一、引言:從谷歌返華的第一步說起
近日,人民日報發文歡迎谷歌返回中國大陸,作為谷歌返華后最強勁的對手,百度CEO李彥宏毫不示弱地表示“百度有信心再贏一次。”然而,作為準備充分、卷土重來的谷歌,返華的第一步并非其他,卻是要求處理用戶敏感信息的開發者提供有效的隱私權政策。足見谷歌本次“歸來”并非側重與百度之間傳統流量和排位的競爭,而是注重網絡平臺“生態系統”的合規優化,從而為用戶的數據隱私提供高標準的保護。不難看出,谷歌對我國《網絡安全法》的解讀和當前數據合規的大趨勢把握得十分精準,才會使出隱私政策這第一把殺手锏。
2017年6月開始實施的《網絡安全法》(下稱《網安法》)對于個人信息的收集、使用、保存、對外提供等一系列處理行為提出了明確要求。《網安法》第22條第3款規定, “網絡產品、服務具有收集用戶信息功能的, 其提供者應當向用戶明示并取得同意”;第41條第1款規定,“網絡運營者收集、使用個人信息, 應當遵循合法、正當、必要的原則, 公開收集、使用規則, 明示收集、使用信息的目的、方式和范圍, 并經被收集者同意。”隱私政策是目前企業對個人信息處理向信息主體進行“明示”的常用方式之一, 其合法合規為企業收集處理的個人信息提供了保障。隱私政策的合格與否關系到企業能否規避懲罰風險、能否增強企業競爭力,其重要性不言而喻。本文將對完備的隱私政策必備的幾個要素進行分析,供企業參考。
二、完備的隱私政策的三大要素
本人將多份隱私政策的形式、內容等進行一一對比分析,總結出一份合規的隱私政策所應該具有的三大要素。
(一)顯著性
顯著的方式有多種,現行法律條文中能夠想象的“顯著”方式包括“加黑、顏色、下劃線、放大字體”等方式。本人認為此處的“顯著”是指“應當有友好而極易發現的通道從而讓用戶能瀏覽隱私權政策”。因此隱私政策的顯著性主要體現在:
1、用戶注冊確認頁面設置《隱私權政策》的超鏈接
首先,《隱私政策》的顯著性,最為直觀表地現為同意隱私政策的位置。在用戶安裝、注冊、第一次使用前對《隱私政策》采取增強式告知,提示關于個人信息收集的核心內容。增強式告知不是隱私政策的全部內容,但濃縮了隱私政策的核心,突出用戶最關心的信息,例如收集的個人信息范圍、使用目的和使用主體等。2017年“隱私條款專項工作”結束后,京東、支付寶等在其更新后的隱私政策使用了增強式告知,并且展現形式可擴展收縮,點擊目錄可以跳轉到具體條款,易于用戶獲取和閱讀關鍵信息。在實踐中,不少應用程序,電子商務平臺的《用戶服務協議》和《隱私政策》被縮小成小小的兩行超鏈接文字,且不具備擴展收縮、彈窗功能,對于此種缺乏顯著性的《隱私政策》的“同意”,因不具備顯著性功能,無疑在合規上存在重大瑕疵。
2、用戶表示“明示同意”的方式
自從互聯網行業發展伊始,用戶的“同意”便是企業機構取得用戶數據處理權限的最常用而直接的方式,我國《網絡安全法》更是以用戶同意作為唯一明文規定的數據處理合法性基礎。對于一份合規的《隱私政策》,有效的用戶同意必須滿足以下要求:
A)用戶“同意”應由其自由做出---基于用戶真正的選擇權
B)從內容上看,用戶“同意”應當是具體的、知情的
C)從方式上看,用戶“同意”應當是明確不含糊的
根據上述標準,目前不少軟件、應用中的《隱私政策》都因存在以下情形將被認定為合規性存在問題:
①以用戶“同意”作為提供一般服務的前提或與其他條款不合理的捆綁
②采用“我已閱讀上述……并同意……”的模式獲取用戶的同意
③采用預先勾選或其他默認同意的方式獲取用戶的同意
④數據處理活動或目的超出原始同意的權限范圍
(二)完整性
由于《網安法》原則性較強,對數據合規的具體要求需要企業根據自身情況予以細化落實。在法律強制性要求的基礎上, 本文結合《網安法》,將隱私政策的完整版本總結如下:
(三)合規性
隱私政策作為企業數據合規審查中首當其沖的審查對象,其合規性必然是其最終目的與完善目標。隨著《網安法》制定和實施,數據合規的紅線不斷提高,企業也不斷修訂和完善隱私政策以使其一次次跨越審查紅線。因此,合規性作為隱私政策的基本特征不容置疑。
在《網安法》中規定的個人信息權有:“知情權”(收集和使用公民個人信息必須遵循合法、正當、必要原則,且目的必須明確并經用戶的知情同意)、“更正權(個人發現網絡運營者收集、存儲的其個人信息有錯誤的,有權要求網絡運營者予以更正。)”、“刪除權”(個人發現網絡運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的,有權要求網絡運營者刪除其個人信息)、“撤銷權”(個人信息主體有權撤回其先前的同意,個人信息控制者應向個人信息主體提供方法撤回收集、使用其個人信息的同意授權。)、“注銷權”(個人信息主體有權注銷其賬戶)。無一例外,以上權利都應該體現在一份合規的隱私政策中。換言之,在現行的法制條件下,若一份隱私政策沒有以上權利的存在,足以認定其為不合規的隱私政策。
值得一提的是,在應用APP的隱私政策中,通常將提供服務的業務分為核心功能和附加功能。而在隱私政策相關規定中,應用軟件在提供附加服務時,對個人數據信息的處理是否同核心業務一樣具有嚴密的合規性是值得我們思考的問題。另外,當應用軟件的初始目的和后續目的在長時間的開發使用中出現不一致時,隱私協議是否需要重新擬定及用戶是否需要重新表示“單項同意”,同樣是值得我們探討的問題。
三、結語
隨著國家對大數據產業關注的深入,針對個人信息甚至用戶信息的保護趨勢也是會越來越規范化。提前防范風險、修改完善隱私政策,并隨時根據新政策新形勢調整,其必要性、重要性不言而喻。合規的隱私政策不僅有利于降低企業自身的法律風險,還可以增強客戶對企業的信任感。同樣,在越來越多的大平臺加緊抓牢隱私政策審查的大形勢下,隱私政策的合規逐漸成為企業進入大平臺的“市場準入門檻”。擁有完備的隱私政策將成為企業手中的一張“王牌”,既能規避法律懲罰風險,又能增強企業競爭力,在企業數據風云中行穩致遠。
注:感謝實習生陳玲玲為這篇文章做的支持工作。
