Loading
Fujian Tenet & Partners Law Firm
{{ item.name }}
{{ item.name }}
{{ subItem.name }}
EN
Tenet Researchs/Tenet Reports
完备的隐私政策——打造数据合规第一步 | 天衡观点

2018-08-27 16:27:00


一、引言:从谷歌返华的第一步说起

近日,人民日报发文欢迎谷歌返回中国大陆,作为谷歌返华后最强劲的对手,百度CEO李彦宏毫不示弱地表示“百度有信心再赢一次。”然而,作为准备充分、卷土重来的谷歌,返华的第一步并非其他,却是要求处理用户敏感信息的开发者提供有效的隐私权政策。足见谷歌本次“归来”并非侧重与百度之间传统流量和排位的竞争,而是注重网络平台“生态系统”的合规优化,从而为用户的数据隐私提供高标准的保护。不难看出,谷歌对我国《网络安全法》的解读和当前数据合规的大趋势把握得十分精准,才会使出隐私政策这第一把杀手锏。

2017年6月开始实施的《网络安全法》(下称《网安法》)对于个人信息的收集、使用、保存、对外提供等一系列处理行为提出了明确要求。《网安法》第22条第3款规定, “网络产品、服务具有收集用户信息功能的, 其提供者应当向用户明示并取得同意”;第41条第1款规定,“网络运营者收集、使用个人信息, 应当遵循合法、正当、必要的原则, 公开收集、使用规则, 明示收集、使用信息的目的、方式和范围, 并经被收集者同意。”隐私政策是目前企业对个人信息处理向信息主体进行“明示”的常用方式之一, 其合法合规为企业收集处理的个人信息提供了保障。隐私政策的合格与否关系到企业能否规避惩罚风险、能否增强企业竞争力,其重要性不言而喻。本文将对完备的隐私政策必备的几个要素进行分析,供企业参考。

二、完备的隐私政策的三大要素

本人将多份隐私政策的形式、内容等进行一一对比分析,总结出一份合规的隐私政策所应该具有的三大要素。

(一)显著性

显著的方式有多种,现行法律条文中能够想象的“显著”方式包括“加黑、颜色、下划线、放大字体”等方式。本人认为此处的“显著”是指“应当有友好而极易发现的通道从而让用户能浏览隐私权政策”。因此隐私政策的显著性主要体现在:

1、用户注册确认页面设置《隐私权政策》的超链接

首先,《隐私政策》的显著性,最为直观表地现为同意隐私政策的位置。在用户安装、注册、第一次使用前对《隐私政策》采取增强式告知,提示关于个人信息收集的核心内容。增强式告知不是隐私政策的全部内容,但浓缩了隐私政策的核心,突出用户最关心的信息,例如收集的个人信息范围、使用目的和使用主体等。2017年“隐私条款专项工作”结束后,京东、支付宝等在其更新后的隐私政策使用了增强式告知,并且展现形式可扩展收缩,点击目录可以跳转到具体条款,易于用户获取和阅读关键信息。在实践中,不少应用程序,电子商务平台的《用户服务协议》和《隐私政策》被缩小成小小的两行超链接文字,且不具备扩展收缩、弹窗功能,对于此种缺乏显著性的《隐私政策》的“同意”,因不具备显著性功能,无疑在合规上存在重大瑕疵。

2、用户表示“明示同意”的方式

自从互联网行业发展伊始,用户的“同意”便是企业机构取得用户数据处理权限的最常用而直接的方式,我国《网络安全法》更是以用户同意作为唯一明文规定的数据处理合法性基础。对于一份合规的《隐私政策》,有效的用户同意必须满足以下要求:

A)用户“同意”应由其自由做出---基于用户真正的选择权
B)从内容上看,用户“同意”应当是具体的、知情的
C)从方式上看,用户“同意”应当是明确不含糊的

根据上述标准,目前不少软件、应用中的《隐私政策》都因存在以下情形将被认定为合规性存在问题:

①以用户“同意”作为提供一般服务的前提或与其他条款不合理的捆绑
②采用“我已阅读上述……并同意……”的模式获取用户的同意
③采用预先勾选或其他默认同意的方式获取用户的同意
④数据处理活动或目的超出原始同意的权限范围

(二)完整性

由于《网安法》原则性较强,对数据合规的具体要求需要企业根据自身情况予以细化落实。在法律强制性要求的基础上, 本文结合《网安法》,将隐私政策的完整版本总结如下:


(三)合规性

隐私政策作为企业数据合规审查中首当其冲的审查对象,其合规性必然是其最终目的与完善目标。随着《网安法》制定和实施,数据合规的红线不断提高,企业也不断修订和完善隐私政策以使其一次次跨越审查红线。因此,合规性作为隐私政策的基本特征不容置疑。

在《网安法》中规定的个人信息权有:“知情权”(收集和使用公民个人信息必须遵循合法、正当、必要原则,且目的必须明确并经用户的知情同意)、“更正权(个人发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。)”、“删除权”(个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息)、“撤销权”(个人信息主体有权撤回其先前的同意,个人信息控制者应向个人信息主体提供方法撤回收集、使用其个人信息的同意授权。)、“注销权”(个人信息主体有权注销其账户)。无一例外,以上权利都应该体现在一份合规的隐私政策中。换言之,在现行的法制条件下,若一份隐私政策没有以上权利的存在,足以认定其为不合规的隐私政策。

值得一提的是,在应用APP的隐私政策中,通常将提供服务的业务分为核心功能和附加功能。而在隐私政策相关规定中,应用软件在提供附加服务时,对个人数据信息的处理是否同核心业务一样具有严密的合规性是值得我们思考的问题。另外,当应用软件的初始目的和后续目的在长时间的开发使用中出现不一致时,隐私协议是否需要重新拟定及用户是否需要重新表示“单项同意”,同样是值得我们探讨的问题。

三、结语

随着国家对大数据产业关注的深入,针对个人信息甚至用户信息的保护趋势也是会越来越规范化。提前防范风险、修改完善隐私政策,并随时根据新政策新形势调整,其必要性、重要性不言而喻。合规的隐私政策不仅有利于降低企业自身的法律风险,还可以增强客户对企业的信任感。同样,在越来越多的大平台加紧抓牢隐私政策审查的大形势下,隐私政策的合规逐渐成为企业进入大平台的“市场准入门槛”。拥有完备的隐私政策将成为企业手中的一张“王牌”,既能规避法律惩罚风险,又能增强企业竞争力,在企业数据风云中行稳致远。

注:感谢实习生陈玲玲为这篇文章做的支持工作。