查看原文
其他

漫谈游戏 | 漫谈个人信息保护法

曾祥欣 知识产权那点事 2022-11-17


自《个人信息保护法》(以下简称个保法)生效已一月有余,在各类解读高频率的推送下,想必各位读者朋友对个保法的主要要点已经十分熟悉。而笔者也在同专家、同行的交流中有了许多宝贵的收获,更在对于各家互联网产品的观察中产生了一些有趣的想法。在本期专栏中,就由笔者围绕着个保法中几个值得关注的点,再与各位读者朋友们唠叨唠叨。


一、最后的狂欢与狂欢后的欢脱


让我们把时间拨到去年十月底,彼时《个人信息保护法》的生效已近在眼前,此时打开包括网络游戏在内的各类APP,不免会弹出新版本的《隐私政策》希望你“阅读并同意”。但另一方面,再过不了多久,一年一度的“双十一”即将开幕。本不相关的两个要素碰撞在一起产生了一些奇妙的“化合反应”。10月27日起,各家网店的营销短信“狂潮”提前到来,为的就是在个保法生效前再任性一把。


根据新个保法第十三条第(一)项的规定,个人信息的处理应当取得个人的同意。而第(二)项的规定又将例外情形限定在了“履行个人作为一方当事人的合同所必需”的范围内。换言之,作为购物平台的商家,在履行完与用户的交易后,就无法未经用户同意使用其个人信息(电话号码)来发送信息了。也正因如此,许多商家选择了把双十一的促销短信提前至11月1日前发送。大概这就是个保法最后的狂欢。

本该如此的

但事实证明并非所有商家都具有如此的合规敏感度,在时间跨过11月1日0点后,营销短信仍然执着的不断飞向笔者的手机,直到双十一结束仍然没有要停下的迹象,手机短信界面一派“欢脱”的景象。


而据笔者所知,针对这些“欢脱”的个人信息处理者,已经有不少公众和律师选择在个保法生效后以个保法为法律依据对其发起诉讼。个保法的可诉性如何,不妨拭目以待。


那么,回到我们专栏的领域,游戏企业在个保法生效后向用户发送营销短信是否有违法风险?这应当根据电话号码来源的不同进行分析:


如果号码来自第三方渠道(例如个人信息贩卖者),那么毫无疑问也将违反个保法,理由与购物平台商家一致,这里就不再赘述。


如果号码来自人工或爬虫收集来的公开平台,亦会有违反个保法的风险,根据《个保法》第十三条第(六)项的规定,即便是处理他人自行公开的个人信息,也应当限定于“依照本法规定在合理的范围内”。主动公开个人的联系方式的目的或是寻求商业洽谈的机会、或是寻求特定事项的联络,但通常不包含寻求发送营销信息(吧?)。因此,违背自行公开目的显然不属于“合理范围”。


如果号码来自游戏已注册用户,且用户同意的隐私政策,且隐私政策中明确向用户告知了将会使用该号码向用户发送推广信息,且提供了用户关闭发送的有效手段。那么可以认为发送营销短信是基本符合个保法环境下个人信息的合规要求的。


二、老板们松了一口气?


在此前两次个保法的草案中,第十三条第二项的内容均仅有“为订立、履行个人作为一方当事人的合同所必需”一条。而在正式生效的个保法中,在该条后增加了“或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”的规定。这是否意味着用人单位可以基于该项的规定不受限制地收集和使用个人信息了呢?


答案显然是否定的,个保法对基于劳动关系进行的个人信息收集使用的例外情形是有严格限定的。首先,无需“告知—同意”不代表无需收集和使用规则,仍然应当有“依法制定的劳动规章制度”或“依法签订的集体合同”作为收集使用合法性来源。其次,收集和使用应当遵循必要性原则,即法条所述的“实施人力资源管理所必需”。


因此,对于正式生效的个保法,“老板”们不能因为第十三条第二项后半部分的加入而松了一口气,仍然建议尽快启动内部劳动规章制度的个人信息合规化,并基于岗位的重要性以及保密需求对不同岗位和密级的收集和使用进行合理的规定。


二、“虚晃一枪”的继承权


此前的文章中,笔者曾经提到,个保法草案二审稿在新增的四十九条规定了“自然人死亡的,本章规定的个人在个人信息处理活动中的权利,由其近亲属行使。”若此条能够在正式法律条文中实施,其意义将远超个人信息保护的范畴,或将成为虚拟财产继承制度松动的重要一步。


而在正式生效的个保法条文中第四十九条被修改为:“自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。”


修改后的第四十九条限定了近亲属就死者个人信息行使权利的前提条件(为了自身的合法、正当利益),也增加了“死者生前另有安排”这一例外情形,体现了立法者在对逝者的隐私、安宁以及近亲属权利保护间的再平衡。而对于在隐私政策中进行有关“继承”的相关约定是否能够被认定为第四十九条中的“另有安排”,仍然有待相关法律实践给我答案。


四、我们离个人信息合规还有多远


就在个保法生效的同一天,工信部开展了被称之为“524”行动的“信息通信服务感知提升行动”,行动不仅提出了优化隐私政策和权限调用以及APP开屏弹窗信息展示方式等有关个人信息保护的要求,还提出了建立已收集个人信息清单和与第三方共享个人信息清单的“双清单”的要求。从2021年11月至今,已有许多企业就“双清单”问题咨询过笔者,也有不少法务同学表示这“层层加码”的个人信息保护要求什么是个头?


笔者认为,个保法以及双清单要求的推出,已经给了我们管窥个人信息合规终点的线索。个保法框架下的个人信息合规,一方面要求企业充分的“自知”,不仅对自身游戏的各个模块、嵌入的SDK及其所需要的权限和个人信息有清晰的认识,也需要梳理用户曾经给出的授权,对目前告知和已取得的同意和授权有清晰的认识。另一方面要求企业从理念上重视用户的个人信息保护,尊重用户的个人信息权利,合理地取用个人信息及权限,并将这些信息以直观、易访问的方式嵌入程序的功能模块中,方便用户进行了解和管理,让用户感受到其个人信息权利得到了尊重与保护。


就在写完这段话的时候,笔者的脑中闪现过了一个词:“产品化思维”。如果将维护好用户的个人信息权益视为一款值得运营的产品,以产品化的思维对功能、模块的实现方式进行设计,争取以最小的权限和个人信息实现功能;另一方面,以更直观、便捷且符合用户使用习惯的方式向用户展示对其个人信息的使用,并同步配有便捷的同意与授权管理界面。使得个人信息保护这款“产品”与游戏产品一起优化和迭代,或许个人信息保护的尽头就在那里。



(本文为授权发布,仅代表作者观点,未经许可不得转载)


“星标”、“转发”、“在看”,给小编加鸡腿哦!

投稿请联系shipa@shipa.org


 近期热文 

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存