查看原文
其他

对四部委”隐私条款专项工作”的两点想法

洪延青 网安寻路人 2020-02-27

7月26日上午,中央网信办、工信部、公安部、国家标准委等四部门联合召开“个人信息保护提升行动”启动暨专家工作组成立会议,启动隐私条款专项工作,首批将对微信、淘宝等十款网络产品和服务的隐私条款进行评审。新华社对此作了报道


对此行动,我双手支持。而且我自己的理解是:“个人信息保护提升行动”旨在落实《网络安全法》等法律法规对个人信息保护的要求。行动之所以选取隐私条款切入个人信息保护工作,很重要的原因之一是《网络安全法》对隐私条款提出了明确的要求。例如,《网络安全法》第22条第3款要求,“网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意”;第41条第1款要求,“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”


行动选取隐私条款作为第一期工作重点的另外一个重要原因,是为了贯彻落实习总书记提出的“网络安全为人民”的重要思想。隐私条款是我们普通老百姓了解产品或服务关于个人信息收集、使用等行为的窗口,是老百姓行使选择同意权利的渠道。本着从“网络安全为人民”的精神,网络运营者理应按照法律的要求,规范隐私条款的内容、展现形式和位置,以及通过隐私条款取得用户同意的方式。


与此同时,有一些专家学者提出,对隐私条款开展专项工作,真的是提升个人信息保护的有效途径吗?这些专家学者提出的理由主要集中在以下两个大方面:首先,隐私政策篇幅太长,根本没有用户会去读,所以继续加强隐私政策,没有太大意义。欧盟的《通用数据保护条例》(GDPR)继续加强了告知,根本就是徒劳无功,是错误的道路。


其次,对隐私条款的专项工作,针对的就是收集环节,与前一点相关,在大数据、万物互联的时代,管控个人信息的收集根本不可能,个人信息无时无刻、无处不在地被收集,收集环节根本控制不住了而且不可避免,精力应该放在管控个人信息的使用环节上。


对上述两点,我想做一点反驳,权当与上述专家学者的商榷,也供各位批判。


告知如何有意义地加强


首先,这是我国现行法律的明确要求,无论是2012年《全国人大常委会关于加强网络信息保护的决定》、2013年《消费者权益保护法》,还是现在的《网络安全法》坚持将个人同意当成个人信息控制者得以收集、使用个人信息的主要正当事由。同意显然必需是用户真实意愿的表达,为了确保这一点,告知成为非常必要的步骤。对此,我国法律基本采用了“明示”这样的表述。


当然,学者可以提出:我国法律错了,“告知—同意”这个框架早在国内外的实践中宣布破产了,一是隐私政策又臭又长,二是根本没人读,用户迫切想使用产品或服务,恨不得直接点“同意”或“下一步”,根本不会去读。与此观点商榷,可能需要不只一篇学术文章的篇幅,在这个短短的公号文章中,我仅提出自己的观点,论证从略。


其实核心想法很简单:现在现实情况大概是这些学者说的这个样子,但是这个样子就一定是对的吗?具体说来,既然都说个人信息能够识别到我们个人,能够反映我们的思想、观点、偏好、行动等,难道我们个人就不关心自己的个人信息被如何收集、使用吗?换句话说,现在个人表现出来的“不关心”,是因为隐私政策的内容、展现没有做好,没有做到对用户友好,还是个人真的不关心?如果是后者,那真正的原因有没有可能是个人没有真正地意识到个人信息对自己的价值?


在我看来,专项工作中指的“隐私条款”,其实至少应该包含以下几个方面:


一是隐私政策,也就是privacy policy,一个文本完整、清晰地描述个人信息控制者收集、保存、使用、对外提供个人信息的实践。这个文本可能很长,因此经常被诟病,但是长文本有长文本的好处。因为隐私政策的读者可不只是用户而已。事实上,除了用户外,监管部门、学者、记者、消费者保护团体等,都关注、研究隐私政策。总的说来, 隐私条款是网络运营者对其所开展的收集、保存、使用、共享、转让等个人信息处理行为的公开声明,既是对用户的法律承诺,也是对网络运营者开展执法和社会监督的重要依据。我个人认为还是应该要详细、完整,毕竟隐私政策实际上承当了很多角色。


二是安装、注册、第一次使用前的增强式告知,enhanced privacy notice。由于隐私政策文本确实会比较长。那能不能在最开始向用户展示一个简洁、精炼的隐私告知?这个隐私告知,浓缩了隐私政策的核心内容,或者突出展示了用户最关心的信息,例如收集了我哪些信息,这些信息将会提供给谁等,然后在这个增强式的隐私告知再提供一个链接,链到完整的隐私政策文本。这样做的好处就是,即便用户没有阅读隐私政策文本,但是通过增强式的隐私告知,能够大概了解到隐私政策的主要、核心内容,了解到关系到自己的个人信息风险较高的处理行为,通过一屏或两屏在用户开始使用前做个集中展示;如果激起了用户的兴趣,用户可以通过点击链接,阅读到隐私政策的完整版本。实际上,不少APP已经做到了这点。


三是针对个人敏感信息的二次授权前的告知。个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。通常来说,咱们的隐私信息属于个人敏感信息。那么这些个人敏感信息在收集、使用,或者向他人提供(包括共享、转让、公开披露)前,需要再一次提醒用户,因为这样的信息对用户有着重大意义。因此从用户角度出发,对个人敏感信息的处理行为,不应该仅仅埋没于隐私政策的文字中,而是应该突出、凸显出来,征得用户的同意。我想这是体现许多互联网企业提出的“以用户为中心”理念的一个非常好的渠道。其实,很多互联网企业也已经这么做了。


除了这三种形式,我国一个非常特殊的情况是,平台式的APP非常普遍,国外更多的是单一功能类的APP。平台式的APP必然要集合很多其他功能。这些功能可能会遵守同一份隐私政策,也可能各自有自己的一些特殊规定。那能不能在用户点开了这些附加功能的时候,弹出一次告知,有针对性地告知用户,这个附加功能将对个人信息做出哪些与统一的隐私政策不同的处理?


所以,告知这个动作,不仅仅是通过长长的隐私政策文本的告知,现实中可以有多种多样的路径。如果我们的企业真的秉持“以用户为中心”的理念,那能不能再多发挥一点创造性,让我们普通用户也能真切地感受到产品或服务的真诚和温度?


真的应该放弃对收集环节的控制吗?


对这个问题的直接反应也一样:现在现实情况大概是这些学者说的这个样子,越来越多的个人信息被越来越多的组织以越来越多的方式、途径所收集,但这是否意味着收集这个环节,我们就应该放弃控制了?


这是典型的技术逻辑至上、增长至上的体现。而且有意思的是,几乎所有的学者都认为对人工智能的发展,应该通过伦理、法律的力量对其加以驯化。但是对个人信息的收集,就有不少学者完全遵循所谓的技术逻辑,鼓吹收集阶段不该控制了,而且也控制不住。


实际上,这个争论不是今天才发生。稍微对个人信息保护有所了解的朋友,一定知道OECD在1980发布过“OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data”。这个指南非常权威。在进入2000年后,OECD希望根据时代、技术发展的特点,更新这个指南。OECD召集了很多专家,在研讨的过程中,也有专家提出,1980年的指南对收集环节有要求,但是不是适合将来的发展,需要重新评估,甚至该取消就取消。但是经过争论,专家们取得共识,个人信息的收集还是需要管控,因此,在2013年发布更新后的“2013 OECD Privacy Guidelines”中,还是将“收集限制原则”放在了个人信息保护八大原则之首。【收集限制原则是这么说的:“There should be limits to the collection of personal data and any such data should be obtained by lawful and fair means and, where appropriate, with the knowledge or consent of the data subject.”】


另外一方面,大家通常认为,美国人对个人信息保护比较不在意,因此互联网在美国发展迅速,欧洲人对个人信息保护太过于在意,因此欧洲基本没有像样的互联网企业。也许这样直观的感受,有一些道理在其中。但是现实情况的复杂程度远远超过了上述简单的对比。


以美国联邦通信委员会FCC制定的“宽带服务提供商隐私保护规则”(Protecting the Privacy of Customers of Broadband and Other Telecommunications Services )为例。在这个规则中,确立了一个框架:个人敏感信息应该采用opt-in的模式,个人非敏感信息可以采用opt-out的模式;但是无论是个人敏感信息还是非敏感信息,都需要明确告知,而且都要向用户提供撤回同意的权利。具体来说,个人敏感信息包括:(1) Financial information; (2) Health information; (3) Information pertaining to children; (4) Social Security numbers; (5) Precise geo-location information; (6) Content of communications; (7) Call detail information; and (8) Web browsing history, application usage history, and the functional equivalents of either. FCC的框架,正是对收集环节的加强控制。


这个规则在前不久被国会推翻,很重要的原因之一是因为FCC针对宽带服务提供商的框架,实际上比FTC针对Edge Service Providers(例如google, facebook等)的隐私保护框架【基本上仅遵循opt-out原则】要严格,因此会造成对宽带服务提供商在竞争方面的歧视。但非常有意思的是,美国随后至少有十个州试图在州这一个层面通过立法,恢复FCC建立的框架。以下是外媒的总结图示:

日前,内华达州还通过立法,正式要求网站运营者和网络服务提供者在其网站上提供隐私政策,并对隐私政策的内容提出了具体的要求。该法案将于今年10月1日开始生效。


事实上,放弃收集环节,转而管控使用环节,这样的观点最大的市场就是在美国,但通过对新闻和立法发展简单的跟踪,我们就能发现,即便是美国,这样的观点更多的也仅仅是观点而已。


总之


告知这个环节如何加强,收集环节是不是要继续管控等问题,具有非常强的实践意义和理论含义,并不是这一篇短短的公号文章能够覆盖的。以上也只是我个人在制定《个人信息安全规范》的过程中,和业界各位前辈、专家、同仁讨论,以及大量学习国内外立法、标准方面的实践后的一点感想,正好借助四部委开展的专项工作之际,写来下。这即是和大家分享,向大家讨教,也是作为自己想法的一个记录。最后,希望大家多多关注、关爱四部委开展的隐私条款专项工作!



    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存