个人信息采集与处理须合法合规
2018-04-25刘晓春张泽钰
文|刘晓春 张泽钰
随着“互联网+”和大数据产业模式的发展,无论线上还是线下的商品贸易、服务提供,都不可避免要采集和处理大量包含个人信息的数据,并成为精准营销、商业决策、优化服务乃至促进机器深度学习的基础性资源。随着个人信息泄露事件在国内外接二连三地爆发,个人信息保护和合规的问题也成为企业重点关注的领域,不仅对互联网企业极其重要,对传统企业同样敲响了警钟。对于这一新兴的领域,企业需要紧跟监管步伐,积极调动资源,建立并完善个人信息保护机制。
制定并完善隐私政策
个人信息保护合规的第一步,就是要制定对内和对外的符合法定要求的规则和政策,通常也被称为“隐私政策”。整体来看,各大网络服务提供商的隐私政策都包含以下内容:信息的收集与使用、信息的分享(跨境转移、第三方共享、第三方广告及网站)、用户对信息的访问与控制、技术与安全、未成年人或者儿童的特别条款。除此以外,一些涉及或可能涉及用户敏感信息的网络平台或网络服务经营商还对个人敏感信息进行了特别规定,包括对敏感信息进行定义并对敏感信息的收集、使用和管理进行单独规定并特别强调。
个人敏感信息通常是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。对于个人信息、个人敏感信息的陈述和列举,不必拘泥于具体内容和表达,而是要尽量贴合特定网络服务的具体内容,包括网络服务经营者主要涉及的产品或服务内容。例如,网络交友平台要尤其注意对客户的择偶标准、性取向等问题进行保护。
在制定政策框架及具体内容时,应当从用户的视角切入,尽可能采取普通用户可以明确理解的方式进行规定。国家网信办、工信部、公安部等部委在对于典型的互联网企业隐私政策进行抽查时,也特别强调了隐私政策的可读性。
个人信息的收集与利用
首先,企业在制定个人信息政策时必须制定用户个人信息收集、使用规则,并在其经营或者服务场所、网站等予以公布。其次,个人信息使用和收集的基本合法性基础是个人同意机制,即对于用户个人信息的收集和使用需要经用户同意;应当明确告知用户收集、使用信息的目的、方式和范围;不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的,不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息;用户终止使用电信服务或者互联网信息服务后,应当停止对用户个人信息的收集和使用,并为用户提供注销号码或者账号的服务。
例如,腾讯隐私政策在提到“我们可能收集的信息时”进行了进一步分类之后再具体规定,共分为三类:您提供的信息、其他方分享的您的信息、我们获取的您的信息(包括日志信息和位置信息)。新浪微博个人信息保护政策提到了一些会涉及到信息收集的具体情况,“在你注册微博账号时、在你使用微博提供的位置定位服务时、在你使用微博搜索服务时、在你使用微博提供的身份认证服务时、当你在微博中使用第三方提供的服务时等”以及最后,该政策提到,“基于对你信息的有效保护并且在你同意的基础上,我们会对收集到的你的信息进行去标签化处理,以保护你的信息安全。在此希望你了解并接受在不透露你个人信息的前提下,微博有权对你的信息进行分析并予以商业化的利用。”
综上所述,建议企业在规定信息收集及使用的条款时,一定要明确提出个人同意机制的适用范围及但书条款(即何种情况下不需要取得用户的个人同意),明确告知用户个人信息收集或使用的目的、方式和范围,强调企业对信息的收集和使用都是基于服务的提供,而不会以提供服务以外的目的作出上述行为。关于具体内容的列举及说明,建议结合特定产品或服务的具体操作流程,研究其可能涉及的个人信息的项目或环节,对此开展进一步规定。
个人信息的对外分享
个人信息对外分享的情形可能包括:用户向第三方进行信息分享、个人信息的跨境流通、个人信息分享的其他情况。
第三方平台分享是网络平台服务中最常遇到的情况之一,是指用户从原平台跳转到其他平台并在该平台上分享相关信息的行为,通常情况下,平台跳转的同时会由第三方(也就是用户将要跳转到的平台)收集用户的部分基本个人信息或用户信息(包括但不限于个人昵称、个人头像等项目)。针对此类问题的方案可以参照前文“个人信息的收集及使用”的内容进行制定。与此同时,也需要在“信息分享”一章中明确列举此类信息分享的形式,提示并告知网络服务用户由此可能造成的风险及后果。
例如,腾讯隐私政策在“隐私政策的适用例外”一章中提到“该等第三方社交媒体或其他服务可能由相关的第三方或我们运营。您使用该等第三方的社交媒体服务或其他服务(包括您向该等第三方提供的任何个人信息),须受该第三方的服务条款及隐私政策(而非《通用服务条款》或本《隐私政策》)约束,您需要仔细阅读其条款。”新浪微博个人信息政策中规定:“当你在微博中使用第三方提供的服务时,微博视为你允许第三方收集你的订单信息、支付信息等,如果你拒绝第三方在提供服务时收集此类信息,将可能会导致你无法在微博中使用第三方服务。”
但是,有些隐私政策的表述有可能试图进行一揽子同意,比如“如我们或我们的关联公司与任何上述第三方分享您的个人信息,我们将努力确保该等第三方在使用您的个人信息时遵守本《隐私政策》及我们要求其遵守的其他适当的保密和安全措施。”这类条款尽管有助于提高效率,但是有可能面临合法性的审查。根据现有法律框架及实务经验,个人同意机制依旧是个人信息保护领域中最为重要的基础之一。
关于个人信息的跨境流动,《网络安全法》的相关条文针对重要数据强调了两个问题,一方面网络服务提供者在服务过程中收集的个人信息应当在境内储存,另一方面,如果需要出境,则必须进行安全评估。目前,关于数据跨境流动尚未出台具体政策。但是在向境外提供数据时依然应当注意合规的问题。
如果网络产品或服务涉及或可能涉及个人数据出境的问题,则需要注意两方面的内容:第一,对个人信息出境的可能情境进行列举,并根据有关法律文件的规定充分说明有关情况,征得用户同意。第二,强调会根据国家有关法律的规定,对个人信息及数据的安全进行安全评估,保障用户个人信息的安全,此时可以选择把安全评估的一些重点内容公布出来,既能更好地体现网络服务提供商的专业态度,也更有可能让用户信任服务商的产品。
其他情形包括合并、收购、资产转让或类似的交易中的数据分享,以及广告精准投放情况下的数据分享。在这些领域,依旧应当遵守个人信息收集及使用的最基本原则即个人同意,网络服务提供者应当充分说明有关情况及后果,获得用户的同意。近期关于大数据“杀熟”的争论,其核心并不在于实现价格歧视的算法本身是否正当,而是在于是否充分保障了消费者的知情权。
保障个人对其信息的访问和控制权
《网络安全法》第四十三条进一步明确了用户控制个人信息的情境:“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。”这主要对用户提出删除或更正其个人信息的具体情况进行了列举。
建议企业在制定个人信息政策时积极回应上述条款,明确用户可以更正、删除自己相关个人信息的具体情境,并可以与服务的具体内容相关联。主管机关在执法抽查过程中也要求服务商提供“一站式”的操作方式,方便用户在授权之后依然可以自主管理、删除自己的个人信息。