,還是必須要實(shí)時(shí)的通知和同意,這一問(wèn)題則需司法予以檢驗(yàn)。