《个人信息告知同意指南》草案:拒绝刷脸支付应提供其他支付方式
近日,全国信息安全标准化技术委员会发布国家标准《信息安全技术 个人信息告知同意指南》征求意见稿,从告知内容、方式及征得个人信息主体同意收集、使用、对外提供个人信息的方式等方面对网络运营者加以规范。
南都记者注意到,征求意见稿要求,涉及到人脸等个人敏感信息时,个人信息控制者不仅应以显著方式——如张贴告示等向个人信息主体进行展示告知并承诺不会泄露个人信息,还应提供不收集个人信息的其他方案。
应区分个人信息处理的“同意”和其他同意
征求意见稿包括告知同意的适用情形、免于告知同意的情形、告知同意的基本原则、告知、同意等部分,并在附录中详细列举了未成年人、SDK(软件开发工具包)、个性化推荐,以及互联网金融、网上购物等场景下的具体情形。
其中“告知”的基本原则包括公开透明、逐一传达、同步实时、真实准确、具体明确、清晰易懂;根据不同的场景,告知方式可以采用弹窗、文字说明、短信、邮件、电话等。
南都记者注意到,征求意见稿要求,当告知的时间点和收集个人信息的时间点相差很大时,建议个人信息控制者在进一步收集个人信息之前再次告知。另一方面,个人信息控制者应当避免告知的频率过高,对个人信息主体造成不必要的打扰。
而个人信息控制者在设计同意机制时,需在同一页面展示告知内容和征得个人信息主体的同意,确保其清楚理解同意的内容。此外,个人信息控制者应将个人信息处理的同意与其它同意区分开来,不得将其隐匿在其它事项中(比如接受一般性的服务条款不构成同意个人信息处理)。
征求意见稿还提出,个人信息主体应该有变更或撤回同意的权利。如果个人信息主体无法变更或撤回,个人信息控制者需向个人信息主体解释造成这种情况的原因。
SDK采集信息应由宿主App代为告知用户
根据《中华人民共和国网络安全法》,网络运营者收集、使用个人信息,应当公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。也就是说,网络运营者有责任进行个人信息告知同意。
一般来说,个人信息告知同意条款会出现在隐私政策或首次使用App时弹出的个人信息收集使用规则中,内容更多提到的是因实现功能而收集、使用的个人信息类型、目的、方式和范围,一旦涉及第三方数据,表述通常较为模糊。
去年12月,南都个人信息保护研究中心发布的《个人信息安全年度报告2019》显示,100款App中仅有23%在隐私政策里详细披露了会向哪些第三方共享个人信息、以何种方式传送等,只有极少数App提到SDK的存在。
绝大多数App为了提高开发效率,会将某项功能交给第三方来开发,第三方服务提供商将服务封装为SDK供开发者使用。一些SDK仅作为功能性SDK存在,所采集的个人信息全部为宿主App控制;但有些也具备收集用户个人信息的能力。
对此,征求意见稿要求,只要SDK采集个人信息,就需要先向宿主App告知所采集的个人信息类型及采集使用的目的、范围等,然后由宿主App在SDK收集个人信息前向个人信息主体告知并应征得其同意。
除了SDK之外,征求意见稿还要求,个人信息控制者通过智能终端、API、IoT(物联网)设备、浏览器、传感器等自动采集个人信息的,或使用大数据、AI等技术分析、关联和生成个人信息的,均需告知收集、使用个人信息的类型、目的、方式和范围,并征得明示同意。
应允许用户拒绝在公共场合被收集信息
在附录部分,征求意见稿针对八个现实场景,就告知的内容和告知同意的方式给出了详细建议。
比如在网上购物场景下,App可以设置专门的“隐私”板块,集中展示政策与相关控制措施;在网络产品与服务的隐私权政策在变更时,还可以在适当位置展示隐私政策的历史版本,供用户随时访问。
随着智能设备的普及,人们已经迈入了万物互联的时代,许多家具电器都能连接到云,并通过手机对其进行控制。然而,有些设备可能没有屏幕或屏幕尺寸受限,比如体脂秤、音箱等,这种情况下该如何做到告知同意呢?
征求意见稿指出,智慧生活设备在注册到平台前,可通过与平台直接相连的App告知所收集的个人信息,并获得用户同意。比如运动健康设备可在提供运动健康服务的App上告知相关的个人信息处理并征得用户同意。
日前,人脸识别已经在道路、学校、商场等公共场合被广泛应用,但往往缺乏足够的告知同意。
因此,征求意见稿提出,个人信息控制者应以显著方式向个人信息主体进行展示告知,如在摄像头安装显著处张贴告示并承诺不会泄露个人信息主体的个人信息。
当个人信息主体拒绝在公共场所收集其个人信息时,征求意见稿建议相关公共场所提供不收集个人信息的选择方案,例如不参与分流安检的通道;不成为会员的购买方式;不通过人脸识别的支付方式等。