一、互联网平台数据采集处理的合法合规
(一)采集的合法性认定
(二)运用的合法性认定
二、用户对隐私政策的同意是否构成对互联网平台的使用授权
(一)隐私计算不等于匿名化
(二)隐私计算必须经平台告知,用户同意
三、如何实现互联网平台与用户的双向奔赴
四、结语
摘要:近两年来,数字化生活越来越渗透到百姓生活,互联网平台的数据采集应用也相继成为行业治理和政策监管的热点话题。国家相继出台了各类法律法规并形成专门整治乱象的监管部门,加强对互联网平台侵害用户权益、威胁数据安全等行为进行集中整治。
互联网平台如果采集运用数据、用户如何将个人信息安全有效使用,互联网平台与用户之间如何更好的互利互惠,成为了本篇探讨的三个重点问题。
根据《移动互联网应用程序收集使用个人信息自评估指南》的相关规定,对互联网平台合法合规采集数据应从以下几个方面进行评估判断。
(一)采集的合法性认定
1、是否未公开收集使用规则
五个评估要点,包括:(1)是否公开隐私政策等收集使用规则;(2)是否提示用户阅读隐私政策等收集使用规则;(3)隐私政策等收集使用规则是否易于访问;(4)隐私政策等收集使用规则是否易于阅读;(5)以及公开的收集使用规则是否完整。
2、是否未明示收集使用个人信息的目的、方式和范围
四个评估要点,包括:(1)是否逐一列出收集使用个人信息的目的、方式、范围;(2)收集使用个人信息的目的、方式、范围发生变化时是否通知用户;(3)是否同步告知申请打开权限和要求提供个人敏感信息的目的;(4)收集使用规则是否易于理解。
3、是否未经用户同意收集使用个人信息
十个评估要点,包括:(1)收集个人信息或打开可收集个人信息权限前是否征得用户同意;(2)用户明确表示不同意收集后是否仍收集个人信息;(3)用户明确表示不同意收集后是否频繁征求用户同意、干扰用户正常使用;(4)实际收集的个人信息是否超出用户授权范围;(5)是否以默认选择同意隐私政策等非明示方式征求用户同意;(6)是否未经用户同意更改其设置的可收集个人信息权限状态;(7)存在定向推送信息情形的是否提供非定向推送信息的选项;(8)是否以不正当方式误导用户同意收集个人信息;(9)是否向用户提供撤回同意收集个人信息的途径、方式;(10)是否违反其所声明的收集使用规则。
4、是否违反必要原则,收集与其提供的服务无关的个人信息
四个评估要点,包括:(1)是否收集与业务功能无关的个人信息;(2)用户是否可拒绝收集非必要信息或打开非必要权限;(3)是否以非正当方式强迫收集用户个人信息;(4)收集个人信息的频度是否超出业务功能实际需要。
(二)运用的合法性认定
1、是否未经同意向他人提供个人信息
三个评估要点,包括:(1)是否未经用户同意,也未做匿名化处理,客户端直接向第三方提供个人信息;(2)是否未经用户同意,也未做匿名化处理,数据传输至后台服务器后,向第三方提供其收集的个人信息;(3)App接入第三方应用,是否未经用户同意,向第三方应用提供个人信息。
2、是否未按法律规定提供删除或更正个人信息功能
四个评估要点,包括:(1)是否未提供有效的更正、删除个人信息及注销用户账号功能;(2)为更正、删除个人信息或注销用户账号设置不必要或不合理条件;(3)虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理;(4)更正、删除个人信息或注销用户账号等用户操作已执行完毕,但App后台并未完成的;
3、未公布投诉、举报方式等信息
未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理的。
隐私计算是在充分保护数据和隐私安全的前提下,实现数据价值的转化和释放的重要技术。利用隐私计算能保障大数据在安全有保障的环境下发挥作用。
所谓隐私计算,是指在保护数据本身不对外泄露的前提下,实现数据分析计算的技术集合,达到对数据“可用不可见”的目的。
(一)隐私计算不等于匿名化
《民法典》第一千零三十八条明确规定,“经过加工无法识别特定个人且不能复原的除外”。因此如果是已经匿名化的信息,可以不受相关法律法规的约束。而隐私计算是要根据相关法律法规,进行合规性的审查。
(二)隐私计算必须经平台告知,用户同意
虽然运用隐私计算技术能够较高等级和程度的满足个人信息保护的要求,涉及对个人敏感信息的隐私计算场景中,单独明确的同意是必要条件。根据《个人信息保护法》的规定,分析如下:
1、平台要明确告知
第七条明确告知个人采用“隐私计算”是法定要求。所以当涉及处理个人信息处理时,也应当告知个人采用了相关的隐私计算技术,明确相关的目的、方式和范围。
平台方可通过隐私政策等个人信息授权文本,向用户充分说明处理个人信息的规则,并由用户手动点击确认、手动勾选同意等自主同意的方式获得用户的一般同意。
实践中,隐私政策是获得用户同意的常见方式,通过隐私政策,平台方可以将涉及个人信息保护的行为和内容进行充分释明,让用户全面了解其信息可能将以什么方式被使用和保护。在保障用户选择权的基础上,即用户主动勾选确认/同意隐私政策,即视为用户全面了解和认可了隐私政策的内容,事后如用户以隐私政策为格式文本等理由主张不认可隐私政策内容的,司法实践中一般不会得到支持。
2、用户需充分知情、自愿同意
第十四条规定,“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定”。在涉及隐私计算的场合,告知个人采用隐私计算技术才满足该条的“充分知情”,才能够得出自愿同意的结论。
需注意的是,让用户勾选同意隐私政策的过程必须充分保障用户的选择权,而不能默认选择同意,同意的选项应当是用户主动选择的结果。
另外,如果用户选择不同意的,平台方也不能拒绝提供服务。在用户选择不同意的情况下,平台方应当提供仅浏览模式,而不是直接退出或完全无法使用平台任何功能。平台方应在《隐私政策》中应明确:如您拒绝提供上述信息或拒绝授权,可能无法使用我们关联公司的相应产品或服务,或者无法展示相关信息,但不影响浏览、搜索、交易等基础功能。
3、个人信息种类发生变更的,应当重新取得个人同意
第十四条第二款规定,“个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意”。
在涉及隐私计算的情况下,往往存在着某一数据收集方以前并未采用这一技术,数据收集方的隐私政策中也没有涵盖告知这一项,隐私计算作为一种新的技术所带来的新的服务,就涉及到处理的目的、方式、种类可能会发生变更,在这种情形下,就应当更新隐私政策,重新取得个人同意,在涉及处理个人敏感信息的场合,还需要重新取得个人的单独同意。
类似于,合同事项发生了变动,双方需要重新协商条款约定,更新后的隐私政策经过用户同意后就相当于一个补充协议,以其新条款约束平台与用户。但是,经匿名化处理的个人信息不属于个人信息的对外公开披露行为,平台对此类数据进行保存和处理无需另行向用户通知并征得同意。
4、涉及个人敏感信息,需个人单独同意
敏感个人信息是指一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息, 包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。法律、行政法规规定处理敏感个人信息应当取得书面同意的情形。
通常情况下,对于处理民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等敏感个人信息的,平台应当对用户进行单独告知,取得用户同意后,方可处理敏感个人信息。特别是收集个人生物识别信息如人脸识别前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。
5、平台应真实、准确、完整地向个人告知
第十七条规定,“个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(一)名称或者姓名、联系方式;(二)处理目的、处理方式,处理的个人信息种类、保存期限;(三)个人行使权利的方式和程序;(四)其他事项。
前款规定事项发生变更的,应当将变更部分告知个人。
个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。
6、用户享有知情权、决定权
第四十四条规定,“个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外”。因此,从个人角度,个人也有权对收集方是否采用了隐私计算这一技术享有知情权。
互联网平台作为互联网信息服务提供者,因其复杂的业务类型和多变的应用场景,涉及更多不同维度的数据处理关系,在为数字化运营带来高效便利的同时,也存在对市场和用户造成不良影响甚至损害消费者权益的隐患。所以对互联网平台加强规制才能更好的实现互联网平台与用户的互惠互利。
1、健全合规体系:建立个人信息保护制度体系,定期进行评估、审查和审计(包括内部审计和外部审计)。
比如,针对个人信息,如果涉及特殊的敏感场景处理环节,不仅需要开展评估,甚至还要对是否能够进行数据跨境传输建立相应合规评估机制,包括向主管部门进行报备等义务。这样不仅能够在集团内部形成有组织、有流程、有依据的数据管理制度;同时也能够构建与第三方合作时的协议规制体系,以及集团内部对重要数据、敏感个人信息的防控和评估机制。
2、加强平台治理:完善平台规则、落实用户投诉举报机制和平台内的监管责任(对平台内产品服务者的治理)通过赋予用户更多的控制权,以对内部管理进行一些控制。
3、加强外部监督:设置独立监管机构。平台如果触发到相关违法行为时,外部监督可以发挥出有效的功能。如果涉及超大平台,根据《个人信息保护法》的要求,要对外披露合规工作,以及制定内外部的审计合规报告,并向社会公布。因此,平台在接受社会监督的同时,也可以参与有关的国家标准制定,以更好的模式和方法处理企业的合规实践,同时也让社会更多地知悉、了解、带动。
4、接受社会监督:定期出具个人信息保护监督报告和社会责任报告。
5、从个人信息保护和反垄断角度进行双重规制。不仅仅设计数据安全、个人信息保护,还涉及到反不正当竞争和反垄断的相关问题,是一个跨领域的话题。这也要求我们从多角度、多视角去进行相应的规制,去保护作为处理者本身的利益和用户的权益。
6、互联网平台加强自我审查:从他律转向自律。
数字化发展为社会和经济带来众多便利和机遇的同时,也带来了越来越严峻的网络安全和信息安全风险,这些风险不仅会影响个人财产和隐私安全,还会对社会公众利益和国家安全带来危害。互联网平台应合法合规采集处理信息,实现用户信息最大价值化,以实现二者共赢。