查看原文
其他

结合良好实践,细说APP自评估指南之二(DPO社群成员观点)

袁立志 胡科 网安寻路人 2020-02-26

编者按:


本公号在刊登DPO沙龙和相关社群活动的同时,还将刊登DPO社群成员的精彩文章。本篇是系列文章【结合良好实践,细说APP自评估指南之一(DPO社群成员观点)】的第二篇,作者为竞天公诚律师事务所的袁立志律师和胡科律师。


正文:


上回书说到,网信办等四部门为指导App个人信息专项治理工作,发布了《App违法违规收集使用个人信息自评估指南》(以下简称“《评估指南》”)。《评估指南》包含三大部分:隐私政策文本、个人信息收集使用行为、用户权利保障。针对隐私政策文本的评估要点最多,共有19个,上回书细说了前面10个评估点,这回接着细说后面9个评估点。

 

评估点(11) 个人信息使用规则


个人信息的收集和使用是密切相关的。隐私政策第一节通常会说明个人信息的收集,在说明收集时,需逐项说明业务功能及其对应的个人信息类型,这其实也一并把个人信息的使用目的和方式说清楚了。那为什么有些隐私政策还会单独设置一节,来说明个人信息的使用呢?


这与《个人信息安全规范》的结构有关。《个人信息安全规范》是按照个人信息全生命周期来组织文本结构的,即收集-存储-使用-委托处理/共享/转让/公开披露四个环节。在使用环节,除了规定使用信息时的注意事项(访问控制、展示限制)外,还规定使用个人信息的几种特殊情况,包括变更目的、分析加工、用户画像、个性化展示、汇聚融合、自动决策等。这些特殊的使用方式(特殊使用)不同于为了实现相关业务功能而使用个人信息(常规使用),往往会对个人产生特殊影响,因此有必要在隐私政策中专门进行说明。因此,本评估点要求隐私政策说明用户画像、个位化展示等特殊使用的应用场景和可能对用户产生的影响。


如果只有常规使用而没有特殊使用,则一般将收集和使用合并为第一节;如果既有常规使用,也有特殊使用,则一般分为收集和使用两节进行说明,前一节说明收集及常规使用,后一节说明特殊使用。本评估点所说的个人信息使用规则,就是指对个人信息的特殊使用,如用户画像、个性化展示等。有些App,如今日头条,个人化推荐本来就是其核心业务功能,所以就作为常规使用进行说明。

 

评估点(12) 个人信息出境情况


因为目前个人信息出境的监管政策还不明朗,所以《评估指南》只要求在隐私政策中应将出境个人信息类型逐项列出并显著标识,而没有对出境的场景和条件作出限制或要求。


尽管没有法律强制要求,但是很多涉及信息出境的App都在隐私政策中谨慎地表明,只为跨境业务需要才会向境外传输个人信息,并且会征得用户同意。还有一些App则将法律明确规定、用户同意或用户主动发起的跨境业务并列作为可以选择适用的合法性基础。目前很难从法律上评估这些做法是否妥当。待数据出境监管政策落地后,现有隐私政策这部分内容需要进行相应调整。

 

评估点(13) 个人信息安全保护措施和能力


隐私政策中应对App运营者在个人信息保护方面采取的指施和具备的能力进行说明,如身份鉴别、数据加密、访问控制、恶意代码防范、安全审计等。


除了上述措施,还有一些常用的安全保护措施,如去标识化、匿名化、建立信息安全管理制度和管理部门、开展个人信息安全影响评估、制定应急预案、开展应急演练,聘请第三方评估等。


一些权威的测评或认证等则可以作为个人信息安全能力的证明,常见的有网络安全等级保护备案及测评、ISO27001认证、国际信息安全管理体系、TRUSTArc等。值得一提的是今年网信办等部门推出的App个人信息安全认证,是目前国内针对个人信息保护的唯一权威认证,目前正在开展首批试点。


在隐私政策中说明上述内容,一方面旨在增加透明度,使用户了解网络运营者在个人信息保护方面所做的努力,增进双方的信任;另一方面也旨在促进网络运营者之间的良性竞争,通过用户自主选择的激励机制,使得重视个人信息保护的运营者获得竞争优势,从而促进整个市场的个人信息保护。


此外,运营商对自身安全能力的说明也具有法律上的意义。如果运营商做了虚假不实的陈述或宣传,在行政执法或用户索赔的民事诉讼中,可能成为对其不利的证据。

 

评估点(14) 共享、转让、公开披露个人信息规则


个人信息的共享、转让和公开披露有时统称为“对外提供”。“对外提供”是否等同于《网络安全法》第42条所说的“向他人提供”,以及委托处理是否属于对外提供,目前还不明确。我们倾向于认为,对外提供即向他人提供,委托处理不属于对外提供。【详见拙文:《个人信息委托处理是否需要个人授权?》】《评估指南》不要求隐私政策对委托处理进行说明,多数头部App的隐私政策也没有说明委托处理,似乎可以印证这种理解。


如果存在个人信息对外提供的情况,隐私政策中应明确对外提供的目的、个人信息类型以及接收方类型或身份。对外提供一般个人信息需披露接收者的类型,对外提供敏感个人信息则需披露接收者的身份,即具体指明接收者是谁,但有时披露第三方的身份存在困难,比如有些App只笼统说明第三方包括关联公司、合作金融机构以及其他合作伙伴,而不具体指明其身份。


除了上述内容,隐私政策一般还会说明可以不经用户同意而对外提供个人信息的情形。根据《个人信息安全规范》,这些情形包括法定义务、国家安全、公共利益、司法程序、重大合法权益、自行公开、合法收集七种。而不经用户同意可以收集个人信息的情形则有十一种,多出来的四种包括签订和履行合同所必需、维护服务安全稳定运行、新闻报道和学术研究。在GDPR下,处理个人数据的合法性基础是统一的六种,并不区分收集与对外提供。这说明中国监管者对于对外提供个人信息持比较谨慎的态度。

共享个人信息时,如何获取用户授权?《个人信息安全规范》说要征得用户同意,但没有明确说由哪一方来征得用户同意。有些App的隐私政策规定,共享前会征求用户同意,或者确认接收方已征得用户同意,这意味着只要共享中的一方获得用户授权即可,不是三重授权,而是两重授权。

 

评估点(15) 用户权利保障机制


隐私政策需告知用户如何查询、更正、删除个人信息,以及如何注销账户以及撤回同意。与《个人信息安全规范》相比,《评估指南》没有提获取副本的权利(可携权)。《个人信息安全规范》对于可携权的规定使用的是“宜”而不是“应”,即建议性的。可能是考虑到目前实现可携权的条件还不成熟。因此,隐私政策可以不规定可携权。


查询、更正、删除都只针对部分个人信息,而不是全部个人信息。查询原则上只针对主动提供的信息,非主动提供的信息可以基于成本或风险而拒绝。删除只限于违法或违约处理的个人信息。


需要注意广告法和电子商务法的特殊规定。根据广告法第43、44条,个人有权拒绝接受商业广告,这是个人的法定权利。《个人信息安全规范》将其写在撤回同意权之下。


与此相关的还有电子商务法第18条规定,提供个性化搜索结果时,应同时提供非个性化搜索结果。《个人信息安全规范》修订草案增加了三种个性化展示的规定,一是新闻信息的个性化展示,应当标明“定推”并提供关闭机制;二是电商的个性化推荐,应当提供非个性化的推荐(同电商法18条),但给出了一个豁免(基于用户选择的位置的搜索不属于个性化展示);三是基于个人信息的业务功能,建议建立用户的自主控制机制,并在用户选择退出时,提供删除或匿名化相关信息的选项。前两者是“应当”,后者是“宜”,存在细微区别。关于个性化展示,通常规定在个人信息的使用部分。


个人的权利不是绝对的,运营者拒绝个人行权的理由包括:成本太高或其他显著困难、个人存在主管恶意或滥用权利、涉及商业秘密等。运营者宜将这些情形明确写入隐私政策中,以给用户以合理预期。

 

评估点(16) 申诉渠道和反馈机制


个人行使权利的渠道通常与申诉渠道相同。隐私政策中至少提供以下一种投诉渠道:电子邮件、电话、传真、在线客服、在线表格。


需要关注的是,对于非用户提出的申诉请求,企业往往会要求其提供个人信息,对于该等个人信息,企业也应获得信息主体的同意并予以保护。

 

评估点(17) 隐私政策时效


隐私政策应明示其发布、生效或更新日期。有些App还在隐私政策的尾部提供了隐私政策的各种历史版本,这种做法使得用户可以了解隐私政策的演变过程,值得推荐。


部分App虽给出了日期,但未明确该等日期是发布日期、生效日期,还是更新日期,不完全符合要求。

 

评估点(18) 隐私政策更新


隐私政策所描述的情形发生变更时,如业务功能、出境情况、使用目的、负责人联络方式等发生变更,企业应进行修订,并有效告知用户。顺丰采取的做法是在隐私政策首部以蓝色字体突出变更的核心内容。微信采取的方式是在登录及版本更新时以推送、弹窗等形式展示变更后的指引。这些做法都值得推荐。


考虑到用户数量的问题,运营者可采取推送通知的方式进行告知,如采取弹窗的形式。为便于用户迅速知悉所变更的内容,建议企业将变更的内容集中展示以提醒用户注意。另外,如果变更的内容涉及收集个人信息的业务功能变更、收集的个人信息类型变更、使用目的变更等需要用户另行授权的内容,应就该等变更再次征求用户的同意。

 

评估项4.   不应设置不合理条款


评估点(19) 是否存在免责等不合理条款


隐私政策中不得包含不合理条款。《消费者权益保护法》第26条规定,不得以格式条款作出不公平、不合理的规定。参照《合同法》第39-41条关于格式条款的规定,不合理的格式条款无效,对格式条款的理解发生争议的,应当按照通常理解予以解释。对格式条款有两种以上解释的,应当作出不利于提供格式条款一方的解释。


所谓不合理条款是指免除运营者责任、加重用户责任、排除用户主要权利的条款。判断的标准是法律的规定。总体来说,目前相关的法律规定还比较少,各方义务和责任的划分规则还不明确。在此情况下,App运营者可以参考典型司法判例、公平原则和行业实践来合理分配其与用户之间的权利、义务和责任。


比如,目前容易引起条款合理性争议的是涉及第三方服务的场景。App运营者为了自我保护,通常会在隐私政策中规定,涉及第三方产品或服务的,用户应自行承担责任,一切损害与App运营者无关。第三方提供的产品与服务虽具有独立性,运营者无法干涉或管理,但运营者在自身产品或服务中接入或因引入第三方产品或服务的,运营者应履行适当的注意义务,如建立第三方接入的管理机制和工作流程等,向用户明确标识第三方身份,督促和核实第三方获取用户授权的情况,监督第三方加强个人信息安全管理,对第三方开展安全审计等。将这些内容写入隐私政策,一方面表明运营者对用户隐私负责任的态度,以获取用户的信任,另一方面也是对运营者自身的监督和提醒。《个人信息安全规范》的修订为此提供了参考规则。(未完待续)




关于DPO沙龙活动的有关情况,请见:


DPO社群成果

  1. 印度《2018个人数据保护法(草案)》全文翻译(中英对照版)(DPO沙龙出品)

  2. 巴西《通用数据保护法》全文中文翻译(DPO沙龙出品)

  3. 美国联邦隐私立法重要文件编译第一辑(DPO沙龙出品)

  4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译(DPO沙龙出品)

  5. 第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)

  6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)

  7. 第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)

  8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译(DPO沙龙出品)

  9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》(DPO沙龙出品)

  10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

  11. 第29条工作组《数据可携权指南》全文翻译(DPO沙龙出品)

  12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制(DPO沙龙出品)

  13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况(DPO沙龙出品)

  14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译(DPO沙龙出品)

  15. 第29条工作组关于GDPR《透明度准则的指引》全文翻译(DPO沙龙出品)

  16. “108号公约”全文翻译(DPO沙龙出品)

  17. 美国司法部“云法案”白皮书全文翻译(DPO社群出品)

  18. EDPB关于GDPR中合同必要性指引的中文翻译(DPO沙龙出品)


线下沙龙实录见:

  1. 数据保护官(DPO)沙龙第一期纪实

  2. 第二期数据保护官沙龙纪实:个人信息安全影响评估指南 

  3. 第三期数据保护官沙龙纪实:数据出境安全评估

  4. 第四期数据保护官沙龙纪实:网络爬虫的法律规制

  5. 第四期数据保护官沙龙纪实之二:当爬虫遇上法律会有什么风险

  6. 第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论

  7. 数据保护官(DPO)沙龙走进燕园系列活动第一期

  8. 第六期数据保护官沙龙纪实:2018年隐私条款评审工作

  9. 第八期数据保护官沙龙纪实:重点行业数据、隐私及网络安全

  10. 第十期数据保护官沙龙纪实:数据融合可给企业赋能,但不能不问西东


线上沙龙见:

  1. DPO社群对数据堂事件的精彩点评

  2. DPO社群线上讨论第二期:“出售 & 提供” 个人信息之法律与实务对话

  3. 用户授权第三方获取自己在平台的数据,可以吗?不可以吗?(DPO沙龙线上讨论第三期)


时评见:

  1. 数据安全事件时评第一期

  2. 数据安全事件时评第二期

  3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目:数据可移植性的开源计划

  4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

  5. 【时事七】美国通过《NIST小企业网络安全法》

  6. 【时事八】国际数据流动:欧盟委员会启动对日本的充分性决定流程

  7. 【时评九】加州IoT设备网络安全法对物联网法律之影响(附法案翻译)

  8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

  9. 【时评十一】社交网络平台,需要多点爱还是多点管?

  10. 日本拟效仿德国:对IT巨头非法收集个人信息适用“反垄断法”

  11. 扎克伯格最新愿景:将Facebook打造成“关注隐私的社交网络“

  12. 德国最高数据保护官员就美国“云法案”提出警告


DPO社群成员观点

  1. 个人信息委托处理是否需要个人授权?(DPO社群成员观点)

  2. 企业如何告知与保护用户的个人信息主体权利(DPO社群成员观点)

  3. GDPR“首张”执行通知盯上AlQ公司的前期后后(DPO社群成员观点)

  4. 隐私条款撰写调研报告(DPO社群成员观点)

  5. 我看到的数据安全(DPO社群成员观点)

  6. 数据爬取的法律风险综述(DPO社群成员观点)

  7. 银行业金融数据出境的监管框架与脉络(DPO社群成员观点)

  8. 解析公安机关《互联网个人信息安全保护指引(征求意见稿)》(DPO社群成员观点)

  9. 详解GDPR向Google亮剑缘由(DPO社群成员观点)

  10. 从生产安全体系视角看数据安全(DPO社群成员观点)

  11. 从Android Q看安卓系统的授权机制的三次重大演进(DPO社群成员观点)

  12. APP安全认证公告和实施规则解读:治理思路的创新与多样化(DPO社群成员观点)

  13. 从数据融合角度分析CNIL处罚谷歌案(DPO社群成员观点)

  14. 历史和国际比较视角DPO法律制度探源(DPO社群成员观点)

  15. 谷歌数据融合合规之路:从欧盟监管机构调查与处罚来看——上篇(DPO社群成员观点)

  16. 数据保护官岗位角色技术能力分析(DPO社群成员观点)

  17. 中国企业境外投资中儿童个人信息保护(DPO社群成员观点)

  18. 企业上市过程面临的数据合规问题和相关风险:境内篇(DPO社群成员观点)

  19. 企业上市过程面临的数据合规问题和相关风险:境外篇(DPO社群成员观点)

  20. 数据保护岗位需求与能力发展(DPO社群成员观点)

  21. DPO互助平台对企业数据治理实务的指导(DPO社群成员观点)

  22. 对网络安全负责人岗位的思考(DPO社群成员观点)

  23. 结合良好实践,细说APP自评估指南之一(DPO社群成员观点)

  24. 《个人信息安全规范》的效力与功能


    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存