“深入探讨”系列产品延展写作
第二期:深入探讨 | 怎样认知和规范化LBS情景下“边线职权”的采用?第三期:深入探讨 | 怎样认知和规范化App网络连接的服务器端服务处置对个人对个人隐私的情况?深入探讨大背景
在海内外对个人对个人隐私为保护相关的法规中,“知会-一致同意”一直是重要的处置对个人对个人隐私的正当性此基础,“对个人隐私经济政策”或“对个人对个人隐私为保护经济政策”作为向采用者知会其对个人对个人隐私处置准则的最主要媒介,是长久以来最广泛采用的知会形式,点选一致同意“对个人隐私经济政策”也正式成为了采用者作出“一致同意”对个人对个人隐私处置的最常用形式。然而,《对个人对个人隐私安全法》中,明确特别强调了对个人可以婉拒一致同意搜集disabled信息,规定了“原则上一致同意”的适用于情况和明确要求,和对个人退回一致同意的基本权利等,这些明确要求对“知会-一致同意”准则明确提出了再进一步的明确要求,仅倚靠“对个人隐私经济政策”快捷方式等形式已经无法满足用户合规性明确要求,怎样让“对个人隐私经济政策2.0版“,更快地适应环境市场监管明确要求和采用者新体验正式成为了合规性公法组织工作的首要任务。
特别针对上述症结,CCIA信息安全可靠工作理事会于日前组织多方研究者进行了深入探讨。参会研究者从理清此基础基本概念、积极探索课堂教学方向、明确提出安全可靠建议等视角畅所欲言。现就深入探讨中形成的主要看法以纪要形式公开,供社会各界参照、尖萼。
参与此次深入探讨的研究者来自:我国电子技术技术标准研究所、国家科技安全可靠研究中心、我国信息安全可靠审核技术与认证中心等研究机构和部分CCIA信息安全可靠组织工作理事会常务委员单位。
以下看法仅代表研究者对个人看法。
本期深入探讨主题
“对个人隐私经济政策”的手写、展现、采用形式怎样能兼具市场监管明确要求、采用者新体验?
深入探讨问题
深入探讨问题1:怎样认知公布“对个人隐私经济政策”的根本出发点和主要特点?
精彩看法如下:
☆ “对个人隐私经济政策”的根本和法律意义就是实现对个人对个人隐私处置准则的公开透明,不宜对其赋予太多的功能和期待。
☆ “对个人隐私经济政策”的主要特点就是对对个人对个人隐私处置活动的“全量知会”,其最突出的优点就是全面,同时由于其知会内容涵盖对个人对个人隐私处置、对个人对个人隐私主体基本权利等方方面面,从而难免冗长繁琐。
☆对个人隐私经济政策的读者涵盖了用户(未成年人、青少年、老年人)、社会监督力量(如律师等专业人士、协会等专业组织)、市场监管部门等多种角色虽然难以兼具读者的需求和新体验,但重点还是要在不断追求合规性性的同时,多注重采用者新体验,即对个人隐私经济政策的语言、展现和采用形式是否得当,避免让采用者重复被打扰、频繁明确要求一致同意、文本过度冗长。可向采用者发起调研,多一些基于采用者声音而作出的优化措施,不宜仅仅为了“避坑市场监管”而不断调整对个人隐私经济政策。
深入探讨问题2:“对个人隐私经济政策”哪些内容适合以重点摘要形式(又称“简版对个人隐私经济政策”)展现,哪些内容适合以链接形式展现?精彩看法如下:
☆简版对个人隐私经济政策的内容宜突出采用者关心的问题,披露核心的对个人对个人隐私处置准则,方便采用者关键信息,但不宜作为取得有效“一致同意”前的知会。
☆简版对个人隐私经济政策适宜在采用者更新App、重新安装App时主动向采用者展现。
☆简版对个人隐私经济政策可以放到完整版对个人隐私经济政策全文页的顶部,或与完整版对个人隐私经济政策以并列标签页或按钮展现,采用者可根据自己的需要进行查看。
☆简版对个人隐私经济政策的内容通常包括:主要业务功能搜集的必要对个人对个人隐私、敏感对个人对个人隐私,采用者关心的职权调用目的,如麦克风、边线,剪切板等。
☆简版对个人隐私经济政策仅是一种课堂教学积极探索,内容及结构不宜固化,而是根据产品或服务的功能特点、采用者群体特点及采用者反馈不断调整。
☆如采用海报、漫画、音视频等新颖的模式展现简版对个人隐私经济政策,可以通过真实的采用者点选数据、反馈分析展现的效果并优化展现的边线和形式。
☆在完整版的对个人隐私经济政策中插入一些细分方向的对个人对个人隐私处置准则的链接属于一种保证内容完备性的常用做法。以链接展现的处置准则还可以原则上文本的形式独立在产品或服务的交互页面中展现。
☆可以链接形式展现的对个人对个人隐私处置清单或单行准则通常包括:对个人对个人隐私搜集清单、SDK网络连接列表、App申请采用的职权列表、向服务器端共享的对个人对个人隐私清单、儿童对个人对个人隐私为保护准则等。
深入探讨问题3:App“对个人隐私经济政策”首次展现的时机该怎样选择?哪些时机属于知会?哪些时机可被用于征得采用者一致同意?精彩看法如下:
☆目前市面上绝大部分App还是选择在采用者首次打开App时主动以快捷方式形式展现采用者协议和对个人隐私经济政策,采用者点选或勾选“一致同意”后才搜集设备信息等对个人对个人隐私。但从采用者新体验和法律效力的视角考虑,如果App明确设置了基本功能模式,采用者在选择该模式时,App向采用者知会基本功能所必需的对个人对个人隐私后,采用者可直接采用,无需设置一致同意对个人隐私经济政策才能采用基本功能的环节。
☆注册、登录过程中,如果必须同意对个人隐私经济政策才能继续采用App,对个人隐私经济政策中应当明确只有触发到具体的业务情景才会搜集对个人对个人隐私,处置活动涉及敏感对个人对个人隐私,或对对个人权益可能产生显著影响的,还需要再次知会并取得采用者原则上一致同意。
☆如果在采用产品或服务过程中,需要采用者对对个人隐私经济政策进行多次一致同意的,宜将第一次视为构成对搜集对个人对个人隐私的一致同意,除非有证据证明第一次一致同意的采用者与注册后采用的采用者不是同一对个人。
☆目前,很多App将一致同意对个人隐私经济政策与安全可靠风控、个性化推荐等功能的开启相关联,而具体业务功能则会在采用者实际触发采用时才开始搜集该功能下的对个人对个人隐私。如果App未采用安全可靠风控、个性化推荐功能,或将安全可靠风控、个性化推荐功能设置成采用者可在后续功能中自主选择的,并在基本业务功能下可以基于“履约之必要”处置对个人对个人隐私而免去一致同意时,“对个人隐私经济政策”与“采用者一致同意”两者剥离才能正式成为可能。比如App首次打开时展现对个人隐私经济政策,可以明确要求采用者“知道”而无需采用者“一致同意”对个人隐私经济政策,然后采用者还可以采用基本业务功能。
深入探讨问题4:“对个人隐私经济政策”是否能被用于原则上一致同意或书面一致同意的情景? 精彩看法如下:
☆ 点选一致同意“对个人隐私经济政策”全文是典型的“概括一致同意”,而非原则上一致同意。因此,“对个人隐私经济政策”不能应用于“原则上一致同意”情景下的知会内容,但在该情景下展现知会内容时,可以提供“对个人隐私经济政策”的访问链接作为补充说明,以便采用者可在原则上一致同意的增强知会之外,还可以查看对个人对个人隐私为保护安全可靠措施、主体基本权利实现形式、具体投诉联系形式等更多内容。
☆ “对个人隐私经济政策”全文可以作为书面一致同意的对象。尤其是在特定领域的业务中,如银行开户、征信、保险、医疗健康等服务中,多需要采用者以线上或线下形式对服务内容进行书面签署、确认一致同意,企业可以在采用者作出这些书面一致同意之前或同时展现对个人隐私经济政策文件以便采用者知悉其一致同意的内容。
深入探讨问题5:怎样将其他的知会一致同意与“对个人隐私经济政策”进行更快地衔接,比如怎样处置基本业务功能或扩展业务功能的知会一致同意与展现对个人隐私经济政策之间的关系?精彩观点如下:
☆ 如果产品或服务中的扩展业务功能较复杂、与基本业务功能相对独立,可以制定发布扩展业务功能下的单行对个人隐私经济政策文本,以提升该功能下对个人对个人隐私处置准则的透明度。
☆如果产品或服务的扩展业务功能比较简单,则可以在采用者开启该扩展功能前,把对个人隐私经济政策中扩展功能相关信息增强知会,而不用强制明确要求采用者再次一致同意整个对个人隐私经济政策。当然,如扩展业务功能涉及的对个人对个人隐私处置活动是需要原则上一致同意的,则需根据“原则上一致同意”的明确要求实施。
研讨问题6:怎样处置对集团下多个产品或服务对个人隐私经济政策的关系?怎样处置对个人隐私经济政策中涉及关联公司的问题?精彩看法如下:
☆ 对个人隐私经济政策应能体现本产品或服务处置对个人对个人隐私的具体准则,即便是采用相对统一的对个人隐私经济政策结构,对个人信息的处置目的、形式、种类等核心内容也应能和产品或服务的功能有所对应。
☆ 同一集团下多个产品和服务的对个人隐私经济政策合并时,宜综合考虑多种因素,如不同产品或服务功能比较同质化,处置的对个人对个人隐私种类和形式差别不大,且对个人对个人隐私为保护水平相当,则可以取“全集”的形式撰写统一的对个人隐私经济政策,对个别功能的差异予以说明即可。如果“全集”会导致对个人隐私经济政策内容过长、动辄两三万字的,则宜选择采用拆分版本的形式展现。
☆如果不同产品或服务的功能差异大、对个人对个人隐私处置准则也有较大差别,如处置对个人对个人隐私的种类和目的、共享的对象、对个人基本权利的实现形式等都不一样,则不宜采用同一个对个人隐私经济政策。
☆对个人隐私经济政策中如提及关联公司的,比如共享采用者对个人对个人隐私给关联公司的,则需要明确界定关联公司的范围,必要时注明关联公司的名称。
深入探讨问题7:涉及一些特殊情况时,如适老化模式、青少年模式、嵌入服务器端代码或插件、对个人隐私经济政策的更新,对个人隐私经济政策的采用有哪些注意点?精彩看法如下:
☆适老化模式、青少年模式通常只是App完整业务功能的某些子集和服务新体验部分调整,对个人对个人隐私处置的目的等没有变化,通常无需制定原则上的对个人隐私经济政策,只用在触发App的这些模模式时,可就该模式下搜集的对个人对个人隐私情况予以简要说明(如说明仅搜集较少信息),以实现增强知会效果。
☆ 如服务器端以小程序、插件等形式并以自己的名义独立提供服务,则服务器端在被嵌入的App或平台中应主动露出其身份,并向采用者展现服务器端的对个人隐私经济政策。
☆如果服务器端的服务对象为企业,且服务器端服务涉及到处置对个人对个人隐私,则服务器端宜在网站、社交媒体页面等公开渠道上披露相关的对个人隐私经济政策,方便合作方、公众查阅。
☆ 如果对个人隐私经济政策的内容变更不会减损采用者权益,则更新后可不通过弹窗等强打扰的形式进行提示和获得一致同意,以免引起采用者不必要的担忧。
CCIA信息安全可靠组织工作理事会持续欢迎大家参与以上具体问题的深入探讨,通过看法交汇、碰撞,为推动深入研究症结问题、启发安全可靠为保护措施创新贡献一份微薄之力。
(记录整理:CCIA信息安全可靠组织工作理事会)
“深入探讨”系列产品延展写作
第二期:深入探讨 | 怎样认知和规范化LBS情景下“边线职权”的采用?第三期:深入探讨 | 怎样认知和规范化App网络连接的服务器端服务处置对个人对个人隐私的情况?
