前 言
委严打,着重于整治该弊病,十七个APP遭到强制下架、上百种APP被点名自查,业内称APP收集对隐私迎来了强监管元年。作为一种文档形式的“契约书桥梁”,对隐私经济政策是现阶段平台与采用者达成对隐私处理共识最普遍、最有效的方式。为进一步提高业务的合规能力,实现持续合规的目标,网络民营企业应充份认识到制订一份合格的对隐私经济政策的重要性。责任编辑将著眼于APP对隐私经济政策的合规关键点,对网络民营企业多方位提高合规管理体系贡献绵薄之力。
一、APP对隐私经济政策是什么?
对隐私经济政策通常是指网站、插件等依照对个人隐私经济政策制订的对采用者重要数据处理的经济政策,是民营企业与采用者之间有关怎样处理和为保护采用者对隐私的基本的私法的文件,用以知会采用者对隐私怎样被收集、采用、与服务项目器端共享资源的情况。它不是仅对民营企业的拘束,也是民营企业提示采用者自主、强迫、合理提供更多和行政处分对隐私,并区分与采用者责任的依照。采用者开始采用商品与/或服务项现阶段需先对,并确认已经充份理解相关对隐私政策所载明的内容并且同意后才能采用商品/服务项目。
现阶段,欧美国家对对个人对隐私重要信息为保护的主要立法包括欧盟的《通用数据为保护条例》(全称 GDPR)和美国加利福尼亚州议会透过的《消费者对隐私法令》。我国业内尚未有统一的对隐私经济政策合规性赞扬体系,而是透过《中华人民共和国信息安全法》、《电信公司和网络采用者对隐私为保护明确规定》、《信息安全控制技术对隐私安全规范化》(GB /T35273—2020)、《儿童对隐私网络为保护明确规定》等一系列法律法规构建合规性赞扬体系,其中《信息安全控制技术对隐私安全规范化》明确了对对隐私Medinipur在重要信息收集、保存、采用、共享资源、转让和披露等方面犯罪行为的规范化,同时也提供更多了对隐私经济政策手写模版,为移动SNS APP 完善对隐私保护经济政策提供更多依照。
二、常用的不合规情况
根据《APP违规违规收集采用对隐私犯罪行为判定方式》(下列全称“判定方式”)《APP违规违规收集采用对隐私自评估手册》(下列全称“手册”)及国务院法制办系列处罚公告(如《有关侵犯采用者权益犯罪行为的APP情况通报》),结合公法中突出存在的违规情况,责任编辑列出了如下常用的APP对隐私经济政策条款不合规情况:
(1)对隐私经济政策未完整列出其收集、采用的采用者重要信息或管理者超出对隐私经济政策所列覆盖范围收集、采用采用者重要信息;
(2)对隐私经济政策中未能详细载明服务项目器端SDK收集采用对隐私的目的、方式、覆盖范围,或未在对隐私经济政策中填入服务项目器端SDK目录;
(3)对隐私经济政策中未提供更多采用者举报、索偿、意见反馈平台(一般举报平台有:电子邮件、电话、在线客服等方式);
(4)对隐私经济政策中未提供更多有效的更正、删除对隐私及注销采用者账号功能,或为以上操作设置不必要或不合理条件,或未能及时响应以上操作;
(5)未对14岁下列儿童制订专门的儿童对隐私为保护经济政策;
(6)将平台的利益放在首位,忽视采用者权利;
(7)数据存储时限不明确,无视采用者享有的被遗忘权。
三、网络民营企业制订APP对隐私经济政策注意事项
制订单独的对隐私经济政策并以适当方式明示
首先,网络民营企业应当制订单独的对隐私经济政策。由上述可知,对隐私协议是知会采用者网站或者移动端软件怎样收集和采用采用者重要信息和数据的文档。而采用者采用协议相当于是网站和采用者之间的合同,比如知识产权归属,账号禁封权利等等。这两者是不可混为一谈的。2021年11月1日,《对隐私为保护法》(下列全称“个保法”)生效。围绕个保法的规范化要旨,平台方需依照其作出及时恰当的回应,包括重视与采用者沟通、凸显对隐私经济政策的存在感等,首要任务就是保持对隐私经济政策的独立性,即设置单独的对隐私经济政策。对于对隐私经济政策独立性的要求,一方面是基于对隐私经济政策的重要性提出,近年来,随着网络发展,对隐私为保护地位提高,围绕对隐私展开的对隐私经济政策逐渐后来居上,形成了与采用者协议分庭抗礼的局面。为此,对于对隐私经济政策的独立性和易读性的要求逐步登上合规舞台;另一方面是出于合同规范化性的考量。对隐私经济政策和采用者协议的本质都是平台与采用者签订的协议,而当对隐私经济政策条款隐藏在采用者协议之中时,平台很难向采用者充分强调对隐私为保护条款的重要性,并且,对隐私经济政策涉及的款项众多,适用规则也不同于采用者协议,双方私法亦不相同。因此,对隐私经济政策应当具有独立性,作为完整独立的合同出现。
其次,对隐私经济政策应当以适当方式明示。根据《民法典》第1035条的明确规定:“处理对隐私的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:(一)征得该自然人或者其监护人同意,但是法律、行政法规另有明确规定的除外;(二)公开处理重要信息的规则;(三)明示处理重要信息的目的、方式和覆盖范围;(四)不违反法律、行政法规的明确规定和双方的约定。对隐私的处理包括对隐私的收集、存储、采用、加工、传输、提供更多、公开等。”
注重对隐私经济政策条款的完备性
01
明确对个人重要信息采集与利用规则
根据《手册》明确规定,网络民营企业在收集、采用对隐私时,首先应当获得采用者的同意。具体来说要求APP管理者对采用者作出对隐私安全保障承诺,并且明确知会采用者对隐私采集的种类、采集的目的以及采集与利用原则,采集与利用应当遵循合法、正当和必要原则。因此网络民营企业拟定对个人隐私经济政策、采用者协议时应当对上述内容进行明确。其次,对隐私采用和收集的基本合法性基础是对个人同意机制,即对于采用者对隐私的收集和使用需要经采用者同意;应当明确知会采用者收集、采用重要信息的目的、方式和覆盖范围;不得收集其提供更多服务项目所必需以外的采用者对隐私或者将重要信息用于提供更多服务项目之外的目的,不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、采用重要信息;采用者终止采用电信公司服务项目或者网络重要信息服务项目后,应当停止对采用者对隐私的收集和采用,并为采用者提供更多注销号码或者账号的服务项目。例如,腾讯对隐私经济政策在提到“我们可能收集的重要信息时”进行了进一步
02
明确对隐私共享资源、转让相关内容
“将平台的利益放在首位,忽视采用者权利”这一问题在重要信息的共享资源、转让、披露环节表现得尤为明显。尽管原则上消费者的对个人数据不得共享资源、披露与转移,但在现实生活中,数据背后巨大的经济效益使得运营商难以抵制二次采用的诱惑。APP 运营商们往往将采用者数据与服务项目器端共享资源,服务项目器端透过算法进行特征与偏好分析,形成间接人群画像,精准推送商业广告。大多数运营商强调的是,与关联方和合作伙伴共享资源消费者数据的权利;在民营企业合并、分立、清算时,转移消费者资料的权利;在数据主体同意,或维护公共利益或他人的合法利益的情况下,依法披露相关数据的权利。也就是说,经营者过分强调自己的权利,忽视应承担相应的义务和责任。对此,笔者建议网络民营企业在有必要共享资源和传输采用者重要信息时,应知会消费者重要信息共享资源的目的、涉及的对隐私的覆盖范围、接收方的类型以及安全与法律责任。
对隐私对外分享的情况主要包括采用者向服务项目器端进行重要信息分享、对隐私 的跨境流通、对隐私分享的其他情况。其中服务项目器端平台分享是网络平台服务项目中最常遇到的情况之一,是指采用者从原平台跳转到其他平台并在该平台上分享相 关重要信息的犯罪行为,通常情况下,平台跳转的同时会由服务项目器端(也就是采用者将要跳转到的平台)收集采用者的部分基本对隐私或采用者重要信息(包括但不限于个人昵称、对个人头像等项目)。针对此类问题的方案可以参照前文“对隐私的收集及采用”的内容进行制订。与此同时,也需要在“重要信息分享”一章中明确列出此类重要信息分享的形式,提示并知会网络服务项目采用者由此可能造成的风险及后果。根据《手册》的明确规定,APP如存在对对隐私共享资源和转让犯罪行为的,应当满足如下条件:第一、转让前知会对隐私主体共享资源、转让该重要信息的目的、数据接收方的类型等重要信息并征得对隐私主体的授权同意;第二、共享资源、转让过程中应采取措施保证过程的安全性;第三、应当记录共享资源、转让重要信息内容,将共享资源、转让情况中包括共享资源、转让的日期、数据量、目的和数据接收方的基本情况在内的重要信息进行登记;最后、在共享资源、转让后应当了解接收方对对隐私的保存、采用情况和对隐私主体的权利,如访问、更正、删除、注销等。因此,网络民营企业在拟定APP对个人隐私经济政策、采用者协议等时,如确涉及到对采集的采用者对隐私共享资源、转让犯罪行为的,应在相关协议中对上述内容予以明确。
03
明确对对隐私的处理制度
《手册》中对对隐私的处理包括了应用、删除以及服务项目器端委托处理三部分。就对隐私的应用而言,APP管理者对对隐私的应用应当满足采用者注册协议、对个人隐私经济政策的明确规定,不能超出与采用者签署的重要信息采用协议的覆盖范围。
就对隐私的删除方面来说,应当满足四个要求:第一,对隐私相关存储设备应当在对隐私超过保存时限之后进行删除;第二,对隐私相关存储设备应当满足将存储的对隐私数据进行删除之后防止透过控制技术手段进行恢复的要求;第三,对存储过对隐私的设备在进行新重要信息的存储时,应将之前的内容全部进行删除;第四,废弃存储设备,应在进行删除后再进行处理。
最后就服务项目器端委托处理方面来说,在委托服务项目器端进行处理前,应当对受托方的安全能力进行评估,同时与委托方签订相关协议要求委托方符合《指引》的相关要求,最后,对对隐私委托处理时,不应超出该重要信息主体授权同意的覆盖范围,并且受托方对对隐私的相关数据处理完毕后,应当对存储的数据内容进行删除。因此网络民营企业拟定采用者协议、对个人隐私经济政策时对对隐私的处理相关条款应当按照《指引》的要求进行完善。
04
明确对未成年人的重要信息为保护制度
随着《儿童对隐私网络为保护明确规定》《网络音视频重要信息服务项目管理明确规定》和《网络民营企业对隐私为保护测评标准》等相关明确规定的出台,明确对未成年人的重要信息为保护制度对网络民营企业来说责无旁贷。根据《儿童对隐私网络为保护明确规定》《网络音视频重要信息服务项目管理明确规定》和《网络民营企业对隐私为保护测评标准》等相关明确规定,网络民营企业应当建立未成年人为保护制度,应明确规定未成年人对隐私处理的特殊措施,在未征得监护人明示同意时不得处理未成年人的对隐私。同时,网络民营企业应当设置专门的未成年人对隐私为保护规则和采用者协议,并指定专人负责未成年人对隐私为保护。同时,伴随着对隐私强监管的逐步落地,为长远计,网络民营企业应当制订独立的《儿童对隐私为保护经济政策》,区分14岁下列和14岁以上未成年人适用的内容。
对隐私经济政策的内容应满足合理性要求
所谓的合理性是指APP运营商设置对隐私经济政策条款时,不应设置不公平条款,例如明确规定免除己方责任,加重对方义务的条款。一旦对隐私经济政策的条款内容过于强势极有可能陷入霸王条款,而面临对隐私经济政策内容无效的局面。根据《民法典》明确规定,格式条款是指当事人为了重复采用而预先拟定、并在订立合同时未与对方协商的条款。可以说现阶段几乎所有的对隐私经济政策都属于格式条款。《民法典》第四百九十七条明确规定了格式条款的无效情况:“(一)具有本法第一编第六章第三节和本法第五百零六条明确规定的无效情况;(二)提供更多格式条款一方不合理地免除或者减轻其责任、加重对方责任、限制对方主要权利;(三)提供格式条款一方排除对方主要权利。”相关APP运营民营企业应当做好采用者协议内容效力审查工作,避免出现因违反上述明确规定导致协议条款法定无效的情况。
全面适用“知会-同意”规则
2013年国务院法制办颁布的《电信公司和网络用户对隐私为保护明确规定》首次明确了未经采用者同意不得收集、采用其对隐私的原则。其后,2017年《信息安全法》进一步明确规定网络管理者收集、采用对隐私,应当公开收集、采用规则,明示收集、采用重要信息的目的、方式和覆盖范围,并经被收集者同意。由此确立了我国对隐私收集采用的一项基本原则:知会-同意原则。网络管理者可收集的采用者对隐私被限定在与其提供更多的服务项目相关的覆盖范围之内,且在收集和采用重要信息的过程中需遵守法律、行政法规。
结 语
在对隐私裸奔的大数据时代,对隐私经济政策作为现代公司治理体系的重要组成部分,必然对数字经济的发展产生重要影响。随着消费者对数据对隐私为保护的需求增加,那些拥有完整对隐私经济政策的运营商在市场上的竞争力也将不断增强。而对隐私经济政策不完善的运营商势必会损耗采用者的信任,对民营企业发展带来不利影响。因此,注重APP对隐私文档的合规性,对民营企业长远发展具有至关重要的意义。
作者:上海兰迪律师事务所孙良娟律师
