🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
上海习近平新疆鄂州父女瓜乌鲁木齐疫情H工口小学生赛高习明泽芊川一笑图包印尼排华
分类
社会娱乐国际人权科技经济其它
查看原文
其他

跨国公司遵守APP个人信息保护规则的五大要点

通力律师 2022-04-08

作者:通力律师事务所   杨迅


注: 本篇文章独家授权威科先行法律信息库发布, 欢迎微信个人用户转发; 未经许可, 微信公众号不得转载。

2015年1月25日, 国家互联网信息办公室、工业和信息化部、公安部、国家市场监管总局联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》(以下简称《公告》)。2019年11月28日四部门进一步发布了《App违法违规收集使用个人信息行为认定方法》(以下简称《个人信息保护认定方法》)。《公告》和《个人信息保护认定方法》详细地阐述了在APP 上收集和使用个人信息的不合规行为, 并为网络运营商遵守中国法律而实践其个人信息保护提供了指导。


参考这些关于收集和使用APP上个人信息的规则, 结合我们为跨国公司提供的服务, 我们总结了关于遵守APP个人信息保护规则的五大要点。



仅仅翻译GDPR下制定的隐私政策是不符合中国法律的


许多跨国公司都有基于通用数据保护条例(以下简称“GDPR”)的“全球”隐私政策, 并且修订该政策适用于中国的经营。当然, 这是一种合理的做法。然而, 值得注意的是, 尽管GDPR代表了个人信息保护的历史最高标准, 但是, 基于GDPR的隐私政策简单翻译可能不符合中国法律的要求, 原因如下: 


  • 在GDPR下的术语和机制与在中华人民共和国法律中是不同的。例如, 中华人民共和国法律中没有“个人信息控制人”的概念。使用GDPR中的术语和机制可能使隐私政策不够清晰, 从而不符合中国的法律要求; 

  • 汉语与英语或其他欧洲语言有很大的不同。直接翻译可能会造成用户难以理解或制造混淆, 因而违反中国个人信息保护法的清晰度要求。

  • 中国法律就经营APP和其他网络服务中的个人信息保护有一些特殊规定, 而这些规定是GDPR中所没有的, 例如, 包括向政府通报个人信息泄漏事件以及提供联络渠道等。



个人信息保护不仅仅包括隐私政策; 相反, 它关注的是应用程序的设计和操作


我们经常收到关于审查和修改隐私政策和用户协议的工作指示, 这些当然都是法律工作。然而, 重要的是值得注意, 个人信息保护不仅仅关乎隐私政策; App的设计和个人信息保护实践至少同等重要。考虑到中国人与西方人的思维方式不同, 对于那些开发了复杂的APP的跨国公司而言, 在中国, GDPR下可行的App的设计可能在中国不被视为合规的。设计及运作方面的主要漏洞包括:


  • 在收集个人资料的网页上, 没有明显的隐私政策链接; 

  • 缺乏清晰的指示, 让用户可以要求获得个人信息副本、删除或者更新他们的个人信息; 

  • 缺乏注销用户账户的功能。


请注意, 根据目标用户的认知程度, 确定“显而易见”和“清楚”的标准是不同的。然而, 一般来说, 需要通过连续四个链接访问隐私政策可能被认为是不明显或不清楚的。



个人信息保护政策和实践必须针对中国用户和中国市场进行制定


跨国公司通常在全球范围内运行IT系统和处理个人信息, 并在海外部署IT和后台办公室功能。当然, 这是一个有效的运作模型, 可以使个人信息价值最大化。在APP上收集和使用个人信息方面, 个人信息保护的政策和实践必须反映这种安排, 并使这种安排符合中国法律的要求。典型的漏洞包括:


  • 隐私政策是以欧洲为中心的方式编写的, 它详细阐述了向欧洲以外的个人信息出境, 但没有说明在中国收集的个人信息是否会输出到中国以外;

  • 用户举报资料泄漏或要求获取个人信息副本、删除或修改个人资料的联络电话号码为外国号码;

  • 负责回复用户举报或请求的隐私主管不会说中文。

 

外国开发的应用程序在多大程度上必须针对中国用户和中国市场进行定制, 这将取决于目标用户的成熟程度和相关应用程序的营销方式。



收集和使用个人信息的范围和目的必须足够清楚, 以使用户有决定是否同意的自由


知情同意, 无论根据GDPR还是中华人民共和国法律, 都是一项必要的个人信息保护要求。要求个人信息收集者明确告知个人信息收集的范围和目的。但是, 在GDPR中和在中华人民共和国法律中对透明度的实际要求是不同的 。


在描述收集的范围和目的时, 需要维持清晰性和灵活性之间的平衡。过于狭窄和过于具体的描述将导致App发生任何变化都将引发对现有隐私政策的修订, 并需要寻求对该修订的同意。相反, 过于模糊的描述可能不符合法律要求。以下描述经常出现在跨国公司的App隐私政策中, 而根据中国法律, 这些政策可能不够明确。


  • 未能向用户说明拒绝提供其个人资料的后果; 

  • 未明确界定收集范围, 而是使用“联络资料”、“健康状况资料”等总结性描述替代;

  • 未明确告知用户收集的目的, 仅说明收集某些个人信息是使用App服务所必需的;

  • 在收集资料的目的中加入未尽述的描述, 例如“所有合法用途”, 其没有就收集用户个人资料的目的向用户提供任何有价值的指引。 


特别是, 当一个App在全球范围内运行时, 不同的司法管辖区在收集和使用个人信息的方式和目的上的管制是不同的。转引外国司法管辖区的任何立法中定义的范围, 可能不被视为充分披露。



需要考虑设备ID、位置信息等其他描述用户行为的信息


根据GDPR, 个人信息被定义为“与已识别或可识别的自然人相关的任何信息”, 而欧洲有专门的立法来规范Cookie和其他非个人或机器的信息。我国法律没有专门针对Cookie的立法, 但个人信息的范围被广泛定义为包括描述个人行为的信息。因此, 在欧洲通常包含在Cookie政策中的机器信息(如不指向特定个人的设备代码、位置信息、查看历史等)的某些规则, 在中国可能需要在隐私政策中加以解决。



作者:


>


杨迅 

通力律师事务所


如您希望就相关问题进一步交流,请联系:


杨迅
+86 152 2182 2373
+86 21 3135 8799xun.yang@llinkslaw.com



往期分享


通力法评 | 新《密码法》对商用密码管理的变革

通力法评 | 从知识产权角度解读科创企业的“关键核心技术”要求

通力法评 | 知识产权角度解读科创企业的“独立持续经营能力”

通力法评 | 从案例看计算机软件侵权行为的认定与举证

通力法评 | 人工智能创造成果的法律保护

通力法评 | 点商标域名的注册——互联网时代品牌商标保护的新途径


长按下图识别二维码关注我们

© 通力律师事务所

本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。如需转载或引用该等文章的任何内容, 请注明出处。


点击“阅读原文”,直达通力官网了解更多资讯!

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存