第九期数据保护官沙龙纪实:《个人信息安全规范》修订研讨
2月28日,第九期数据保护官(DPO)沙龙在京举行。围绕《信息安全技术 个人信息安全规范(草案)》(以下简称“修订草案”)中企业关心的问题,标准主笔人、北京大学法治与发展研究院高级研究员洪延青和公司法务、律师等一线实务工作者进行了探讨。
基本、扩展业务功能应在退出机制上有所区分
2018年5月1日,推荐性国家标准《信息安全技术 个人信息安全规范》正式实施,填补了国内个人信息保护在具体实践标准上的空白。该国家标准正式实施不到一年,2月1日,全国信息安全标准化技术委员会面向全社会公开征求《信息安全技术 个人信息安全规范(草案)》意见。
《中华人民共和国网络安全法》明确规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则。但是,App使用“一揽子协议”的方式过度收集个人信息的现象仍然普遍存在。洪延青表示,标准对于督促企业在隐私政策中公示收集、使用等规则方面有明显作用,但还需解决“信息收集的必要性”问题——是不是用户同意后,企业就可以用收集的个人信息做任何事?
据介绍,为了解决企业“强制收集信息”的问题,起草组目前有两个方案,都被放入了此次修订草案中。方案一是附录C:“区分基本业务功能和拓展业务功能”。方案二是5.3节:“不得强迫收集个人信息的要求”。
方案一是区分企业的产品或服务的基本业务功能和拓展业务功能,要求基本业务功能应依据个人信息主体选择、使用所提供产品或服务的根本期待和最主要的需求划定,而不能仅仅以企业自身的想法为依据。
对于这一方案,在公开征求意见期间,有企业认为自身的业务和功能只能由用户决定,企业会丧失商业能动性。洪延青对此回应道,“企业的基本业务功能是根据用户的期待决定,但企业可以引导用户的期待”。
他进一步解释,用户对于企业的期待主要是来自于企业的自主市场推广,而企业对其商业定位、名称、应用商店描述、所属应用类型等因素都是可控的,可以引导用户的期待,增强用户对其产品或服务的认知。随着产品或服务的迭代、拓展、升级等,企业还可以重新划分基本业务功能。
洪延青表示,用户在首次使用企业产品或服务的基本业务功能和扩展业务功能时,都需要用户授权同意,并无区分度。但是,后续的退出机制和选择机制应该存在区分度。也就是说,用户已经使用产品或服务的基本业务功能后,若不想继续使用该功能,可以删除产品或者注销账号,企业无需提供功能使用开关。但若是扩展业务功能,企业则需在不影响其他功能使用的情况下,为用户设置关闭按钮。
与方案一相比,方案二并未将企业的产品或服务进行功能区分,只是明确要求“不得通过捆绑产品或服务各项业务的方式,要求个人信息主体一次性接受并授权同意各项业务功能收集个人信息的请求”。一位DPO社群成员表示,若是按照方案二,用户使用产品时,需授权的信息都要点击“同意”,实在没必要。
隐私护卫队在会上了解到,全国信息安全标准化技术委员会正在制定关于基本业务功能的指引方案,将明确十类基本业务功能的具体内容。该DPO社群成员表示,指引出台后,绝大部分的产品应用的基本业务功能都只需用户点击一次“同意”即可。“基本业务功能是否按照指引的要求落实来收集个人信息,扩展业务功能收集的个人信息是否是必要的,由执法机构检查企业的产品即可”,因此他认为,对于用户和企业而言,方案一是更好的选择。
一位公司法务对此进一步表示,企业产品或服务的基本业务功能和扩展业务功能进行区分后,在每一项扩展业务功能启动时都要征求用户同意,这可能会影响用户体验。“以前用户会觉得企业收集信息不透明,担心知情权得不到保障,但现在用户又有了新的烦恼:告知太多,构成骚扰。”
个性化展示中信息来源和推送对象应为同一人
修订草案还新增了“个性化展示”的定义,并明确了相关要求:个人信息控制者推送新闻或者信息服务时,应以显著方式标注“个性化展示”等字样。并且要为个人信息主体提供简单直观的退出个性化展示模式的选项。
会上,基于在合规实践中遇到的困惑和思考,一位法务人员表达了疑惑:通过算法算出的信息是不是个人信息?个人信息是否包含所在地、年龄段?通过别人的信息向特定的人或群体推送是否属于个性化展示?
洪延青回应,基于算法计算出的推测值,若符合个人信息特征的定义,依然是个人信息,即使算出来的是标签,只要是能对应到具体特定的个人,标签也是个人信息。基于特定主体的个人信息还包括所在地、年龄段。但是,若是利用别人的信息向特定的人或群体推送,则不属于个性化展示。“个性化展示是用A的信息向A推”,他说。
还有人举例诠释了对“个性化展示”的理解。假设一个男性使用足球类资讯软件,该软件就能发现其喜欢的球队,并经常给他推送球队的信息,这种情况就是个性化展示;若某商场找到广告公司帮忙推送,给了广告公司一个群体特征,比如女性、20到25岁、收入等,这就是基于群体而不是基于个人信息特征推送,就不属于个性化展示。
对此,一位来自公司法务部的IP总监持不同意见。“若用户在节日收到面膜推荐,难免会认为电商知道其性别和消费偏好,进而产生极强的隐私不安全感。所以不能只因未定位到个人,就称不是个性化展示”,她认为,还是应考虑用户对隐私的合理期待和安全感。
此次沙龙还就“修订草案”中其他的问题进行了深入的讨论。
关于DPO沙龙活动的有关情况,请见:
DPO社群成果
案件摘要:德国反垄断监管机构对Facebook数据收集融合行为裁决(DPO沙龙出品)
线下沙龙实录见:
线上沙龙见:
时评见:
DPO社群成员观点