隐私政策是企业保护个人信息以及合规的核心规章制度之一。2022年5月26日,全国信息安全标准化技术委员会发布《信息安全技术 互联网平台及产品服务隐私协议要求(征求意见稿)》(以下简称“《隐私协议标准草案》”)。
本系列文章共分为上中下三篇。其中,上篇将从宏观视角介绍编制隐私政策的合规思路(路线图);中篇(即本篇)将从形式和实质合规两方面指引企业具体如何编制隐私政策;下篇将解读隐私政策的修订、发布及可视化问题。
一、隐私政策文件的命名
对于隐私政策文件的命名,此次发布的《隐私协议标准草案》中使用了“隐私协议”的名称,而其在制定时所参照或依据的《个人信息保护法》、《信息安全技术 个人信息安全规范》(GB/T 35273-2020,以下简称“GB/T 35273”)等现有规则中使用的名称有“个人信息处理规则”、“个人信息保护政策”及“隐私政策”等。实践中,除前述几种命名外,互联网平台及产品服务商还常用“隐私声明”、“隐私保护指引”、“个人信息保护指引”等来命名隐私政策文件。本文统一称之为“隐私政策文件”。
《隐私协议标准草案》中使用“协议”二字命名隐私政策文件,表明起草人员认为此类文件具有合同属性;而GB/T 35273第5.6条中则认为“不宜将其视为合同”。可见隐私政策文件是否具有合同属性尚有争议。
结合《App违法违规收集使用个人信息自评估指南》等规定,无论现阶段以何名称命名,只要是针对个人信息处理目的、方式及范围等规则进行专门的公开、明示,不同的命名不至于出现不合规问题,在法律规范尚未统一、《隐私协议标准草案》尚未正式出台的情况下,“隐私政策”以及“个人信息处理规则”等名称更为常用。
二、隐私政策文件之必要内容
(一)基本要素与框架
《隐私协议标准草案》第7条为个人信息处理者系统梳理了编制隐私政策文件所应当包含的内容,包括发布主体和适用范围、摘要、收集使用个人信息的规则、保障个人信息安全的规则、保障个人信息主体权利的规则、个人信息跨境流动的规则、隐私协议更新的规则、提供联系方式等八项基本要素。
7.1 概述
隐私协议应至少包括适用范围、摘要、收集使用个人信息规则、保障个人信息安全的规则、保障个人信息主体权利的规则、个人信息跨境流动的规则、隐私协议更新的规则等,并提供个人信息处理者的联系方式。
《隐私协议标准草案》第7条为个人信息处理者系统梳理了编制隐私政策文件所应当包含的内容,包括发布主体和适用范围、摘要、收集使用个人信息的规则、保障个人信息安全的规则、保障个人信息主体权利的规则、个人信息跨境流动的规则、隐私协议更新的规则、提供联系方式等八项基本要素。
作为《个人信息保护法》和GB/T 35273的配套标准,《隐私协议标准草案》响应了两者关于隐私政策文件内容的要求,并沿用和保留了GB/T 35273附录D“个人信息保护政策模板” (以下简称“个人信息保护政策模板”)的逻辑框架。
各法规及标准关于隐私政策文件基本要素的规定对比如下:
若企业现行生效的隐私政策文件参照了 “个人信息保护政策模板”的基本要素和框架,则可能无需进行整体结构调整。否则,建议参照上述法规及标准及时进行“查漏补缺”,确保基本要素齐备。
值得注意的是,《隐私协议标准草案》并未将儿童个人信息保护规则列为基本要素,而《个人信息保护法》第三十一条[1]、《儿童个人信息网络保护规定》第八条[2]规定,个人信息处理者处理不满十四周岁未成年人(以下简称“儿童”)个人信息的,应当制定专门的个人信息处理规则。虽然上述规定并未明确“专门的个人信息处理规则”的具体含义(即是否必须制定单独的儿童隐私政策),我们建议企业在隐私政策文件中明确列明产品或服务是否适合儿童使用;对于所涉受众可能存在儿童的企业而言,至少应当在隐私政策文件中为“儿童个人信息保护规则”单独设立章节并突出显示;若服务或产品面向儿童或以儿童为主要服务对象,则应制定单独的儿童隐私政策文件,并设置跳转链接供用户随时查阅。
隐私政策文件的基本要素和框架虽未发生重大改动,但《隐私协议标准草案》对具体内容及展示形式等做出了如下更加具体和细致的指引。
(二)发布主体和适用范围
7.2 隐私协议的发布主体和适用范围
隐私协议的该部分应包含个人信息处理者的身份和地址、个人信息保护负责人联系方式、隐私协议所适用的产品或服务范围、所适用的个人信息主体类型、生效及更新时间等。
《隐私协议标准草案》要求个人信息处理者在隐私协议首部列明“发布主体和适用范围”信息,“个人信息保护政策模板”也将有关个人信息处理者身份、联系方式、产品和服务范围等要素于文首列出。
基本情况的介绍看似简单,但实践中依然存在合规风险。
- 个人信息处理者的身份应准确完整
新闻链接[3]:
2022年5月19日,江苏省消费者权益保护委员会在其官网发布了一份《新能源汽车行业不公平格式条款调查报告》,展示了其通过调查14家新能源汽车企业的47份协议,发现的多家车企的用户协议与隐私政策存在的侵害用户权益的问题。
本次调查发现,14家新能源车企协议一般分为用户协议和隐私政策两部分,多数协议都明确了车企名称且为单一主体,但是有6家车企为了尽量扩大己方权利,将参与服务的关联企业或第三方都写为协议当事人却又不明确列明当事人名称,另有2家车企只用简称且协议中没有明确当事人全称,都可能导致消费者不了解协议的交易对象。
1) 从准确性角度,企业应在隐私政策文件中完整披露个人信息处理者的全称,而非仅使用产品或企业简称、商号或英文缩写替代。
2) 从完整性角度,若关联公司共同参与服务或共享用户个人信息给关联公司或第三方的,企业应将该等关联公司或第三方共同披露,并明确界定关联公司的范围,而非仅使用“关联公司”代称。
- 地址和联系方式应列于文本首部
《隐私协议标准草案》第7.9条“提供联系方式”与“个人信息保护政策模板”中的“如何联系我们”部分均涉及提供个人信息处理者或个人信息保护负责人地址和联系方式。因此,实践中,很多企业会选择将“地址和联系方式”信息于相关章节单独提供。而《隐私协议标准草案》要求个人信息处理者将地址和联系方式等信息列于隐私协议首部,可能是出于便利个人信息主体查阅的角度考虑。
- 适用范围应准确完整
从准确性和完整性角度,“适用范围”既应包括产品或服务的名称、类型,还应包括用户获取产品或服务的渠道、方式,以及是否包含通过产品或服务接入的第三方产品/服务等。
实践中,集团企业或旗下产品或服务类型较多,且需广泛运用网站、App、小程序、H5等技术和渠道提供产品和服务的企业(例如腾讯等),通常会在一般通用的隐私政策文件的基础上针对不同的产品或服务、甚至不同的渠道另设单独的隐私政策文件。
为符合相应的合规要求,企业应在隐私政策文件中完整、准确列明包含上述要素的“适用范围”,并明确告知是否适用于通过产品或服务接入的第三方产品/服务。
(三)摘要
7.3 隐私协议的摘要
该部分为隐私协议的重点说明,是隐私协议的一个要点摘录。目的是使个人信息主体快速了解隐私协议的主要组成部分、个人信息处理者所做声明的核心要旨。隐私协议的摘要可以至于完整隐私协议开始的部分,或以单独文件展示,隐私协议的摘要通常包括:
a) 个人信息主体常用业务功能收集的个人信息种类;
b) 向第三方提供个人信息的主要场景;
c) 个人信息主体行使权利的主要途径;
d) 个人信息主体投诉举报的主要渠道;
e) 其他需要个人信息主体关注的事项。
- 摘要≠目录
相较于“个人信息保护政策模板”给出的范例及“编写要求”说明(如下图),《隐私协议标准草案》不仅对“摘要”部分增加了展示形式的要求,即“至(应为“置”)于完整隐私协议开始的部分,或以单独文件展示”,同时,《隐私协议标准草案》列举的“摘要”内容不再是基本要素标题式的罗列(如“收集使用个人信息的规则”、“保障个人信息安全的规则”等),而是“个人信息种类”、“主要场景”、“主要途径”、“主要渠道”等实质性内容。
结合工业和信息化部(以下简称“工信部”)自2021年底开始开展的信息通信服务感知提升行动(即“524行动”)中要求“互联网企业应以简洁、清晰、易懂的方式,向用户提供App产品隐私政策摘要;涉及调用用户终端中相册、通讯录、位置等敏感权限的,还应当以适当方式告知用户调用该权限的目的,充分保障用户知情权。”[4]隐私政策文件的摘要部分有必要发挥更关键的作用,而非仅仅作为文本目录。
(四)收集使用个人信息的规则[5]
7.4 收集使用个人信息的规则
隐私协议的该部分内容包括:
a) 详细列举收集和使用个人信息的服务类型及具体的业务功能,不应使用概括性语言;
b) 根据不同服务类型,分别列出各业务功能所收集的必要个人信息类型和非必要个人信息类型,并以“个人信息收集清单”的形式统一集中展示;
c) 描述实现特定业务功能所必需的必要个人信息类型时,应参考《常见类型移动互联网应用程序(App)必要个人信息范围》;
d) 不应使用概括性语言综述所收集个人信息,如“我们收集您的身份等相关信息”此类描述,而应明确写明“我们收集您的姓名、电话号码、地址信息”;
e) 收集身份证、护照、驾驶证等法定证件信息和个人生物识别信息时,应专门提醒个人信息主体此次收集活动涉及的信息,并说明处理目的、处理规则;
f) 在“个人信息清单”中还应列明每类型个人信息被处理的方式、频次、时机,以及拒绝对该类型个人信息的处理可能对个人的影响;
- 服务类型、业务功能、必要个人信息与非必要个人信息
企业可参考《常见类型移动互联网应用程序(App)必要个人信息范围》及《移动互联网应用程序(App)收集个人信息基本要求》(GB/T 41391-2022)辨析“服务类型”、“业务功能”、“必要个人信息”等相关概念,掌握确定App必要个人信息范围的方法,为建立“个人信息收集清单”做好准备。
我们将相关概念及其之间的关系简要梳理如下:
其中,必要个人信息系保障App基本业务功能正常运行所必需的个人信息,因此收集时需告知用户选择该项业务功能则必须提供或允许收集。非必要但有关联个人信息属于与App提供服务直接相关但可选收集的个人信息,因此若需收集,应当告知用户收集目的(原因)、用途、拒绝的影响等。
除此之外,此次《隐私协议标准草案》还要求「个人信息收集清单」应列明每类型个人信息被处理的方式、频次、时机,以及拒绝对该类型个人信息的处理可能对个人的影响。
我们理解,《个人信息保护法》及配套规范对个人信息处理者以何种方式、频率、时机处理(尤其是收集)个人信息提出了相应要求,以确保最小必要原则的实现,企业应当严格遵守。然而,就是否应当以及如何“以清单形式列明每项功能处理个人信息的方式、频次、时机等”,目前除《网络数据安全管理条例(征求意见稿)》第二十条第(一)款[6]外,尚未有生效规范作出明确或详细的指引或规定。
企业可提前统计、明确自身落实最小必要原则所涉及的此类细节信息,先行作为内部合规要求,并密切关注后续相关立法和标准的出台以及最佳实践案例。
- 不应使用概括性语言
《App违法违规收集使用个人信息行为认定方法》第二条第1款、《App违法违规收集使用个人信息自评估指南》第5、6、7条、《移动互联网应用程序(App)收集使用个人信息自评估指南》第2.1条以及《移动互联网应用程序(App)个人信息保护常见问题及处置指南》第2.1条等实践性指南文件均指出“是否将收集个人信息的业务功能逐一列举”、“是否逐一列出收集使用个人信息的目的、方式、范围”是判断App是否存在违法违规收集使用个人信息的重要评估点。例如企业需要注意,服务类型和业务功能应逐项列举,不应使用“等、例如”字样,示例如下:
7.4 收集使用个人信息的规则
隐私协议的该部分内容包括:
g) 统一集中展示服务或产品中所嵌入的各第三方代码或插件(如SDK)的名称,各第三方代码或插件所收集的全部个人信息类型,以及所处理个人信息的目的、方式、种类、频次、时机等处理个人信息的规则;
k) 个人信息处理者说明是否需要共享、转让个人信息,并详细描述需要共享、转让的个人信息类型和原因、个人信息的接收方、对接收方的约束和管理准则、接收方使用个人信息的目的、个人信息共享、转让过程中的安全措施,及共享、转让个人信息是否对个人信息主体带来高危风险,并将以上内容形成“个人信息对外提供清单”;
- 第三方共享个人信息问题
2022年2月18日,工信部发布第三方检测机构对App进行检查的结果,其中至少13款第三方软件开发工具包(SDK)存在违规收集用户设备信息的行为。这是工信部首次将 SDK 作为与 App 并列的项目进行通报。由此,第三方SDK收集使用个人信息合规问题已成为监管关注点。
SDK全称为Software Development Kit,即“软件开发工具包”,是协助软件开发的相关二进制文件、文档、范例和工具的集合(见以下示意图)[7]。若嵌入App中的SDK是由App提供者之外的第三方服务商提供,则简称为“第三方SDK”。
需要注意,第三方SDK收集个人信息行为与App提供者对外提供个人信息行为可能存在重合。根据《网络安全标准实践指南 — 移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》所规定的内容,按照App使用SDK不同的方式,App提供者与第三方SDK提供者可能构成共同处理、委托处理、对外提供(包括对外共享、转让)等不同的数据合作法律关系。
企业根据要求需要列明“第三方SDK清单”,可以与“个人信息对外提供清单”合二为一。
(五)保障个人信息安全的规则
7.5 保障个人信息安全的规则
隐私协议的该部分内容包括:
a) 说明个人信息处理者对个人信息进行安全保护的措施。包括但不限于个人信息完整性保护措施,个人信息传输、存储和备份过程的加密措施,个人信息访问、使用的授权和审计机制,个人信息的保留和删除机制等;
b) 目前遵循的个人信息安全规程和此方面取得的认证。包含个人信息处理者目前主动遵循的国际或国内的个人信息安全法律、法规、标准、协议等,以及个人信息处理者目前已取得的个人信息安全相关的权威独立机构认证;
c) 应描述提供个人信息后可能存在的安全风险;
d) 应表明在发生个人信息安全事件后,个人信息处理者将承担法律责任;
e) 应表明在发生个人信息安全事件后,将及时告知个人信息主体。
- 安全保护措施
企业可根据自身实际从技术措施(例如加密技术、访问制度、数据安全审计等)和其他措施(非技术措施,例如数据安全管理规范、设置专项部门、员工培训等)两方面列举说明。
- 安全认证
常见个人信息安全相关的认证包括:国家信息安全等级保护定级和备案、ISO27001信息安全认证、ISO27701隐私信息管理认证等。
值得关注的是,2022年6月9日,国家市场监督管理总局、国家互联网信息办公室联合发布了《关于开展数据安全管理认证工作的公告》,鼓励网络运营者通过数据安全管理认证(DSM)方式规范网络数据处理活动,加强网络数据安全保护,并同时发布了《数据安全管理认证实施规则》。
虽然目前数据安全管理认证相关细则及开展流程还在制定过程中,认证工作暂未正式开展,但企业可根据自身需要提前准备并关注后续进展。
- 安全事件处置
根据GB/T 35273第10.1、10.2条规定,发生个人信息安全事件后,若个人信息泄露事件可能会给个人信息主体的合法权益造成严重危害的,如个人敏感信息的泄露,个人信息处理者应及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体,告知内容包括但不限于:
1) 安全事件的内容和影响;
2) 已采取或将要采取的处置措施;
3) 个人信息主体自主防范和降低风险的建议;
4) 针对个人信息主体提供的补救措施;
5) 个人信息保护负责人和个人信息保护工作机构的联系方式。
(六)保障个人信息主体权利的规则
7.6 保障个人信息主体权利的规则
隐私协议的该部分内容包括:
a) 说明个人信息主体对其个人信息拥有何种权利,内容包括但不限于:个人信息收集、使用和公开披露时允许个人信息主体选择的个人信息范围,个人信息主体所具备的查阅、复制、更正、补充、删除等控制权限,个人信息主体可以选择的通信和广告偏好,个人信息主体不再使用服务后撤回同意和注销账户的渠道、个人信息主体进行投诉举报、维权的有效渠道等;
b) 对于需要自行配置或操作(如对所使用的软件、浏览器、移动终端等进行配置和操作)以达到查阅、复制、更正、补充、删除、撤回同意等目的,个人信息处理者应对配置和操作的过程进行详细说明,说明方式易于个人信息主体理解,必要时提供技术支持的渠道(客服电话、在线客服等);
c) 如果为个人信息主体提供隐私偏好设置的,需说明具体的设置方法;
d) 如果个人信息主体行使权利的过程产生费用,需明确说明收费的原因和依据;
e) 如果个人信息主体提出行使权利的需求后需要较长时间才能响应,需明确说明响应的时间节点,以及无法短时间内响应的原因;
f) 如果个人信息主体行使权利的过程需要再次验证身份,需明确说明验证身份的原因,并采取适当的控制措施,避免验证身份过程中造成的个人信息泄露;
g) 如果个人信息处理者拒绝个人信息主体对个人信息进行查阅、复制、更正、补充、删除、撤回同意等的要求,需明确说明拒绝的原因和依据。
- 个人信息主体的权利与处理者的响应义务
(七)个人信息跨境流动的规则
7.7 个人信息跨境流动的规则
如果因业务需求、政府和司法监管要求存在跨境信息传输情况,需详细说明需要进行跨境传输的数据类型,以及跨境传输遵守的标准、协议和法律机制(合同等)。
根据《个人信息保护法》第三十八条规定,个人信息处理者因业务等需要,确需向境外提供个人信息的,应当具备下列条件之一:
1) 通过国家网信部门组织的安全评估;
2) 经专业机构进行个人信息保护认证;
3) 与境外接收方订立国家网信部门制定的标准合同,约定双方的权利和义务;
4) 法律、行政法规或者国家网信部门规定的其他条件。
此外,我国缔结或者参加的国际条约、协定对向境外提供个人信息的条件等有规定的,可以按照其规定执行。
而《隐私协议标准草案》第7.7条中“跨境传输遵守的标准、协议和法律机制(合同等)”即是对应上述《个人信息保护法》中境外提供所应具备的条件。
截至目前,国家互联网信息办公室于2021年年底先后发布的《数据出境安全评估办法(征求意见稿)》和《网络数据安全管理条例(征求意见稿)》都已对包括个人信息在内的数据出境原则和要求进行了更为详细的规定,且两部法规已结束公开征求意见的工作,有望在2022年正式出台。此外,个人信息保护认证机制及标准合同也在制定中。对于该部分内容,建议企业关注相关进展,并根据最新监管要求完善和更新隐私政策文件。
以上是我们通过分解《隐私协议标准草案》核心条款[8]的方式,从形式和实质合规两方面为企业如何编制隐私政策文件提供的细化指引。下篇我们将继续解读隐私政策文件的更新、修订、发布、可视化及争议纠纷解决问题,敬请关注《下篇:隐私政策文件更新、修订与发布需要注意哪些问题?》。
注释:
[1] 《个人信息保护法》第三十一条:个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。
[2] 《儿童个人信息网络保护规定》第八条:网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护。
[3] 参见江苏省消费者权益保护委员会《新能源汽车行业不公平格式条款调查报告》,访问地址:http://web.jshcsoft.com/jiangsu/HTML/listDetails.html?id=1&channel_id=1033&type=undefined&textId=4153&category_id=3154。
[4] 参见《工业和信息化部关于开展信息通信服务感知提升行动的通知》(工信部信管函〔2021〕292号),访问地址:https://www.miit.gov.cn/jgsj/xgj/wjfb/art/2021/art_52f483ad3937465d86f767afc8510ca6.html。
[5] 囿于篇幅,本部分我们将仅就《隐私协议标准草案》第7.4条中重点规则及注意事项进行介绍。
[6] 《网络数据安全管理条例(征求意见稿)》第二十条:数据处理者处理个人信息,应当制定个人信息处理规则并严格遵守……个人信息处理规则应当包括但不限于以下内容:
(一)依据产品或者服务的功能明确所需的个人信息,以清单形式列明每项功能处理个人信息的目的、用途、方式、种类、频次或者时机、保存地点等,以及拒绝处理个人信息对个人的影响;
[7] 参见《网络安全标准实践指南—移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》2.3定义及3.1 App 使用 SDK 的相关方和责任之“图 1 SDK使用示意图”。
[8] 本篇未涉及的《隐私协议标准草案》“7.8 隐私协议更新的规则”及“7.9 提供联系方式”我们将在下篇中结合“9隐私协议的修订”和“10隐私协议的争议纠纷解决”进行解读。