通力法评 | 企业隐私政策的合规要点与最佳实践
作者:通力律师事务所 潘永建 | 李天航 | 邓梓珊
Key Points for Compliance and Best Practices of Privacy Policy
(Summary)
David Pan, Tianhang Li, Susan Deng
The CSL raises specific requirements on processing (collection, use, storage and sharing, hereinafter collectively referred to as “processing”) of personal information. A compliant privacy policy conveys the company’ good faith in processing personal information lawfully.
I. Key Points for Compliance
Privacy policy shall comply with relevant laws, regulations and ministry rules. Relevant provisions concerning personal information protection are found in a variety of laws and regulations. After the implementation of the CSL, the governmental authorities have taken actions to review the privacy policies of famous enterprises. This article sets out the key points of compliance regarding privacy policy based on applicable legal requirements and necessary formality elements as follows:
i. Contents
1. Explicitly state the type, scope and item of personal information collected and explain the purpose and methods of such collection.
2. Where personal information will be transmitted abroad, specify the purpose of such transmission, scope and types of the data transmitted, the country or region where the recipient is located.
3. Where commercial information will be distributed to personal information subjects, it shall be clarified.
4. Explicitly provide the technical measures and other necessary measures to ensure information security.
5. Delete the personal information collected in violation of applicable laws and regulations or relevant mutual agreement; correct the errors in the personal information collected or stored.
6. State remedial actions in case of an information incident where information has been or could be leaked or lost, as well as the means to inform users and report to the relevant authorities.
7. Provisions regarding consent by the information subject. Such provisions shall be drafted considering the channels and means through which users access the privacy policy and they shall ensure a complete review by users of such policy through technical means.
ii. Formality
1. Be concise and user-friendly.
2. Use enhanced notice.
3. User-oriented.
II. Best Practices
Elements of 7 Sections of a Best-practice Privacy Policy and Examples:
2018年6月1日是中国《网络安全法》正式生效实施一周年之日。为帮助企业清晰理解网安法下企业的责任与义务, 通力律师事务所网络安全与数据服务团队从6月1日起陆续推出《<网络安全法>实务30问》系列双语指引, 通过对法律规定的解读, 结合典型实践案例, 深度剖析企业的责任与义务, 助力企业合规经营, 有效防范风险。
本篇为《<网络安全法>实务30问》系列双语指引的第八篇, 简析隐私政策的合规要点与最佳实践, 以期为相关人士提供参考。
注: 《<网络安全法>实务30问》系列双语指引独家授权威科先行“网络安全合规模块”在线发布。
企业隐私政策的合规要点与最佳实践
《网络安全法》对于个人信息的收集、使用、保存、对外提供等一系列处理行为(以下简称“处理”)提出了明确要求。《网络安全法》第22条第3款规定, “网络产品、服务具有收集用户信息功能的, 其提供者应当向用户明示并取得同意”; 第41条第1款规定, “网络运营者收集、使用个人信息, 应当遵循合法、正当、必要的原则, 公开收集、使用规则, 明示收集、使用信息的目的、方式和范围, 并经被收集者同意。”不仅是《网络安全法》, 诸多法律法规规章都对个人信息的处理作出了规定。隐私政策是目前企业对个人信息处理向信息主体进行“明示”的常用方式之一, 其合法合规为企业处理收集的个人信息提供了保障。本文将对隐私政策合规要点和最佳实践进行分析, 供企业参考。
一、企业隐私政策的合规要点
隐私政策应当符合法律法规规章等对个人信息处理的要求。目前, 中国尚未有一部关于个人信息保护的综合性法律, 有关个人信息保护的内容散见于不同的法律、法规、规章中。在《网络安全法》施行之后, 2017年7月至9月, 中央网信办、工信部、公安部、国家标准委四部门联合开展“个人信息保护提升行动”, 其中“隐私条款专项工作”对新浪微博、淘宝、京东商城、支付宝、高德地图、百度地图、滴滴、航旅纵横、携程网等10款网络产品和服务的隐私条款进行评审, 并公布了评审结果。本文以相关法律要求为基础, 结合“隐私条款专项工作”的评审结果, 针对隐私政策的格式要件, 对合规要点总结如下:
(一) 企业隐私政策的主要内容
1. 明示收集个人信息的类型、范围和具体项目, 说明具体的使用方式和用途。前述内容应当遵循合法、正当、必要的原则, 并与实际情况相符。
2. 向境外提供个人信息的, 应当在隐私政策中说明数据出境的目的、范围、类型以及接收方所在的国家或地区。
3. 拟向个人信息主体发送商业性信息的, 包括但不限于向其固定电话、移动电话或者个人电子邮箱发送商业性电子信息, 以及向其住宅、交通工具等发送广告, 或者以电子信息方式向发送广告的, 应当在隐私政策中说明。
4. 明示为确保信息安全而采取的技术措施和其他必要措施。
5. 根据用户要求删除违反法律、行政法规或者双方约定收集、使用的个人信息, 更正收集、存储的有错误的个人信息。
6. 明确在发生或者可能发生信息泄露、丢失的情况时, 采取的补救措施, 以及企业将按照规定及时告知用户并向有关主管部门报告的做法。
7. 个人信息主体同意的条款。该条款宜结合用户获取隐私政策的途径、方式以及确保完整阅读的技术实现路径实施。
(二) 企业隐私政策的呈现形式
1. 尽量简洁、用户友好, 可使用图表帮助说明。“隐私政策专项工作”评审结果提出, 鼓励企业制定简洁、易懂的隐私政策, 帮助用户迅速找到关键信息。
2. 用户安装、注册、第一次使用前采取增强式告知, 提示关于个人信息收集的核心内容。增强式告知不是隐私政策的全部内容, 但浓缩了隐私政策的核心, 突出用户最关心的信息, 例如收集的个人信息范围、使用目的和使用主体等。2017年“隐私条款专项工作”结束后, 京东、支付宝等在其更新后的隐私政策使用了增强式告知, 并且展现形式可扩展收缩, 点击目录可以跳转到具体条款, 易于用户获取和阅读关键信息。
3. 以用户为中心, 提供“一站式”撤回和关闭授权, 在线访问、更正、删除用户个人信息, 在线注销账户等功能。主动区分核心功能和附加功能提供用户选择。
二、最佳实践
(一) 隐私政策要素
由于法律规定原则性较强, 对个人信息保护的具体要求需要企业根据自身情况予以细化落实。在法律强制性要求的基础上, 本文结合推荐性国家标准《信息安全技术 个人信息保护规范》(GB/T 35273—2017), 将隐私政策的最佳实践版本总结如下:
(二) 其他注意事项
1. 如隐私政策与会员/用户注册协议配合使用, 企业应将注册协议的阅读与同意作为会员/用户注册的必经程序。基于此, 企业的特殊需求可通过注册协议得以明确并起到约束用户的效果。
2. 如隐私政策单独使用的, 隐私政策则成为获取个人信息主体同意的唯一渠道。在此情形下, 企业宜采取技术措施确保个人信息主体在个人信息被收集前阅读了隐私政策, 如通过弹窗等形式展示隐私政策, 将隐私政策的阅读与同意作为浏览网页、使用服务的必经环节等。
《<网络安全法>实务30问》系列双语指引问题清单
联系人:
✎ 往期分享
通力法评 | 互联网信息服务提供者责任义务辨析
通力快讯 | 通力律师参加美国商会《网络安全法》合规系列研讨会并发表演讲
通力法评 | VPN使用与跨境联网的合规要点
通力法评 | 浅析网络运营者刑事责任
通力法评 | 企业使用企业微信的合规要点
通力法评 | 企业正确应对国家机关调取数据的实务分析
长按下图识别二维码关注我们
© 通力律师事务所
本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。如需转载或引用该等文章的任何内容, 请注明出处。