吴婷:制定合规隐私政策,保护个人信息安全
发布时间:2019-09-22 08:30:00

浙江铎伦律师事务所 吴婷

前段时间,“ZAO(逢脸做戏)”AI换脸App一夜爆红,以迅雷不及掩耳之势刷爆朋友圈,引发“病毒式”传播。“ZAO”在大火的同时也引发了巨大的争议,其“霸王条款”侵犯用户个人隐私触发众怒,尽管“ZAO”团队已经为此致歉了,但这仍不足以打消用户的担忧。因为修改后的条文也并未明确规定收集和使用用户信息的具体情况。不到一周,从爆红刷屏社交圈到深陷舆论旋涡,AI换脸AppZAO经历了大起大落。因此,制定一份合规的隐私政策对企业来说至关重要。

实际上,在今年上半年,App专项治理工作组就依据《网络安全法》、《消费者权益保护法》、《信息安全技术 个人信息安全规范》等法律法规和国家标准,编制了《App违法违规收集使用个人信息自评估指南》。指南分别从隐私政策文本、App收集使用个人信息行为、App运营者对用户权利的保障三个角度出发指出各自的评估要点。

关于隐私政策文本主要有以下四个评估点:

1. 隐私政策的独立性、易读性。是否有隐私政策,隐私政策是否以单独成文的形式发布,是否易于访问、易于阅读。

2. 隐私政策是否清晰说明了各项业务功能及其所对应收集的个人信息类型,是否对个人敏感信息进行显著标识。

3. 隐私政策是否清晰说明个人信息处理规则及用户权益保障,例如App运营者的基本情况、个人信息的存储方式、使用规则、出境情况、安全保护措施和能力、对外共享、转让、公开披露个人信息规则、用户权利保障机制、申诉渠道和反馈机制、隐私政策时效、更新等。

4. 是否在隐私政策等文件里规定免除自身责任、加重用户责任、排除用户主要权利等不合理条款。

关于App收集使用个人信息行为主要有以下三个评估点:

1. 收集个人信息是否明示收集目的、方式、范围,若使用Cookie及其同类技术或者存在嵌入第三方代码插件收集个人信息的功能,是否向用户明示。

2. 收集使用个人信息是否经用户自主选择同意,是否存在将多项业务功能打包,要求用户一揽子接受的情形。

3. 收集个人信息是否满足必要性要求,例如实际收集的个人信息类型是否超出隐私政策所述范围;收集与业务功能有关的非必要信息,是否经用户自主选择同意;是否收集与业务功能无关的信息;是否在用户明确拒绝后继续索要权限,打扰用户;App更新是否更改系统权限设置。

关于App运营者对用户权利的保障主要有以下两个评估点:

1. App是否提供用户注销账号、更正或删除个人信息的途径,在用户注销账号后,是否及时删除其个人信息或进行匿名化处理。

2.App运营者是否及时妥善处理并及时反馈用户申诉。

其次,由于实践中互联网企业公布其隐私政策条文冗长,条款内容晦涩难懂,以致于生活中很少用户会去认真阅读隐私政策的内容。故对于隐私政策的呈现形式总结如下:

1. 尽量简洁、用户友好, 可使用图表帮助说明。鼓励企业制定简洁、易懂的隐私政策, 帮助用户迅速找到关键信息。

2. 用户安装、注册、第一次使用前采取增强式告知, 提示关于个人信息收集的核心内容。增强式告知不是隐私政策的全部内容, 但浓缩了隐私政策的核心, 突出用户最关心的信息, 例如收集的个人信息范围、使用目的和使用主体等。

3. 以用户为中心, 提供“一站式”撤回和关闭授权, 在线访问、更正、删除用户个人信息, 在线注销账户等功能。

另外,企业应对涉及个人信息保护的刑事责任予以足够重视,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条就“非法获取、出售或者提供公民个人信息”的“情节严重”进行了认定,“非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的”,“非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的”均会构成《刑法》第二百五十三条规定的侵犯公民个人信息罪。

最后,我们建议广大企业(特别是网络平台和APP运营者等)及时制订或完善隐私政策并向用户及时公布,并在今后的日常运营中,严格遵守适用法律法规和隐私政策,依法收集、使用、保管、删除个人信息,以避免因相关违法违规行为而被追究相关法律责任。

来源:杭州网   作者:吴婷   编辑:周夏