原副标题:观韬评析 | 对个人隐私市场监管缩紧下的隐私经济政策结构设计关键点
概要
隐私经济政策是互联网管理者与采用者之间就如何处理和为保护采用者对个人隐私、确定双方基本私法关系的协议,无疑是市场监管机构对互联网管理者进行对个人隐私合规性审核的重点。责任编辑将从隐私经济政策市场监管环境治理现况出发,并以为依据提出隐私经济政策结构设计策略关键点。
概要共4897字,阅读预计需要11两分钟。
作者 | 观韬莱盖北京服务部 吴丹君
白眉林 | 观韬莱盖北京服务部狄青
供图 | 王宝珍
2019年3月4日,十四届全省人大伊瓦诺会议举行新闻见面会。大会发表声明Agnant在回答记者发问时表示,全省人大常委会已将制定对个人隐私安全法列为该届修法规划,有关职能部门正在加紧研究和草拟,谋求尽早出台。对个人信
《互联网安全法》(下列全称“《网安法》”)第二十一条第二款明确要求,互联网产品或服务具有搜集采用者信息功能的,应当向采用者写明并获得一致同意,该条文意在为保护互联网采用者对其对个人隐私的控股权。对互联网管理者来说,通过隐私经济政策向采用者申报其搜集采用对个人隐私的规则并获得采用者的一致同意许可,是满足《网安法》合规性明确要求同时兼具商业经营活动INS13ZD明确要求的最差方式。随着大数据产业的发展,涉及对个人隐私的供应链呈现日益多元化和复杂的趋势,在别国有关修法与民事课堂教学事例的影响下,国内互联网采用者对对个人隐私安全安全意识增强,对个人隐私被视作是对个人隐私
市场监管局等四职能部门联合发布《关于积极开展App违规违规搜集采用对个人隐私组织工作方案环境治理的公告》,积极开展App组织工作方案环境治理组织工作;2月28日全省互联网安全控制技术标准控制技术理事会(下列全称“全省末领标委”)公布《全省互联网安全控制技术标准控制技术理事会2019本年度组织工作关键点》,将支持对App违规违规搜集采用对个人隐私组织工作方案环境治理评估结果组织工作列入本年度组织工作关键点。
隐私经济政策是互联网管理者与采用者之间就如何处理和为保护采用者对个人隐私、确定双方基本私法关系的协议,无疑是市场监管机构对互联网管理者进行对个人隐私合规性审核的重点。早在2017年7月,中央网信办、工信部、公安部、国家标准委等四职能部门联合宣布启动隐私条文组织工作方案组织工作,对包括京东、淘宝、支付宝在内的10款互联网产品和服务进行评审并作为行业示范,推动建立更为通俗化,可操性更强的“采用者友好型”隐私经济政策,真正实现采用者对其对个人隐私的管理控制。责任编辑将从隐私经济政策市场监管环境治理现况出发,并以为依据提出隐私经济政策结构设计策略关键点。
一
当前隐私经济政策市场监管关键点
2018年四季度,工信部组织对39家互联网企业44项互联网服务进行抽查,发现14家互联网企业存在对个人隐私违规问题,并对有关企业对外进行申报。通过对其中存在的违规问题进行梳理,我们发现,“未申报采用者个人信息搜集采用规则”和“未告知查询更新信息的渠道”这两方面的问题出现频率最大,其次是“未提供账号注销服务”。(如图1所示)
图1 2018年四季度采用者对个人隐私为保护检查
存在的问题汇总[1]
根据南都记者近日对工信部四年来曝光的违规App所涉问题梳理报告显示(如图2),发现App“强制捆绑推广其他无关应用软件”的问题最为严重,占比高达86.33%,未经采用者一致同意,搜集、采用采用者的对个人隐私也达到了5.47%。可见,虽《对个人隐私安全规范》(下列全称“《安全规范》”)明确要求互联网管理者在搜集采用采用者对个人隐私时应申报告知并明确获得采用者的一致同意许可,但各App通过模糊隐私经济政策条文和产品结构设计绑架侵犯采用者对个人隐私控股权的情况仍普遍存在。
图2 工信部四年来公布的违规App所涉问题情况[2]
通过对以上市场监管结果梳理,我们发现,对企业如何搜集处理采用者对个人隐私的市场监管不仅体现在实体文字内容,还从产品结构设计上进行规范整治。在对个人隐私保护市场监管浪潮下,结构设计公开透明且易于访问的“采用者友好型”隐私经济政策是满足市场监管明确要求的重要途径。
二
隐私经济政策结构设计策略
(一)内容结构设计
(1)第三方数据处理者的情况披露
“强制捆绑推广其他无关应用软件”是隐私经济政策市场监管的重灾区。《对个人隐私为保护规范》“8.2 对个人隐私共享、转让”规定,向对个人隐私主体告知共享、转让对个人隐私的目的、数据接收方的类型,并事先征得对个人隐私主体的许可一致同意,转让对个人敏感信息的,还应向对个人隐私主体告知涉及的对个人敏感信息的类型、数据接收方的身份和数据安全能力。目前,隐私经济政策关于数据第三方转让或共享的规定均较为含糊,互联网管理者利用此漏洞向采用者强制捆绑推广其他软件的情况时有发生,或者随意定义“第三方”范围,滥用隐私权限。以网贷App的隐私经济政策为例,有的App隐私条文内容称“如逾期未偿还本息,该App可能与第三方共享采用者信息”,但是对第三方的类型和范围等信息皆未明确列举,违反了《安全规范》中关于对个人信息转让、共享的明确要求。
由此,互联网管理者在隐私经济政策条文结构设计中明确列出数据转让或共享的条件、目的、第三方的类型、范围,以及数据转让或共享过程中将会采取的安全保障措施,与第三方合作协议中存在关于对个人隐私安全责任划分内容的也应当在隐私经济政策条文中有所体现,并进行特别标注和提示。
(2)区分核心业务功能及拓展业务功能
各类App皆包含为了满足采用者采用该App目的而具有的基本业务功能,也含有为增强采用者体验而存在的拓展采用该产品或服务。采用者无法对其对个人隐私的搜集采用实现真正的控制,被产品或服务的附加功能绑架成为常态,进而造成采用者习惯性忽略隐私经济政策的具体内容,使对个人隐私权利为保护流于形式。
此外,“一揽子许可”的隐私经济政策息与其实现的产品功能明确挂钩,很多对个人隐私与消费者通常理解的产品功能之间无明显关联,甚至明显超出合理范围。[3]以影音播放类App为例,中消协《100款App对个人隐私搜集与隐私经济政策测评报告》显示,其进行测评的100款App中100%的影音播放类App对采用者的位置信息进行搜集,调用采用者的位置信息对于这些服务的提供非必需信息,存在过度搜集或采用的嫌疑。
与隐私经济政策测评报告》)
为整治App隐私权限滥用,实现采用者对隐私经济政策的“一致同意有效性”,《对个人隐私安全规范(2019征求意见稿)》(下列全称“《征求意见稿》”)附录C对各App提出“划分产品或服务的基本业务功能和扩展业务功能”。因此,运营商在结构设计隐私经济政策时应当对自身产品或服务进行定位,以“据对个人隐私主体选择、采用所提供产品或服务的根本期待和最主要的需求”为划分标准,区分自身产品或服务的核心业务功能和拓展业务功能。建议管理者互联网于隐私经济政策首页列明自身产品或服务的核心业务功能和拓展业务功能,但为使隐私经济政策在文本表述上更加精简,该处的条文内容可仅对核心业务功能的许可条文详细阐明,对拓展业务功能的许可情形与选择不许可产生的影响进行概括性阐述,在此后采用者自主选择开启拓展性功能时再在界面上予以详述。拓展性功能所应获得的隐私权限可采取采用者主动触发的形式,例如在App点击有关界面后以弹窗或页面跳转形式告知该功能将
今年3月1日,腾讯推出“儿童锁模式”,明确要求13周岁下列未成年新采用者在首次登录游戏前,强制进行登记认证,只有其监护人完成“解锁”后才能进入游戏,若未完成解锁则被禁止登录,以限制未成年采用者对其账户信息的采用。2月27日,美国联邦贸易理事会(FTC)以违反《
实际上,《安全规范》“5.5 搜集对个人敏感信息时的写明一致同意”第c项就人的一致同意。例如,可以明确要求触发未成年人为保护条文的采用者在提交一致同意隐私经济政策时,明确要求该采用者同时上传监护人手持身份证件与未成年人的合照,通过人脸识别控制技术进行审核认证,以完成监护人对未成年人信息搜集采用的一致同意。
(4)隐私经济政策可读性明确要求
《网安法》第四十一条规定,互联网管理者搜集、采用对个人隐私,应当遵循合法、正当、必要的原则,公开搜集、采用规则,写明搜集、采用信息的目的、方式和范围,并经被搜集者一致同意。隐私经济政策公开并采用者对个人隐私权的有效行使。
采用者的生物识别信息普遍被认为是对个人敏感信息,随着AI控制技术在终端设备的运用和普及,指纹识别、面部识别等对个人生物识别信息也被运用于各互联网产品或服务之中,APP对对个人敏感信息的搜集对对个人敏感信息搜集采用规则的读取,这可能违反《对个人隐私为保护规范》中对对个人敏感信息的特别规定(明确要求搜集敏感信息时是否明确告知采用者,并告知采用者拒绝提供将带来的影响)。
因此,互联网管理者在结构设计隐私经济政策时应当注络管理者还可以在目录链接跳转相应内容,重要条文特别标注,便于采用者阅读。
(二)产品结构设计
对采用者对个人隐私权利的尊重与为保护不仅体现在隐私经济政策文本内容上,也体现在产品开发结构设计上,因此,与隐私经济政策有关的产品结构设计也被列入市场监管范围,如App产品是否提供账号注销途径、隐私经济政策信息查询渠道等。近年来,越来越多的互联网产品或服务开始注重通过产品结构设计加强满足采用者对隐私经济政策的知情权和控股权的需求。例如,知乎在2018年8月的隐私经济政策修改时,为了给予采用者更多的自由选择权,在产品结构设计中加入“仅浏览”模式,即当采用者不一致同意隐私经济政策时,允许采用者以“游客”的身份浏览知乎站内的内容,改变以往采用者一旦拒绝隐私经济政策修改即完全不能采用该产品或服务的产品结构设计绑架情形。
同时,产品结构设计中注重允许采用者在线及时撤回对对个人隐私搜集采用的许可或者明确采用者注销渠道的开发是隐私经济政策对对个人隐私为保护的又一重要体现。互联网管理者在产品或服务开发结构设计时,应注意在产品或服务的功能面板中添加允许采用者随时在线撤回对其对个人隐私许可的渠道,而且撤销拓展业务功能许可不应影响采用者对核心业务功能的采用。按《征求意见稿》有关明确要求,采用者账户注销渠道与方式应当与注册时同样便捷,不得增加采用者注销的成本,不得频繁征求其一致同意,也不得以为由降低业务服务的质量。
三
小结
随着数字经济市场竞争主体的逐渐增多以及消费者对互联网对个人隐私为保护和对个人隐私控制意识的加强,消费者对个人的隐私偏好成为产品差异化新趋势。产品或服务隐私经济政策对采用者对个人隐私为保护的重视程度,可能会对互联网产品或服务的竞争优势产生持续而深远的影响;同时,主动提升和优化自身产品或服务的隐私经济政策,也是应对对个人隐私为保护市场监管缩紧的重要途径。
[1]图1:根据《2018年四季度采用者对个人隐私为保护检查发现问题的互联网企业名单》数据整理。
[2]南方都市报:《工信部四年来曝光695款违规App,谁在窃取你的对个人隐私》
[3]参见中消协:《100款App对个人隐私搜集与隐私经济政策测评报告》
作者简介:吴丹君律师,观韬莱盖北京服务部合伙人,首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家。吴律师专注于互联网、数据信息领域的法律服务,包括互联网安全、数据信息管理为保护、隐私为保护体系建设、数据公开等,为多家国有企业、跨国企业以及互联网大数据企业提供互联网安全、数据合规性法律服务。吴律师的执业领域为互联网|数据信息、兼并收购、外商直接投资、酒店等,曾多次就互联网法院、共享单车等互联网热点事件接受《中国青年报》《中国企业报》等媒体采访报道,其撰写的四十余篇数据合规性专业法律文章被知名互联网媒体广泛转载。
Email: [email protected]
