1、(一)“隐私政策”名称修正为“个人信息保护政策”个人信息与隐私是一对既有相同之处又有所区别的概念。根据网络安全法、个人信息安全保护规范等相关法律法规、标准的规定:个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份或反映特定自然人活动情况的各种信息。且通常情况下,涉及自然人隐私的信息属于个人敏感信息。而根据民法典人格权编(草案三次审议稿)第八百一十一条第二款规定,隐私是自然人不愿为他人知晓的私密空间、私密活动和私密信息等。举例而言,人们与友人的通信内容,当其不愿为其他人所知晓时,该等通信内容就既属于个人信息也属于隐私。隐私与个人信息的关系如下图所示:实践中大多数企
2、业会基于惯例将其所运营的产品/服务所配套的个人信息收集使用规则等命名为“隐私政策”,但也有部分企业基于个人信息与隐私概念的不同,采用“个人信息保护政策”(如新浪微博)或“个人信息保护及隐私政策”(如滴滴青桔平台)等表述。鉴此,这次新版个人信息安全规范的命名修正会对企业实践中使用更准确的“个人信息保护政策”起到倡导作用。同时,新版个人信息安全规范在考虑企业实践及对接相关监管要求的基础上也进一步明确,“组织会习惯性将个人信息保护政策命名为隐私政策或其他名称,其内容宜与个人信息保护政策内容保持一致。”(二)个人信息保护政策的授权同意展示与告知要求为充分保护个人信息主体的知情权和选择权,防范未经个人信
3、息主体同意收集使用其个人信息或强制个人信息主体同意等问题,新版个人信息安全规范从个人信息保护政策在产品/服务中的展示时机、多项业务功能下个人信息主体自主选择及个人信息保护政策的定性等方面对2017版个人信息安全规范进行了完善。1、新增个人信息主体在首次打开产品/服务等情形时的个人信息保护政策展示要求新版个人信息安全规范要求,在个人信息主体首次打开产品或服务、注册账户等情形时,宜通过弹窗等形式主动向其展示个人信息保护政策的主要或核心内容,帮助个人信息主体理解该产品或服务的个人信息处理范围和规则,并决定是否继续使用该产品或服务。新版个人信息安全规范附录C功能界面模板中,对于弹窗等形式展示的信息收集
4、说明已从原有的“向个人信息主体清晰展示收集个人敏感信息的目的、种类等”扩大为“向个人信息主体清晰展示收集个人信息的目的、种类等”。实践中,一些头部企业早已在个人信息安全规范修订征求意见的过程中进行了相应产品/服务更新,在用户首次启动产品/服务时,即以弹窗形式向用户展示个人信息保护政策的主要或核心内容,并为用户提供设备权限管理的交互界面,允许用户逐项选择是否授权,起到良好示范作用。以淘宝为例,在安装淘宝APP后,首次启动淘宝APP时,其就以弹窗形式向个人信息主体展示隐私权政策的主要内容,突出显示隐私权政策的全文链接以引导用户阅览,同时也为用户提供了不同意的退出按钮,具体如下:2、新增多项业务功能
5、的个人信息收集使用告知要求新版个人信息安全规范规定,当“产品或服务提供多项收集、使用个人信息的业务功能的,除个人信息保护政策外,个人信息控制者宜在实际开始收集特定个人信息时,向个人信息主体提供收集、使用该个人信息的目的、方式和范围,以便个人信息主体在作出具体的授权同意前,能充分考虑对其的具体影响。”并且,个人信息主体不授权同意使用、关闭或退出特定业务功能的,不应暂停个人信息主体自主选择使用的其他业务功能,或降低其他业务功能的服务质量。早在2018年6月28日,美国加州州长批准的加州消费者隐私法案(“CCPA”)中就提出了禁止因个人信息主体履行其合法权益而对其提供歧视性的服务,其明确规定,企业不
6、得因消费者行使其访问权、删除权、选择不出售其个人信息等权利,而拒绝向消费者提供商品或服务,或对商品或服务收取不同的价格或费率,或向消费者提供不同水平或质量的商品或服务,除非该等差异是合理的。而新版个人信息安全规范的修订,显然进一步与国际规则对接,并可以更为有效地保障个人信息主体的自主选择权等合法权益。自2017版个人信息安全规范实施以来,目前大部分企业均已在个人信息保护政策中分别向用户告知所提供产品/服务的核心业务功能(基本业务功能)及附加业务功能(扩展业务功能)所需收集的个人信息及拒绝提供或拒绝同意将带来的影响。以京东为例,其在京东隐私政策(版本更新日期:2019年12月9日)2中对应产品/
7、服务的核心功能和扩展功能所必须收集和使用的个人信息,将其区分为 “您(用户)须授权我们收集和使用您个人信息的情形”、“您可自主选择提供的个人信息的情形”,分别向用户予以阐明并告知拒绝提供或拒绝同意所带来的相应影响。3、新增个人信息汇聚融合的告知要求国内外互联网产品和服务实践中,将同一主体的不同产品或不同业务功能间收集的个人信息进行汇聚融合,将会造成个人信息的滥用,比如Facebook收购WhatsApp后修改了WhatsApp隐私政策,允许WhatsApp与母公司Facebook共享用户电话号码等信息就备受指责而最终取消。有鉴于此,新版个人信息安全规范明确基于不同业务目所收集个人信息的汇聚融合
8、也需要遵从个人信息使用的目的限制,且如所收集的个人信息进行加工处理而产生的信息,能够单独或与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,应将其认定为个人信息,对其处理应遵循收集个人信息时获得的授权同意范围。加工处理而产生的个人信息属于个人敏感信息的,对其处理需符合对个人敏感信息的要求。目前国内大型互联网公司已经注意到这一问题,通过账号体系注册要求及相关产品的隐私政策,向个人信息主体予以说明以获得必要授权。以京东金融为例,京东金融隐私政策(版本更新日期:2020年4月16日)3中明确,为便于用户基于统一账号体系的统一管理、系统和账号的安全保障等目的,在京东金融运营方(京东数字科技
9、控股有限公司)及其管理方之间进行必要共享、关联,且该等共享受京东金融隐私政策所声明的约束。4、新增个人生物识别信息收集使用的授权同意要求随着生物识别技术的发展,人脸、指纹、声纹等个人生物识别数据用于监控、身份识别甚至社交娱乐功能开始在商业中部署和应用。为强调对个人生物识别信息的更严格的授权同意和保护要求,新版个人信息安全规范明确要求,收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。个人生物识别信息原则上不应共享、转让。因业务需要,确需共享、转让的,应单独向个人信息主体告知目的、涉及的个人生物识别信息
10、类型、数据接收方的具体身份和数据安全能力等,并征得个人信息主体的明示同意。目前,大部分企业对于个人生物识别信息的收集和使用采用比较审慎的态度,对于如人脸、指纹等信息的采集和存储均由用户授权验证的设备进行,而不会上传至企业服务器中。以广发银行为例,其在广发银行电子银行隐私政策(版本更新时间:2020年2月28日)中明确向用户说明了个人生物识别信息的使用场景、目的及用户开启或关闭相关业务功能的路径等。以广发银行APP中的指纹登录/支付功能的开通为例,其允许用户对指纹登录、指纹支付功能逐项进行授权管理,并配套广发银行用户生物特征识别服务协议,再次明确双方在相应生物识别服务场景下的权利、义务及责任等。
11、5、修改了“征得授权同意的例外”新版个人信息安全规范在2017版个人信息安全规范的基础上充分吸收借鉴欧盟一般数据保护条例个人信息处理六大合法事由4的规定,对标准第5.6条“征得授权同意的例外”及第9.5条“共享、转让、公开披露个人信息时事先征得授权同意的例外”进行了修订,增加 “与个人信息控制者履行法律法规规定的义务相关的”授权同意例外情形。同时,为避免企业将个人信息保护政策定性为合同从而滥用“根据个人信息主体要求签订和履行合同所必需的”授权同意例外,新版个人信息安全规范明确,“个人信息保护政策的主要功能为公开个人信息控制者收集、使用个人信息范围和规则,不宜将其视为合同。(三)个人信息保护政策
12、体例调整新版个人信息安全规范在附录C中明确了对于基本业务功能与扩展业务功能的划分方法,并强调对于无需一次性全部开启的基本业务功能,宜根据个人信息主体的具体使用行为逐步开启基本业务功能,并在基本业务功能开启前通过交互界面或设计向个人信息主体告知基本业务功能所必要收集的个人信息类型,以及个人信息主体拒绝提供或拒绝同意收集将造成的影响,并通过个人信息主体对信息收集主动作出肯定性动作。对于扩展业务功能,则要求在扩展业务功能首次使用前,应通过交互界面或设计向个人信息主体逐一告知所提供扩展业务功能及所必要收集的个人信息,并允许个人信息主体对扩展业务功能逐项选择同意。鉴此,为满足上述要求,并帮助个人信息主体
13、更为清晰便捷的了解每项业务功能所对应的个人信息收集、使用、委托处理、共享、转让、公开披露的情况,更好保障其知情权和选择权,附录D中个人信息保护政策模板的编写体系调整为以业务功能为基准,详述每项业务功能所对应的个人信息收集使用的规则,该项业务功能通过APP客户端提供时所必须申请的系统权限及拒绝授权的影响等;并将“个人信息的共享、转让和公开披露规则”由专章编写合并至每项业务功能的“个人信息收集使用规则”项下;同时,在个人信息收集使用规则中新增“委托处理”个人信息情形的披露,向个人信息主体说明该项业务是否需要委托处理个人信息,委托处理的原因、对受托方的约束等。基于前述编写体系,不论个人信息控制者或其
14、授权第三方使用自动数据收集工具收集个人信息,均可纳入前述个人信息收集使用规则中,个人信息保护政策模板中不再保留关于使用COOKIE和同类技术的相关条款内容。体例调整可谓是本次个人信息保护政策的一大亮点,但具体落地还需拭目以待。我们初步分析可能存在两个难点:首先,新版个人信息安全规范通过附录C交互式功能界面模板对“分阶段、分窗口、分屏幕”向个人信息主体清晰展示收集个人信息的目的、种类等,并“分情形”征得个人信息主体同意做出了很好的范例。可惜的是,这种交互功能界面的设计可以说是个人信息安全工程的典型示例,需要产品、技术和数据合规多个团队的梳理与配合,并非法务工作者一力可以实现,目前尚未看到对此体例
15、采纳的典型范例。其次,每项业务功能下的收集使用规则,共享、转让和公开披露规则很可能重合,如何清晰表达而又不显臃肿,也是考验法务团队的智慧与文笔的难点。(四)共同控制者的披露要求共同控制者,尤其是第三方嵌入SDK以用户无感知的情形共享个人信息,是APP违法违规收集使用个人信息专项治理活动中的重点监管事项之一,该治理成果也在新版个人信息安全规范中体现。App违法违规收集使用个人信息行为认定方法规定,“未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等”可被认定为“未明示收集使用个人信息的目的、方式和范围”。在2019年底APP专项治理工作组发布的关于6
16、1款App存在收集使用个人信息问题的通告中,链家、招商银行掌上生活、微贷网、搜狗浏览器、有道云笔记等数十款APP即因未满足上述监管要求而被通报。2020年3月下旬,天津市委网信办发布的天津市疫情防控App专项治理情况通报(第二期)中,国金圈、朴新网校、阳光e管家物业等三款软件也因未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等被通报。在结合上述执法实践和监管规则的基础上,新版个人信息安全规范规定要求应在个人信息保护政策中明确向个人信息主体告知第三方身份及各方在个人信息安全方面的责任和义务, 如未向个人信息主体明确告知第三方身份,以及在个人信息安全
17、方面自身和第三方应分别承担的责任和义务,个人信息控制者应承担因第三方引起的个人信息安全责任。在个人信息保护政策的模板示例中,有关个人信息如何共享的章节,建议以超链的形式向个人信息主体披露不同共享情形中目前涉及的公司、组织和个人。目前,头部互联网企业对产品中部署第三方SDK、插件大多在个人信息保护政策的“如何共享个人信息”的章节说明SDK收集的个人信息的目的、方式及范围、相应第三方机的身份,并要求与之共享个人信息的公司、组织和个人按照其协议、个人信息保护政策的要求保密和安全措施处理个人信息。以京东金融为例,其对第三方对共享的个人信息的使用限制、安全保障及针对基于Andriod版本京东金融APP与
18、IOS版本京东金融APP的业务功能存在的差异,对Andriod版本京东金融APP与IOS版本京东金融APP各自嵌入第三方代码、插件传输个人信息的情形、相应个人信息字段及第三方机构名称的逐项列举。以苏宁易购为例,则对嵌入第三方代码、插件传输个人信息的场景、个人信息类型、个人信息字段、第三方机构名称及链接、数据是否去标识化传输等进行了逐项列举。(五)个人信息保护政策的其他细节修订1、个人信息控制者基本情况将个人信息控制者基本情况的列举由“注册名称、注册地址、常用办公地点和相关负责人的联系方式等”修改为“主体身份、联系方式”,更具实操性,且为自然人作为产品运营者时的个人信息控制者基本情况的公示进行了
19、指引;2、用户的措辞将涉及“用户”的条款表述统一修正为“个人信息主体”,用词更为精准,并将用户与个人信息主体不一致的情形囊括在内;3、二次身份验证个人信息保护政策模板中针对个人信息主体权利新增编写要求,如果个人信息主体行使权利的过程需要再次验证身份,需明确说明验证身份的原因,并采取适当的控制措施,避免验证身份过程中造成的个人信息泄露。4、新增无法响应个人信息主体请求的情形在无法响应个人信息主体权利请求的情形中新增“与个人信息控制者履行法律法规规定的义务相关的”与“出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的”。5、双方责任披露对共享、转让、公开披露个人信息等场
20、景下的责任披露,由“对外共享、转让、公开披露个人信息的目的、涉及的个人信息类型、接收个人信息的第三方类型,以及所承担的相应法律责任”修改为“对外共享、转让、公开披露个人信息的目的、涉及的个人信息类型、接收个人信息的第三方类型,以及各自的安全和法律责任”,强调需要在隐私政策中披露这些场景下各自均负有的安全和法律责任。6、保障个人信息主体注销权账号注销难一直是个人信息主体权利保障中的难点问题。仅在2019年12月20日,App专项治理工作组公布的关于61款App存在收集使用个人信息问题的通告中,就有30多款APP涉及设置要求提供手持身份证照片等不合理条件、未提供账号注销功能,未提供账号注销的有效路
21、径等问题,其中不乏如腾讯课题、有道云笔记、搜狗浏览器等由头部企业运营的产品。新版个人信息安全规范在账户注销申请的响应实践监管要求。因此,企业在制定和完善个人信息保护政策的过程中,若约定以电子邮件等人工客服响应方式为个人信息主体提供注销服务的,响应时限应不超过15个工作日,不应再约定为三十天内;同时,不应在个人信息保护政策中约定账户注销的不合理条件或额外增加个人信息主体义务的要求。对于同一个人信息控制者所运营的不同产品/服务间使用的统一账户的注销,应在个人信息保护政策中为个人信息主体提供切断账户体系与相应产品/服务的关联的路径;若一旦注销将会导致其他产品或服务的必要业务功能无法实现或者服务质量明
22、显下降的,需在个人信息保护政策中向个人信息主体进行详细说明。例如,苏宁易购在苏宁易购隐私政策(版本:2019年10月29日)5中告知用户注销账户的路径。此外还在苏宁账户注销须知6中进一步向用户说明其注销账户的方式、应满足的条件及注销账户的影响(包括将无法再使用苏宁易购账号登录并享受通过苏宁易购账号授权登录的苏宁易购相关或第三方的网站及APP服务等)。二、对隐私政策监管与指导的域外实践从第一部分的介绍中我们可以充分感受到,作为国家推荐标准的个人信息安全规范从2017年第一版发布之日,就已经将个人信息保护要求落地到企业执行和政府监管的实操层面,把对企业个人信息保护的教育实务和指导作为首要任务,随后
23、每一版本的更新均将个人信息保护要求落地在隐私政策的撰写实务中,认真梳理企业披露个人信息的规则保证用户的知情权。我们再把目光投向个人信息保护先进区域代表欧盟和美国,看看他们对隐私政策的指导有哪些良好实践值得借鉴。(一)欧盟以个人信息保护最全面和严格著称的欧盟一般数据保护条例自2016年发布以来,原第29条工作小组和现欧洲数据保护委员会发布了大量的指南指引或者示范合同,但对隐私政策的编写要求鲜见指导。在与隐私政策关系最密切的同意指南7中,提出了两点要求,一是要求控制者使用清晰明了的语言寻求同意,而不能使用难以理解的长篇隐私政策或充满法律术语的语句,同意必须与其他事项清楚和区分,并以易懂易访问的形式
24、提供。二是强调控制者要在2018年5月25日之前详细审查当前的工作过程和记录,以确保现有的同意符合GDPR标准,特别是GDPR前言第171项。GDPR在实施同意机制方面提高了标准,并引入了一些新的要求,要求控制者改变同意机制,而不是仅仅重写隐私政策。在欧盟各国的具体实践中,我们也看到有些国家的行业组织会以指导文件的形式发布个人数据使用的模板,例如英国的保险行业协会在2018年发布文件指导保险市场信息通知如何做8,建议企业在实务中参考或者直接以链接的形式在自己的隐私政策引用。这份文件在简介保险市场如何运作的背景后,说明我们可能收集的你的资料,我们可能从何处收集你的资料;数据控制者和数据保护联系人
25、;我们处理你的个人信息的目的、类别、法律依据和联系人;同意;分析;个人信息的保留;国际转移;你在英国个人信息保护机构ICO的权利和ICO联系方式。这样的行业指导性文件对本行业个人信息保护有针对性和指导意义。(二)美国美国的个人信息保护实践以2018年发布并于2020年实施的加利福尼亚州消费者隐私保护法案为代表,这个法案以消费者的个人信息保护为视角,从“原则上允许,有条件禁止”的角度做出规定,在第1798.110节从收集消费者个人信息的企业,第1798.115节从出售消费者个人信息或者为商业目的披露消费者信息的企业的不同角度,列示应向消费者披露的信息内容,但也仅限于法条的概括性介绍。其实早在20
26、13年2月,美国联邦贸易委员会以员工报告(Staff Report)的形式发布了一份关注移动应用生态领域的透明度的指导报告,对应用平台、应用程序开发者、广告网络和第三方以及行业协会均提出了详细的建议。这份文件对应用程序开发者提出了起草隐私政策的要求,更重要的是对应用平台提出了他们作为移动空间“守门人”肩负着连接消费者与应用程序的中介任务,应用平台负有责任在隐私方面教育和指导应用程序开发人员,建议通过合同要求开发人员进行隐私披露以及合理地执行这些要求,应当肩负起在向消费者提供应用程序之前的审核,以及在应用程序发布后进一步审核的责任。历经八年的应用平台发展,美国两大主流应用市场APP Store和
27、Google Play已经在对开发者审核中的数据与隐私保护审核有了比较多的管理经验,可以说由这两大平台起到了隐私政策落地的指导和教育作用。苹果应用审核指南第五部分法律以专门章节说明隐私要求,包括数据收集和存储,数据的使用和共享,有关健康、儿童和位置数据的特殊管理要求。平台要求开发者应上传隐私政策,且必须明确而清楚地指明 app/服务所收集的数据 (若有)、收集数据的方式,以及这些数据的所有用途。确认与 app 共享用户数据 (遵从这些准则) 的任何第三方 (例如,分析工具、广告网络和第三方 SDK,以及能够访问用户数据的任何母公司、子公司或其他相关实体) 会提供与 app 隐私政策所述及这些准
28、则所要求相同或等同的用户数据保护措施。解释数据保留/删除政策,并且说明用户可以如何撤销同意和/或请求删除用户数据。GooglePlay市场的开发者政策中隐私权、安全性和欺骗行为专章阐述用户数据保,不仅进行应用发布的准入审核,还在应用发布后持续监督,如发现对用户数据的保护不符的行为立刻下架整改。在准入层面上开发者政策要求(1)在 Play 管理中心内的指定字段以及应用内明示隐私权政策;(2)隐私权政策(以及任何形式的应用内披露声明)必须详尽地说明应用如何访问、收集、使用和分享用户数据;(3)隐私权政策必须披露应用将会访问、收集、使用和分享哪些类型的个人和敏感数据,以及用户的个人或敏感数据的分享对
29、象类型;(4)以安全的方式处理用户的所有个人或敏感数据,包括在数据传输方面采用新型加密技术(例如通过 HTTPS);(4) 在访问由 Android 权限把关的数据之前,应尽可能使用运行时权限请求;(5)不得出售用户的个人或敏感数据。GooglePlay还对某些用户不会预期到的个人数据的使用提出了“显著”应用内声明披露的要求,此时征求用户同意必须满足:征求同意的对话框必须以清楚明确的方式呈现;必须要求用户执行明确的确认操作(例如点按接受、勾选复选框);不得将用户离开披露声明页面的操作(包括点按其他位置离开或者按返回或主屏幕按钮)视为同意;并且不得使用会自动关闭或设有期限的消息。这与中国特殊场景下(例如生物识别信息收集、
