对隐私条款的再思考及国家标准《个人信息安全规范》的破局之路
编者按:
随着国家标准《个人信息安全规范》(GB/T 35273-2017)的正式发布【国家标准《个人信息安全规范》全文】,社会各界对该标准的关注在逐渐升温。本公号将陆续邀请一些参与到该标准制定,或者在其工作中实际运用过该标准的朋友撰写文章,请他们和大家分享对该标准的看法,或者转载对该标准的评论文章。本文作者是中国信息通信研究院安全研究所数据安全研究部副主任陈湉女士,其作为专家参与了2017年四部门开展的隐私条款专项工作。
个人信息保护工作中,隐私条款是数据控制者告知用户其个人信息收集和使用规则的惯常做法,在告知用户并获得用户授权同意方面长期发挥主要作用。同时,隐私条款不便于用户阅读理解的问题一直存在,告知用户的效果并不理想。本文对隐私条款的服务对象和发挥作用进行了重新梳理,分析了当前隐私条款未能有效发挥告知作用的深层次原因,并通过分析国家标准《信息安全技术 个人信息安全规范》阐述中国在加强保障用户知情权和同意权方面做出的创新和努力。
一、隐私条款面临的困境
隐私条款冗长、晦涩,互联网用户需要花费大量时间、精力才能理解其个人信息被收集和使用的规则。早在2012年,美国卡耐基梅隆大学的学者就通过统计分析得出结论:美国互联网用户每年平均需要花费76个工作日阅读隐私条款。如今,问题变得更加突出,隐私条款似乎成为一种摆设,鲜有用户愿意花时间通过阅读隐私条款了解网站或移动应用软件的隐私政策,我们甚至开始反思隐私条款是否还有存在的必要。笔者认为,在讨论隐私条款何去何从之前,需要先厘清隐私条款的服务对象和发挥的作用。
二、隐私条款肩负的双重使命
隐私条款是数据控制者履行“告知”义务的一种常用手段,也是一种公开承诺,是政府监管和社会监督的重要依据。数据控制者未履行或违反公开承诺被视为一种欺骗行为,是政府部门实施监管执法的重要考量因素。以美国联邦贸易委员会(FTC)为例,FTC依据《联邦贸易委员会法》第五节开展消费者权益保护相关工作,即禁止不公平或欺骗性的市场行为。在FTC最新发布的《隐私和数据安全报告:2017》中提及了优步(Uber)案例,FTC认为优步违规的关键问题不再是对员工查看乘客和司机数据缺乏管理,而是未能履行承诺。此前,优步已经发表声明将执行严格的隐私控制措施并持续监控员工访问数据行为。2014年12月,优步开发上线了数据访问行为自动监控系统。但是不到1年,优步便停止使用该系统。FTC称在此后的至少9个月,优步基本不再监控内部员工对乘客和司机数据的访问行为。
从优步案例可以看出,未履行承诺被视为一种违规行为。从这个角度分析,隐私条款是数据控制者对其个人信息收集和使用规则的公开声明,可视为有约束力的承诺,它的服务对象不仅包括用户,还包括政府部门和社会监督力量,它发挥的作用也是双重的:一是告知用户;二是接受政府监管和社会监督。
结合本文第一节的分析,隐私条款面临的主要问题是未能有效发挥告知用户的作用,但在接受政府监管和社会监督方面,隐私条款依然作用明显。笔者认为,不论现在或者未来,隐私条款仍然具有存在意义,但确实需要重新审视它所承担的告知任务。
三、隐私条款问题升级的原因分析
实际上,隐私条款长期遭受诟病,但从未如当下这般引起社会广泛关注,除了政府加强监管和网民个人信息保护意识增强等因素外,网络运营者收集和使用个人信息的范围、类型、技术方式发生了根本性的变化,使得隐私条款不能有效发挥告知作用的问题更加突出。
在Web2.0时代,互联网服务类型相对单一,主要通过网页形式提供新闻资讯、社交网络、博客、电子邮箱等信息服务,网络运营者收集的个人信息也相对有限,并且数据使用、传播、共享场景相对简单。因此,即使用户忽略隐私条款,在未充分知情的情况下同意网络运营者收集、使用其个人信息,对用户个人权益可能造成的侵害也是可预期或可接受的。
随着移动互联网、物联网、大数据技术的创新发展,数据控制者具备了全天候、全方位收集个人信息的能力,收集的个人信息数量、类型发生了本质变化,因数据泄露、滥用造成的用户损失也逐步升级。此时,用户不阅读隐私条款将承担更大风险,网络运营者通过隐私条款和默认同意的方式“一揽子”获得用户授权,将可能对用户个人权益造成实质性侵害。
从用户可预期或可接受的损失,到财产损失等实质性侵害的变化,使得隐私条款冗长、晦涩等弊端和缺陷更加明显,需要重新定义告知流程,创新更有效的告知方式。
四、国家标准《个人信息安全规范》中告知方式的创新
新近发布的国家标准《信息安全技术 个人信息安全规范》,在数据控制者告知用户收集和使用其个人信息的目的、方式、范围方面,提出了很多创新做法,例如区分核心功能和附加功能、增强式告知等。已经有多位专家学者对这些创新机制进行了详细介绍,此处不再累述。本文重点聚焦标准的附录C《保障个人信息主体选择同意权的方法》 。
附录C虽然是资料性附录,在强化告知效果方面却有着重要的启示作用。它给出了向个人信息主体就个人敏感信息的收集、使用,以及个人信息的共享、转让、公开披露等事项征求授权同意的实现方法。数据控制者可以根据参考模板设计功能界面,保障个人信息主体能充分行使其选择同意的权利。参考模版如下图所示:
实际上,附录C给出了一个替代方法,其中的参考模版能够代替隐私条款完成告知用户的任务,并且在至少两个方面优于隐私条款。
一是较之隐私条款,更加清晰易懂。如前所述,隐私条款承担了双重任务,作为一个有约束力的公开承诺,数据控制者需要使用严谨的语言,大量的法律和技术专业术语阐述其隐私政策,导致对普通公众而言,隐私条款冗长、晦涩、难懂。参考模版解决了隐私条款在专业严谨和清晰易懂之间难以平衡的难题。因为隐私条款已经存在,参考模版在告知用户时只需要展现用户最为关心的核心内容,例如业务功能、收集的数据类型等,降低了用户阅读成本。数据控制者甚至可以在参考模版基础上采用配图、动画等更加生动的展现方式。
二是保障了用户的选择同意权。之前,数据控制者出于成本和效率考虑,在隐私条款中会采用“您授权我们……”等类似的措辞,同时完成告知和授权同意两个动作。在明知用户不会阅读隐私条款的前提下,这种获得授权的方式是有问题的。参考模版严格区分了上述两个动作,并且采用“我已知悉本产品(本服务)……,并同意对其的收集、使用行为”的表述来获得用户授权同意,这种方式是对用户选择同意权的更有效保障。
五、小结
从总体来看,我国个人信息保护工作尚处于发展阶段,需要补的功课还很多,有些数据控制者到目前连一个准确、完整、详尽的隐私条款都还没有制定和公布,遑论保障用户的知情权和同意权。从另一方面看,国家标准《信息安全技术 个人信息安全规范》提出了很多创新做法,展现了中国在个人信息保护领域积极探索的成果,从世界范围看都是超前的。随着学术界、产业界对个人信息保护的认识和研究逐步深入,笔者相信,未来我国在个人信息保护方面,必然能够形成一套符合中国国情、体现中国智慧的创新方案。
本公号此前发布的对《个人信息安全规范》的评论文章如下: