互联网公司如何制定APP隐私政策?
近年来,随着移动互联网技术的蓬勃兴起,APP市场获得了前所未有的发展,APP用户群体日益庞大。但与此同时,也频频出现APP非法获取和使用个人信息,从而侵犯个人隐私的乱象。2019年初,国家多部委重拳出击,重点整治乱象。数十款app被强制下架,数百款app被点名整改。业内表示,app收集个人信息迎来强监管元年。隐私政策作为文本形式的“契约桥梁”,是平台与用户之间达成个人信息处理理解的最常见、最有效的方式。为了进一步提升业务合规能力,实现持续合规的目标,互联网企业应充分认识到制定合格的隐私政策的重要性。本文将围绕APP隐私政策的合规点展开,为互联网企业合规管理体系的全面完善贡献力量。
1.什么是应用隐私政策?
隐私政策通常指网站、应用程序等的政策。基于隐私策略的用户信息处理。它是企业和用户之间关于如何处理和保护用户个人信息的基本权利和义务的文件,用于告知用户个人信息是如何被第三方收集、使用和共享的。既是对企业的约束,也是企业提醒用户自主、自愿、合理提供和处置个人信息,分清用户责任的依据。用户应在开始使用产品和/或服务前仔细阅读,并确认已完全理解相关隐私政策中所述内容,并在使用产品/服务前同意。
目前,保护个人隐私信息的主要国际立法包括欧盟的《一般数据保护条例》(GDPR)和美国加州议会通过的《消费者隐私法》。我国行业没有统一的隐私政策合规性评价体系,而是通过《中华人民共和国网络安全法》、《电信和互联网用户个人信息保护规定》、《信息安全技术个人信息安全规范》(GB /T35273—2020)、《儿童个人信息网络保护规定》等一系列法律法规建立合规性评价体系。其中,《信息安全技术个人信息安全规范》明确了个人信息控制者在信息收集、存储、使用、* * * *享受、转移和披露等方面的行为,也提供了隐私政策的编写模板,为完善移动社交app的隐私保护政策提供了依据。
二,常见的不合规情况
根据《APP非法收集和使用个人信息行为认定办法》(以下简称《认定办法》)、《APP非法收集和使用个人信息行为自我评估指南》(以下简称《指南》)和工信部系列行政处罚公告(如《关于侵害用户权益的APP的通知》),结合实践中突出的违规行为,本文列举了以下几种常见的APP隐私政策不合规情形:
(1)隐私政策未完整列出其收集和使用的用户信息,或者运营商收集和使用的用户信息超出隐私政策所列范围;
(2)隐私政策未详细规定第三方SDK收集和使用个人信息的目的、方式和范围,或者未在隐私政策中插入第三方SDK的目录;
(3)隐私政策没有提供用户投诉、申诉和反馈的渠道(一般投诉渠道包括:邮件、电话、在线客服等。);
(4)隐私政策未能提供更正、删除个人信息和注销用户账户的有效功能,或对上述操作设置不必要或不合理的条件,或未能及时响应上述操作;
(5)没有针对14周岁以下儿童的保护儿童个人信息的专门政策;
(6)把平台的利益放在首位,忽视用户的权利;
(7)数据保存时限不明确,忽视用户享有的被遗忘权。
第三,互联网公司要重视APP隐私政策的制定
制定单独的隐私政策,并以适当的方式表达出来。
首先,互联网公司应该制定单独的隐私政策。从上面可以看出,隐私协议是一个告诉用户网站或移动软件如何收集和使用用户信息和数据的文档。用户协议相当于网站和用户之间的合同,比如知识产权的归属,封禁账号的权利等等。这两者不能混为一谈。2021,11,1,《个人信息保护法》(以下简称《个人保护法》)正式生效。围绕《个人保护法》的规范本质,平台应据此做出及时、适当的回应,包括重视与用户的沟通,突出隐私政策的存在。第一个任务是保持隐私政策的独立性,即建立单独的隐私政策。一方面,隐私政策独立性的要求是基于隐私政策的重要性而提出的。近年来,随着互联网的发展,个人信息保护地位的提高,基于个人信息的隐私政策逐渐后来居上,形成了与用户协议相抗衡的局面。为此,对隐私政策的独立性和可读性的要求逐渐走上了合规阶段;另一方面是出于合同标准化的考虑。隐私政策和用户协议的本质是平台和用户签订的协议。当隐私政策条款隐藏在用户协议中时,平台很难充分强调个人信息保护条款对用户的重要性。而且隐私政策涉及金额大,适用规则与用户协议不同,双方权利义务也不同。因此,隐私政策应该是独立的,并作为一个完整和独立的合同出现。
其次,应该以适当的方式清楚地说明隐私政策。根据《民法典》第1035条规定:“个人信息的处理应当遵循合法、正当、必要的原则,不得过度处理,并符合下列条件: (一)取得自然人或者其监护人的同意,法律、行政法规另有规定的除外;(二)公开处理信息的规则;(3)明确说明信息处理的目的、方式和范围;(四)不违反法律、行政法规的规定和双方的约定。个人信息的处理包括个人信息的收集、存储、使用、处理、传输、提供和披露。”
注意隐私政策条款的完整性
01
明确个人信息收集和利用的规则
《指南》指出,互联网公司在收集和使用个人信息时,应当首先征得用户同意。具体来说,要求APP运营者对用户作出隐私安全承诺,明确告知用户个人信息收集的类型、收集的目的、收集和利用的原则。采集和利用应当遵循合法、正当、必要的原则。因此,互联网公司在制定隐私政策和用户协议时,应明确上述内容。其次,个人信息的使用和收集的基本法律依据是个人同意机制,即个人信息的收集和使用需要得到用户的同意;应明确告知用户收集和使用信息的目的、方法和范围;不得收集非提供服务所必需的用户个人信息,不得将信息用于提供服务以外的目的,不得以欺骗、误导、胁迫等手段或违反法律、行政法规及双方约定的方式收集或使用信息;用户停止使用电信服务或者互联网信息服务后,应当停止收集、使用用户个人信息,并向用户提供注销号码或者账户的服务。例如,腾讯的隐私政策将“我们可能收集信息的时间”进一步分类,然后规定* * *分为三类:您提供的信息、其他方共享的信息和我们获取的信息(包括日志信息和位置信息)。
02
明确个人信息* * *享受和转移相关内容。
“把平台利益放在第一位,忽视用户权利”的问题,在信息的享有、传递和披露上尤为明显。虽然原则上消费者的个人数据是不能共享、公开和转让的,但在现实生活中,数据背后巨大的经济利益让运营商很难抵御二次利用的诱惑。APP运营方往往会与第三方共享用户数据,第三方通过算法分析特征和偏好,形成间接人群画像,精准推送商业广告。多数运营商强调与关联方、合作伙伴共享消费者数据的权利;企业合并、分立或清算时的消费者资料转移权;经数据主体同意,或者为维护公共利益或者他人合法利益,依法公开相关数据的权利。也就是说,经营者过分强调自己的权利,而忽略了相应的义务和责任。对此,笔者建议,互联网公司在有必要共享、传输用户信息时,应当告知消费者共享信息的目的、涉及的个人信息范围、接收方的类型以及安全和法律责任。
个人信息对外共享主要包括用户向第三方共享信息、个人信息跨境流通以及其他个人信息共享的情形。其中,第三方平台共享是网络平台服务中最常见的情况之一,是指用户从原平台跳转到其他平台,在该平台上共享相关信息的行为。通常平台跳转时,用户的一些基本个人信息或用户信息(包括但不限于个人昵称、个人头像等物品)会被第三方(即用户跳转到的平台)收集。针对此类问题的方案可以参照“个人信息的收集和使用”的内容制定。同时,还需要在“信息共享”一章中明确列出这种信息共享的形式,以提醒和告知网络服务的使用者可能存在的风险和后果。根据《指南》,APP享有、转让个人信息的,应当符合以下条件:一是在转让前告知个人信息主体该信息、转让该信息的目的、数据接收方的类型等信息,并取得个人信息主体的授权和同意;二是在* * *享受和转让过程中要采取措施保证过程安全;三是记录* * *享受和转让的信息内容,登记* * *享受和转让的信息,包括* * *享受和转让的日期、数据量、用途和数据接收方的基本信息;最后,在* * *享有和转让后,应当了解接收方对个人信息的保存和使用,以及个人信息主体的权利,如查阅、更正、删除、注销等。因此,互联网公司在拟定APP隐私政策和用户协议时,如果确实涉及* * *分享、转让所收集的用户个人信息的行为,应当在相关协议中明确上述内容。
03
明确个人信息的处理制度
《指南》中对个人信息的处理包括申请、删除、第三方委托三个部分。就个人信息的应用而言,APP运营者对个人信息的应用应当符合用户注册协议和隐私政策的规定,不得超出与用户签订的信息使用协议的范围。
就删除个人信息而言,应满足四个要求:一是个人信息超过存储时限后,应删除与个人信息相关的存储设备;二是个人信息相关存储设备应当满足防止存储的个人信息数据被删除后通过技术手段恢复的要求;第三,对已存储个人信息的设备存储新信息时,应删除之前的所有内容;第四,丢弃的存储设备应在处置前删除。
最后,关于第三方委托加工,在委托第三方加工前,应对受托方的安全能力进行评估,同时与委托方签订相关协议,要求委托方符合《指引》的相关要求。最后,个人信息的委托处理不得超出信息主体授权的范围,受托方在处理完个人信息的相关数据后,应当删除存储的数据内容。因此,互联网公司在制定用户协议和隐私政策时,应当按照《指引》的要求,完善对个人信息处理的相关规定。
04
明确未成年人信息保护制度
随着《儿童个人信息网络保护条例》、《互联网音像信息服务管理规定》、《互联网企业个人信息保护评价标准》的出台,明确未成年人信息保护制度,互联网企业义不容辞。根据《儿童个人信息网络保护条例》、《互联网音像信息服务管理规定》和《互联网企业个人信息保护评估标准》,互联网企业应当建立未成年人保护制度,应当规定未成年人个人信息处理的专门措施。未经监护人明确同意,他们不应处理未成年人的个人信息。同时,互联网公司应当设立专门的未成年人个人信息保护规则和用户协议,指定专人负责未成年人个人信息保护工作。同时,随着个人信息强监管的逐步实施,从长远来看,互联网公司应制定独立的儿童个人信息保护政策,区分适用于14以下未成年人和14以上未成年人的内容。
隐私政策的内容应符合合理性的要求。
所谓合理性,是指APP运营者在设置隐私政策条款时,不得设置不公平的条款,比如免除自身责任、增加对方义务的条款。一旦隐私政策内容过于强势,极有可能陷入霸王条款,面临隐私政策内容无效的局面。根据《民法典》的规定,格式条款是指当事人在订立合同时,为重复使用而事先拟定的、未经双方协商的条款。可以说,目前几乎所有的隐私政策都是格式条款。《民法典》第四百九十七条规定了格式条款的无效:“(一)具有本法第一部分第六章第三节和本法第五百零六条规定的无效性;(二)提供格式条款的一方不合理地免除或者减轻其责任、加重对方责任或者限制对方主要权利的;(三)提供格式条款的一方排除对方的主要权利。”相关APP运营公司应做好对用户协议内容的效力审查,避免出现因违反上述规定导致协议条款法律无效的情况。
完全适用“告知-同意”规则
2013年,工信部颁布的《电信和互联网用户个人信息保护规定》首次明确了未经用户同意,不得收集、使用其个人信息的原则。随后,2017网络安全法进一步规定,网络运营者公开收集、使用个人信息,应当明确说明收集、使用信息的目的、方式和范围,并征得被收集者的同意。从而确立了我国个人信息收集和使用的一个基本原则:告知-同意原则。网络运营者可以收集的用户个人信息仅限于与其提供的服务相关的范围,在收集和使用信息的过程中应当遵守法律、行政法规以及与用户的约定。即将出台的《人身保险法》依然坚持以“告知-同意”为核心的个人信息处理规则。在此前提下,APP运营者必须公开其收集和使用信息的目的、方式和范围,并征得被收集人的同意。
结论
在赤裸裸的隐私大数据时代,隐私政策作为现代公司治理体系的重要组成部分,必然会对数字经济的发展产生重要影响。随着消费者对数据隐私保护需求的不断增加,拥有完备隐私政策的运营商在市场上的竞争力将不断增强。隐私政策不完善的运营商势必会失去用户的信任,对企业的发展造成不利影响。因此,重视APP隐私文本的合规性,对企业的长远发展意义重大。
作者:上海温岚律师事务所孙良娟律师