个人信息隐私政策落地中国十大最新合规要点
发布时间:2019-06-27
文 | 钱静雯 汇业律师事务所 律师
截止今年5月底,GDPR生效已满一周年,各跨国公司均基本已按照其要求更新了隐私/数据政策(下称“隐私政策”)及相关配套协议/声明,但相关文件在中国执行时不免要经过中国法合规审查。尤其在今年中国政府密集立法和突击执法的大背景下,跨国公司的全球性政策往往无法完全满足中国法律法规的有关网络安全和个人/信息数据保护的细节要求。
虽然GDPR对于个人信息的保护已经确立了相当高的标准,但由于其底层逻辑架构、体例安排、保护方式及侧重点与中国法目前林林总总的规制相差甚远,加之外语语言表达方式和思维模式的差异,导致GDPR项下的隐私政策落地中国时产生一定程度的文本和执行层面缺口。
汇业网络与数据法团队结合近期经手的多个典例,根据现行有效的《个人信息安全规范GB/T 35273—2017》、《App违法违规收集使用个人信息自评估指南》、《互联网个人信息安全保护指南》、以及最新出台的《数据安全管理办法(征求意见稿)》、《个人信息出境安全评估办法(征求意见稿)》、《App违法违规收集使用个人信息行为认定方法(征求意见稿)》、《儿童个人信息网络保护规定(征求意见稿)》等立法趋势整理了以下十大项隐私政策合规要点,帮助企业梳理中国落地难题。
一、企业主体信息披露
在GDPR要求数据控制者披露DPO的联系方式的基础上,中国法要求披露更详细的主体信息,在中国有法律实体的,建议在隐私政策中披露中国主体的信息,包括但不限于实体名称、地址、常用办公地点、相关负责人的姓名、联系方式等,并将上述信息至于突出位置,便于读者查看。
二、完整罗列收集/处理的个人信息及对应的业务功能
根据《App违法违规收集使用个人信息自评估指南》,隐私政策中应当将收集个人信息的业务功能逐项列举,不应使用“等、例如”字样。业务功能是指App面向个人用户所提供的一类完整的服务,如地图导航、网络约车、即时通讯、餐饮外卖、交通票务等。此外,隐私政策中对每个业务功能都应说明其所收集的个人信息类型,不应出现多个业务功能对应一类个人信息的情况。
以上两条标准结合,建议App运营者重新逐一梳理其App内提供的所有业务功能,一一核对各项业务功能是否存在收集个人信息的情况,并将其中收集个人信息的业务功能在隐私政策中逐一列明,不应遗漏,即有多少项业务功能,就对应做多少次收集个人信息类型的说明。
三、告知拒绝提供个人信息的影响
根据有关规定,隐私政策应向个人信息主体告知所提供产品或服务的核心业务功能及所必需收集的个人敏感信息,并明确告知拒绝提供或拒绝同意将带来的影响。应允许个人信息主体选择是否提供或同意自动采集。
产品或服务如提供其他附加功能,需要收集个人敏感信息时,收集前应向个人信息主体逐一说明个人敏感信息为完成何种附加功能所必需,并允许个人信息主体逐项选择是否提供或同意自动采集个人敏感信息。当个人信息主体拒绝时,可不提供相应的附加功能,但不应以此为理由停止提供核心业务功能,并应保障相应的服务质量。
四、突出标注敏感个人信息
隐私政策应对个人敏感信息类型进行显著标识(如字体加粗、标星号、下刻线、斜体、颜色等)。根据《个人信息安全规范GB/T 35273—2017》,个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)未成年人的个人信息等,更多具体分类可参考《个人信息安全规范GB/T 35273—2017》之附录B。
五、儿童保护特殊要求
虽然GDPR亦将儿童纳入“特殊数据主体”予以保护并规定不得委托处理儿童个人信息,在实施层面有较高的要求,但企业还需重视中国法下的细节要求,包括但不限于:
1) 业务不涉及儿童资料,建议声明不收集/处理儿童信息;
2) 制定专门的、简明易懂的儿童个人信息保护规则和用户协议,并设立个人信息保护专员或制定专人负责儿童个人信息保护;
3) 收集/使用儿童个人信息的,应以显著、清晰的方式告知儿童监护人,并应当征得监护人的明示同意;
4) 工作人员访问儿童个人信息应经特别授权审批,记录访问情况,并采取技术措施避免下载、复制儿童信息;
5) 转移儿童个人信息应经前置安全评估;
6) 原则性禁止披露儿童个人信息,依法或依约披露有合理例外。
六、用户画像、个性化展示的说明
如果App运营者将个人信息用于用户画像、个性化展示等,隐私政策中应说明其应用场景和可能对用户产生的影响。近期的立法动态显示,用户画像和个性化展示的问题是目前立法关注的焦点之一。建议运营者全面梳理目前直接、间接用户画像的应用情形,梳理应用场景中会对个人信息主体权益产生影响的情形,对于会对个人信息主体权益产生影响的应用场景,在隐私政策中为个人信息主体提供申诉方法。
七、个人信息主体权利的实现机制
中国目前立法中规定的权利体系基本与GDPR规定的数据主体权利相接轨,但按照GDPR拟定的隐私政策并不一定会说明实现每一项权利的具体方法和机制,建议有关隐私政策落地中国时,向数据主体说明实现各项权利的具体方式和途径。
此外,《App违法违规收集使用个人信息自评估指南》对数据控制者处理数据主体要求的相应起也做了限制性规定,要求妥善受理并及时反馈用户申诉,原则上在15天内回复处理意见或结果。
八、个人信息出境问题
随着有关个人信息出境法规意见稿的出台,个人信息出境将是未来监管的重中之重,包括但不限于如下要点:
1) 首先,隐私政策中应将个人出境信息类型列出并显著标识(如字体加粗、标星号、下划线、斜体、颜色等);
2) 其次,建议说明有关数据转移的信息,包括接收人的类型、传输目的和传输的数据类型;
3) 说明本地化存储和跨境安全评估要求,即在中国境内运营中收集和产生的个人信息将存储在中国境内,向境外提供上述个人信息的,应当按照网信部门出台的有关办法进行安全评估;
4) 个人信息出境合同内容和形式应符合有关规定,并向网信部门申报合同履行情况。
九、隐私政策时效及更新
应明确标识隐私政策发布、生效或更新日期,如果发生业务功能变更、个人信息出境情况变更、使用目的变更、个人信息保护相关负责人联络方式变更的情形时,隐私政策应进行相应修订,并通过电子邮件、信函、电话、推送通知等方式及时告知用户。
十、内容易读性
隐私政策的内容应清晰易懂,符合通用的语言习惯,使用标准化的数字、图示等,避免晦涩难懂、冗长繁琐,避免使用有歧义的语言,并在起始部分提供摘要,简述告知内容的重点。因此,为便于中国用户/合作伙伴/雇员阅读和理解,我们建议企业在中国落地隐私政策时将其翻译成中文。
以上为结合最新立法趋势总结的较为常见的合规要点,实践中,跨国企业隐私政策落地是一件需要总部与当地联动、法务部同事和外部律师协同作战方能完成的浩大工程。但无论困难几何,在现今中国互联网强监管形势下都是一个剪不断也绕不开的课题。