目前,公安部“净网2020”专项行动已取得阶段性成果。为配合新冠肺炎疫情防控工作,全国公安机关网安部门依法严厉打击网上侵害公民个人信息犯罪活动,已治安处罚1522人,通报其他部门给予党纪政纪处分433人[1]。近期,国家计算机病毒应急处理中心在“净网2020”专项行动中对互联网监测发现,多款外卖、医疗和在线教育、民宿、会议类移动应用涉嫌隐私不合规行为[2]。
为了帮助APP运营者对APP收集、使用个人信息行为进行自查自纠,本所于2020年4月10日发布了文章《从Zoom事件看APP数据合规审查之重点问题》,梳理了APP收集、使用个人信息的法律依据、常见问题及其应对策略。但是,对于即将上线APP但尚无隐私政策的运营者而言,撰写隐私政策仍是一个难题。因此,本文提出APP隐私政策的基本框架及撰写要点,以帮助APP运营者撰写隐私政策。
01隐私政策框架
《网络安全法》第41条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。这一规定是撰写APP隐私政策应遵循的首要原则。此外,《消费者权益保护法》《儿童个人信息网络保护规定》《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》《信息安全技术 个人信息安全规范》(GB/T 35273—2020,将于2020年10月1日实施,本文涉及该标准的,均指本版本)等法律法规、规范性文件、国家标准也为APP隐私政策提出了相应的要求和参考。
以上述法律法规为依据,本文建议APP隐私政策框架如下:
以上仅为APP隐私政策框架及其内容提要,其中“版本信息”及“术语说明”两个部分的撰写相对容易,因此下文将详细介绍其余内容的撰写要点。
02隐私政策撰写要点详述
(一)简要声明
该部分主要介绍隐私政策所适用的APP所提供之产品和服务的内容和范围、描述APP运营者基本情况、隐私政策更新及其通知用户的方式,并对隐私政策的重点进行总结和摘录。在对APP运营者基本情况进行描述时,至少应当说明:a) 公司名称;b) 注册地址或常用办公地址;c) 个人信息保护机构或相关负责人联系方式。对隐私政策进行摘录说明的同时,可以通过展示隐私政策目录的形式,使用户快速了解隐私政策的主要组成部分。
(二)信息的收集和使用
APP收集信息,可能用于实现不同业务目的、构建用户画像、个性化展示和建立信息系统自动决策机制等。
基于不同业务目的收集和使用信息的,隐私政策中应当将收集个人信息的业务功能逐项列举,但不应使用“等、例如”等省略部分业务功能,且每个业务功能都应说明其所收集的个人信息类型,不应出现多个业务功能对应一类个人信息的情况。每个业务功能在说明其所收集的个人信息类型时,也应当逐项列举,不应使用“等、例如”等方式概括说明。在列举各项业务功能时,可以适当区分基本功能(核心业务功能)与附加功能(扩展业务功能)。
全国信息安全标准化技术委员会于2019年6月1日发布的《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》给出了“基本业务功能”的含义,即“满足个人信息主体选择使用移动互联网应用的最主要需求和根本期待的业务或功能”,撰写时可参考该定义,并以实际情况为主进行区分。对于基本业务功能之外的附加功能,隐私政策应当说明如果用户不授权同意使用的,不会影响用户使用其基本服务,但无法获得这些附加服务带来的用户体验。
应当注意,APP收集个人信息应当遵循最小必要原则,仅收集与APP业务功能有直接关联的个人信息类型。《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》针对地图导航、网络约车、网上购物等16类基本业务功能,给出了每类业务功能相关的必要信息范围,在设计APP功能和撰写隐私政策时可以参考。例如,地图导航业务功能的必要信息是位置信息,包括精准定位信息和行踪轨迹,使用的要求包括:1)精准定位信息仅用于确定用户位置,进行地图搜索展示和导航服务;2)行踪轨迹仅用户在导航服务中判断实时路况及重新规划导航路线。
在信息使用方面,如有向个人信息主体推送、展示个性化内容时,隐私政策应向用户说明这一使用方式,同时告知用户退出或关闭个性化展示模式的方式,以及删除或匿名化定向推送、展示个性化内容所基于的个人信息的方式。
基于信息系统自动决策机制使用个人信息时,要求开展个人信息安全影响评估,并依据评估结果采取有效的保护措施。因此,隐私政策应对向用户说明其个人信息的这一使用方式,并说明所采取的保护措施及对自动决策结果的投诉渠道。
(三)个人敏感信息收集
《信息安全技术 个人信息安全规范》给出了个人敏感信息的定义,即:一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息,并列举如下:
若需收集个人敏感信息,应单独向用户告知收集、使用个人敏感信息的目的、方式和范围,以及存储时间等规则,并征得用户的明示同意。
对于未成年人(尤其是14周岁以下未成年人)隐私收集和使用,《儿童个人信息网络保护规定》要求网络运营者收集、使用、转移、披露儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意。网络运营者征得同意时,应当同时提供拒绝选项,并明确告知以下事项:(一)收集、存储、使用、转移、披露儿童个人信息的目的、方式和范围;(二)儿童个人信息存储的地点、期限和到期后的处理方式;(三)儿童个人信息的安全保障措施;(四)拒绝的后果;(五)投诉、举报的渠道和方式;(六)更正、删除儿童个人信息的途径和方法;(七)其他应当告知的事项。前款规定的告知事项发生实质性变化的,应当再次征得儿童监护人的同意。因此,建议至少在隐私政策中说明《儿童个人信息网络保护规定》所要求的内容。如有必要,可设专门未成年人隐私政策条款进行说明。
(四)信息的存储
隐私政策中信息的存储部分应当说明信息的存储地域、存储期限等说明。存储地域部分应说明信息存储于国内或国外。信息存储的期限,可结合不同业务功能储存目的进行说明。隐私政策也应当说明当产品或服务停止运营时,个人信息如何处置,基本要求是:a) 及时停止继续收集个人信息;b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体;c) 对其所持有的个人信息进行删除或匿名化处理。
对于个人敏感信息,存储时应与个人身份信息分开存储,并采用加密等安全措施,原则上不应存储原始个人生物识别信息(如样本、图像等),可仅存储个人生物识别信息的摘要信息。
(五)信息的共享、转让、公开披露
如果存在个人信息对外共享、转让、公开披露等情况,隐私政策中应明确以下内容:a) 对外共享、转让、公开披露个人信息的目的;b) 涉及的个人信息类型;c) 接受方类型或身份;d) 可能产生的后果;e) 数据接收方的安全能力;f) 如共享、转让用户信息前,会对个人信息做去标识化处理,使得数据接收方无法重新识别或者关联个人信息主体的,也应当进行说明。
(六)信息的管理和保护
隐私政策中应对APP运营者在个人信息保护方面采取的措施和具备的能力进行说明,如身份鉴别、数据加密、访问控制、恶意代码防范等,同时也应当描述提供个人信息后可能存在的安全风险。此外,2020年3月30日全国信息安全标准化技术委员会秘书处发布的《网络安全标准实践指南—移动互联网应用程序(APP)个人信息安全防范指引(征求意见稿)》建议,APP运营者宜采取技术检测、安全审计等手段,确保第三方SDK收集、使用行为符合约定要求。如果APP运营者采取了相关手段的,建议向用户披露。
隐私政策也应当说明发生个人信息安全事件后APP运营者应当承担的法律责任。若有国际或国内关于个人信息安全的标准、协议,或已取得个人信息安全相关的权威独立机构认证,也应当写明。
(七)信息出境
隐私政策应当向用户说明隐私政策是否会进行跨境转移,并说明转移的目的及通知用户的方式。如果存在个人信息出境情况,隐私政策中应将出境个人信息类型逐项列出并显著标识(如字体加粗、标星号、下划线、斜体、颜色等),以及跨境传输所应遵守的合同、标准、协议或法律机制等。
(八)用户权利
用户权利部分,应当说明用户可对APP收集的信息进行相关操作的权利,包括但不限于查询(访问)、更正、删除个人信息、改变授权同意范围、注销用户账户、获取个人信息副本、约束信息系统自动决策机制等。如果拒绝用户对个人信息进行以上相关操作,也应当明确说明拒绝的理由和依据。
在写明用户可以行使的权利时,应当写明对应的合理的操作过程,必要时提供客服电话、在线客服等,帮助用户执行以上操作。如果行使以上权利会产生费用,或行使权利的过程中需要再次验证身份的,也需说明理由和依据。
应当给出APP响应用户的承诺时限,且承诺时限一般不得超过15个工作日,若较长时间才能响应的,应当说明无法在短时间内响应的理由。
(九)Cookie等同类技术的使用
APP运营者为了更加便利地记录用户登录状态等信息、提供个性化设置或跟踪分析用户行为等原因,可能会使用Cookie等同类技术(包括脚本、Clickstream、Web信标、Flash Cookie、内嵌Web链接、SDK等)收集用户信息。当使用Cookie等同类技术收集个人信息时,应向用户披露所使用的相关技术,及其所收集个人信息的目的、方式(例如使用会话Cookie或永久Cookie等),以及清除、停用此类技术的方式(写明具体步骤)及影响(例如某些服务可能必须使用Cookie,禁用Cookie可能会影响用户使用这些服务的全部或部分功能)。
(十)第三方服务的披露
如APP嵌入了第三方代码、插件(如SDK)收集个人信息,应当对嵌入的收集用户个人信息的第三方代码、插件进行披露,告知第三方代码、插件的类型、收集使用个人信息的目的、方式和内容。如存在第三方代码、插件将个人信息传输至境外的,也需说明跨境传输个人信息的目的、类型和接收方等。然而,一些APP上线时未接入第三方服务,但在聚拢了相当数量的用户后,又会拓展业务领域增加第三方服务。此时,应当及时更新隐私政策并向用户说明。
在撰写隐私政策时,建议明示第三方的“隐私政策”,至少应当附上第三方服务隐私政策的链接,形成保护闭环。但目前,许多APP并未展示或链接第三方服务隐私政策,如某APP的隐私政策做如下说明:第三方社交媒体或其他服务由相关的第三方负责运营。您使用该等第三方的社交媒体服务或其他服务(包括您向该等第三方提供的任何信息),须受第三方自己的服务条款及信息保护声明(而非本政策)约束,您需要仔细阅读其条款。本政策仅适用于我们所收集的个人信息,并不适用于任何第三方提供的服务或第三方的信息使用规则。如您发现这些第三方社交媒体或其他服务存在风险时,建议您终止相关操作以保护您的合法权益。
(十一)投诉建议渠道
投诉建议渠道部分,应当说明合理的投诉建议的渠道,至少提供以下一种方式:a) 电子邮件;b) 电话;c) 传真;d) 在线客服;e) 在线表格。同时,应当说明承诺回复期,承诺回复期建议不超过15天。
03结语
本文所述内容仅为APP隐私政策撰写基本框架和要点提示,不足以构成完整、合规的隐私政策。此外,在行政执法过程中,隐私政策的位置、呈现方式也是审查重点,如进入APP主界面后,需多于4次点击等操作才能访问到隐私政策,或者隐私政策文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等,均可能被认定为“未公开收集使用规则”而受到处罚。也有些APP隐私政策中有“本公司对本协议条款保留最终的解释权”的内容,可能会被执法机构认定为“与消费者采用格式条款订立合同时,排除了消费者解释格式条款的权利”而受到处罚。因此,建议APP运营者在撰写隐私政策时应严格符合当前法律法规要求,定期审查并在必要时做更新,以不断完善企业的隐私合规政策。
[1] 《公安部“净网2020”专项行动全面展开,严打涉疫情“网络水军”及侵害公民个人信息违法犯罪》,来源:公安部网站,
https://www.mps.gov.cn/n2255079/n6865805/n6888406/n6888452/c7112078/content.html。
[2]《这21款APP违法!可能你也在用》,来源:人民日报微信公众号,https://mp.weixin.qq.com/s/hLwRcClYKAF0-8r7MESS1w。
