互联网企业如何制定APP隐私政策?

前 言

近年来,伴随着移动互联网技术的蓬勃兴起,APP市场获得了前所未有的发展,APP用户群体亦日趋庞大。然而,与此同时,APP违规获取、利用个人信息从而侵犯个人隐私的乱象频出。2019年伊始,国家多部委重拳出击,着重整治该乱象,几十款APP遭到强制下架、上百款APP被点名整改,业内称APP收集个人信息迎来了强监管元年。作为一种文本形式的“契约桥梁”,隐私政策是目前平台与用户达成个人信息处理***识最普遍、最有效的方法。为进一步提升业务的合规能力,实现持续合规的目标,互联网企业应充分认识到制定一份合格的隐私政策的重要性。本文将聚焦于APP隐私政策的合规要点,对互联网企业全方位提升合规管理体系贡献绵薄之力。

一、APP隐私政策是什么?

隐私政策通常是指网站、应用程序等依据隐私权政策制定的对用户信息处理的政策,是企业与用户之间关于如何处理和保护用户个人信息的基本的权利义务的文件,用以告知用户个人信息如何被搜集、使用、与第三方***享的情况。它不是仅对企业的束缚,也是企业提示用户自主、自愿、合理提供和处分个人信息,并区分与用户责任的依据。用户开始使用产品与/或服务前需仔细阅读,并确认已经充分理解相关隐私政策所写明的内容并且同意后才能使用产品/服务。

目前,国际上对个人隐私信息保护的主要立法包括欧盟的《通用数据保护条例》(简称 GDPR)和美国加州议会通过的《消费者隐私法案》。我国业界尚未有统一的隐私政策合规性评价体系,而是通过《中华人民***和国网络安全法》、《电信和互联网用户个人信息保护规定》、《信息安全技术个人信息安全规范》(GB /T35273—2020)、《儿童个人信息网络保护规定》等一系列法律法规构建合规性评价体系,其中《信息安全技术个人信息安全规范》明确了对个人信息控制者在信息收集、保存、使用、***享、转让和披露等方面行为的规范,同时也提供了隐私政策书写模板,为移动社交 APP 完善隐私保护政策提供依据。

二、常见的不合规情形

根据《APP违法违规收集使用个人信息行为认定方法》(以下简称“认定方法”)《APP违法违规收集使用个人信息自评估指南》(以下简称“指南”)及工信部系列行政处罚公告(如《关于侵害用户权益行为的APP通报》),结合实务中突出存在的违规情形,本文列举了如下常见的APP隐私政策条款不合规情形:

(1)隐私政策未完整列举其收集、使用的用户信息或运营者超出隐私政策所列范围收集、使用用户信息;

(2)隐私政策中未能详细列明第三方SDK收集使用个人信息的目的、方式、范围,或未在隐私政策中插入第三方SDK目录;

(3)隐私政策中未提供用户投诉、申诉、反馈渠道(一般投诉渠道有:电子邮件、电话、在线客服等方式);

(4)隐私政策中未提供有效的更正、删除个人信息及注销用户账号功能,或为以上操作设置不必要或不合理条件,或未能及时响应以上操作;

(5)未对14岁以下儿童制定专门的儿童个人信息保护政策;

(6)将平台的利益放在首位,忽视用户权利;

(7)数据存储时限不明确,无视用户享有的被遗忘权。

三、互联网企业制定APP隐私政策注意事项

制定单独的隐私政策并以适当方式明示

首先,互联网企业应当制定单独的隐私政策。由上述可知,隐私协议是告知用户网站或者移动端软件如何收集和使用用户信息和数据的文档。而用户使用协议相当于是网站和用户之间的合同,比如知识产权归属,账号禁封权利等等。这两者是不可混为一谈的。2021年11月1日,《个人信息保护法》(以下简称“个保法”)生效。围绕个保法的规范要旨,平台方需依据其作出及时恰当的回应,包括重视与用户沟通、凸显隐私政策的存在感等,首要任务就是保持隐私政策的独立性,即设置单独的隐私政策。对于隐私政策独立性的要求,一方面是基于隐私政策的重要性提出,近年来,随着互联网发展,个人信息保护地位提升,围绕个人信息展开的隐私政策逐渐后来居上,形成了与用户协议分庭抗礼的局面。为此,对于隐私政策的独立性和易读性的要求逐步登上合规舞台;另一方面是出于合同规范性的考量。隐私政策和用户协议的本质都是平台与用户签订的协议,而当隐私政策条款隐藏在用户协议之中时,平台很难向用户充分强调个人信息保护条款的重要性,并且,隐私政策涉及的款项众多,适用规则也不同于用户协议,双方权利义务亦不相同。因此,隐私政策应当具有独立性,作为完整独立的合同出现。

其次,隐私政策应当以适当方式明示。根据《民法典》第1035条的规定:“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;(二)公开处理信息的规则;(三)明示处理信息的目的、方式和范围;(四)不违反法律、行政法规的规定和双方的约定。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。”

注重隐私政策条款的完备性

01

明确个人信息采集与利用规则

根据《指南》规定,互联网企业在收集、使用个人信息时,首先应当获得用户的同意。具体来说要求APP运营者对用户作出隐私安全保障承诺,并且明确告知用户个人信息采集的种类、采集的目的以及采集与利用原则,采集与利用应当遵循合法、正当和必要原则。因此互联网企业拟定隐私权政策、用户协议时应当对上述内容进行明确。其次,个人信息使用和收集的基本合法性基础是个人同意机制,即对于用户个人信息的收集和使用需要经用户同意;应当明确告知用户收集、使用信息的目的、方式和范围;不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的,不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息;用户终止使用电信服务或者互联网信息服务后,应当停止对用户个人信息的收集和使用,并为用户提供注销号码或者账号的服务。例如,腾讯隐私政策在提到“我们可能收集的信息时”进行了进一步分类之后再具体规定,***分为三类:您提供的信息、其他方分享的您的信息、我们获取的您的信息(包括日志信息和位置信息)。

02

明确个人信息***享、转让相关内容

“将平台的利益放在首位,忽视用户权利”这一问题在信息的***享、转让、披露环节表现得尤为明显。尽管原则上消费者的个人数据不得***享、披露与转移,但在现实生活中,数据背后巨大的经济效益使得运营商难以抵制二次使用的诱惑。APP 运营商们往往将用户数据与第三方***享,第三方通过算法进行特征与偏好分析,形成间接人群画像,精准推送商业广告。大多数运营商强调的是,与关联方和合作伙伴***享消费者数据的权利;在企业合并、分立、清算时,转移消费者资料的权利;在数据主体同意,或维护公***利益或他人的合法利益的情况下,依法披露相关数据的权利。也就是说,经营者过分强调自己的权利,忽视应承担相应的义务和责任。对此,笔者建议互联网企业在有必要***享和传输用户信息时,应告知消费者信息***享的目的、涉及的个人信息的范围、接收方的类型以及安全与法律责任。

个人信息对外分享的情形主要包括用户向第三方进行信息分享、个人信息 的跨境流通、个人信息分享的其他情况。其中第三方平台分享是网络平台服务中最常遇到的情况之一,是指用户从原平台跳转到其他平台并在该平台上分享相 关信息的行为,通常情况下,平台跳转的同时会由第三方(也就是用户将要跳转到的平台)收集用户的部分基本个人信息或用户信息(包括但不限于个人昵称、个人头像等项目)。针对此类问题的方案可以参照前文“个人信息的收集及使用”的内容进行制定。与此同时,也需要在“信息分享”一章中明确列举此类信息分享的形式,提示并告知网络服务用户由此可能造成的风险及后果。根据《指南》的规定,APP如存在对个人信息***享和转让行为的,应当满足如下条件:第一、转让前告知个人信息主体***享、转让该信息的目的、数据接收方的类型等信息并征得个人信息主体的授权同意;第二、***享、转让过程中应采取措施保证过程的安全性;第三、应当记录***享、转让信息内容,将***享、转让情况中包括***享、转让的日期、数据量、目的和数据接收方的基本情况在内的信息进行登记;最后、在***享、转让后应当了解接收方对个人信息的保存、使用情况和个人信息主体的权利,如访问、更正、删除、注销等。因此,互联网企业在拟定APP隐私权政策、用户协议等时,如确涉及到对采集的用户个人信息***享、转让行为的,应在相关协议中对上述内容予以明确。

03

明确对个人信息的处理制度

《指南》中对个人信息的处理包括了应用、删除以及第三方委托处理三部分。就个人信息的应用而言,APP运营者对个人信息的应用应当满足用户注册协议、隐私权政策的规定,不能超出与用户签署的信息使用协议的范围。

就个人信息的删除方面来说,应当满足四个要求:第一,个人信息相关存储设备应当在个人信息超过保存时限之后进行删除;第二,个人信息相关存储设备应当满足将存储的个人信息数据进行删除之后防止通过技术手段进行恢复的要求;第三,对存储过个人信息的设备在进行新信息的存储时,应将之前的内容全部进行删除;第四,废弃存储设备,应在进行删除后再进行处理。

最后就第三方委托处理方面来说,在委托第三方进行处理前,应当对受托方的安全能力进行评估,同时与委托方签订相关协议要求委托方符合《指引》的相关要求,最后,对个人信息委托处理时,不应超出该信息主体授权同意的范围,并且受托方对个人信息的相关数据处理完毕后,应当对存储的数据内容进行删除。因此互联网企业拟定用户协议、隐私权政策时对个人信息的处理相关条款应当按照《指引》的要求进行完善。

04

明确对未成年人的信息保护制度

随着《儿童个人信息网络保护规定》《网络音视频信息服务管理规定》和《互联网企业个人信息保护测评标准》等相关规定的出台,明确对未成年人的信息保护制度对互联网企业来说责无旁贷。根据《儿童个人信息网络保护规定》《网络音视频信息服务管理规定》和《互联网企业个人信息保护测评标准》等相关规定,互联网企业应当建立未成年人保护制度,应规定未成年人个人信息处理的特殊措施,在未征得监护人明示同意时不得处理未成年人的个人信息。同时,互联网企业应当设置专门的未成年人个人信息保护规则和用户协议,并指定专人负责未成年人个人信息保护。同时,伴随着个人信息强监管的逐步落地,为长远计,互联网企业应当制定独立的《儿童个人信息保护政策》,区分14岁以下和14岁以上未成年人适用的内容。

隐私政策的内容应满足合理性要求

所谓的合理性是指APP运营商设置隐私政策条款时,不应设置不公平条款,例如规定免除己方责任,加重对方义务的条款。一旦隐私政策的条款内容过于强势极有可能陷入霸王条款,而面临隐私政策内容无效的局面。根据《民法典》规定,格式条款是指当事人为了重复使用而预先拟定、并在订立合同时未与对方协商的条款。可以说目前几乎所有的隐私政策都属于格式条款。《民法典》第四百九十七条规定了格式条款的无效情形:“(一)具有本法第一编第六章第三节和本法第五百零六条规定的无效情形;(二)提供格式条款一方不合理地免除或者减轻其责任、加重对方责任、限制对方主要权利;(三)提供格式条款一方排除对方主要权利。”相关APP运营企业应当做好用户协议内容效力审查工作,避免出现因违反上述规定导致协议条款法定无效的情况。

全面适用“告知-同意”规则

2013年工信部颁布的《电信和互联网用户个人信息保护规定》首次明确了未经用户同意不得收集、使用其个人信息的原则。其后,2017年《网络安全法》进一步规定网络运营者收集、使用个人信息,应当公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。由此确立了我国个人信息收集使用的一项基本原则:告知-同意原则。网络运营者可收集的用户个人信息被限定在与其提供的服务相关的范围之内,且在收集和使用信息的过程中需遵守法律、行政法规的同时,也应当遵守与用户的约定。出台不久的个保法中依然坚持了以“告知-同意”为核心的个人信息的处理规则。在此前提之下,APP运营者须对其收集、使用的信息之目的、方式及范围进行公开,并获取被收集者的同意。

结 语

在隐私裸奔的大数据时代,隐私政策作为现代公司治理体系的重要组成部分,必然对数字经济的发展产生重要影响。随着消费者对数据隐私保护的需求增加,那些拥有完整隐私政策的运营商在市场上的竞争力也将不断增强。而隐私政策不完善的运营商势必会损耗用户的信任,对企业发展带来不利影响。因此,注重APP隐私文本的合规性,对企业长远发展具有至关重要的意义。

作者:上海兰迪律师事务所孙良娟律师