个人信息采集与处理须合法合规
个人信息采集与处理须合法合规
文  |  刘晓春  张泽钰
随着“互联网+”和大数据产业模式
的发展,无论线上还是线下的商品贸易、服务提供,都不可避免要采集和处理大
量包含个人信息的数据,并成为精准营
销、商业决策、优化服务乃至促进机器深度学习的基础性资源。随着个人信息泄露事件在国内外接二连三地爆发,个人信息保护和合规的问题也成为企业重
点关注的领域,不仅对互联网企业极其重要,对传统企业同样敲响了警钟。对于这一新兴的领域,企业需要紧跟监管步伐,积极调动资源,建立并完善个人信息保护机制。
制定并完善隐私政策
个人信息保护合规的第一步,就是要制定对内和对外的符合法定要求的规
则和政策,通常也被称为“隐私政策”。整体来看,各大网络服务提供商的隐私政策都包含以下内容:信息的收集与使
用、信息的分享(跨境转移、第三方共享、第三方广告及网站)、用户对信息的访问与控制、技术与安全、未成年人或者儿童的特别条款。除此以外,一些涉及或可能涉及用户敏感信息的网络平台或网络服务经营商还对个人敏感信息进行了特别规定,包括对敏感信息进行定义并对敏感信息的收集、使用和管理进行单
独规定并特别强调。
个人敏感信息通常是指一旦泄露、非
郑州公租房申请条件法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。对于个人信息、个人敏感信息的陈述和列举,不必拘泥于具体内容和表达,而是要尽量贴合特定网络服务的具体内容,包括网络服务经营者主要涉及的产品或服务内容。例如,网络交友平台要尤其注意对客户的择偶标准、
性取向等问题进行保护。
在制定政策框架及具体内容时,应
取公积金
当从用户的视角切入,尽可能采取普通用户可以明确理解的方式进行规定。国家网信办、工信部、公安部等部委在对
于典型的互联网企业隐私政策进行抽查时,也特别强调了隐私政策的可读性。个人信息的收集与利用
首先,企业在制定个人信息政策时
必须制定用户个人信息收集、使用规则,并在其经营或者服务场所、网站等予以公布。其次,个人信息使用和收集的基本合法性基础是个人同意机制,即对于用户个人信息的收集和使用需要经用户
同意;应当明确告知用户收集、使用信息的目的、方式和范围;不得收集其提供服务所必需以外的用户个人信息或者
将信息用于提供服务之外的目的,不得
以欺骗、误导或者强迫等方式或者违反
法律、行政法规以及双方的约定收集、使用信息;用户终止使用电信服务或者互联网信息服务后,应当停止对用户个人信息的收集和使用,并为用户提供注
销号码或者账号的服务。
例如,腾讯隐私政策在提到“我们
可能收集的信息时”进行了进一步分类之后再具体规定,共分为三类:您提供
的信息、其他方分享的您的信息、我们获取的您的信息(包括日志信息和位置信
息)。新浪微博个人信息保护政策提到了一些会涉及到信息收集的具体情况,“在你注册微博账号时、在你使用微博提
供的位置定位服务时、在你使用微博搜
索服务时、在你使用微博提供的身份认证服务时、当你在微博中使用第三方提
提示板法律在线LAW ONLINE
32CHINA'S FOREIGN TRADE
Copyright©博看网 www.bookan. All Rights Reserved.
供的服务时等”以及最后,该政策提到,“基于对你信息的有效保护并且在你同意的基础上,我们会对收集到的你的信息进行去标签化处理,以保护你的信息安全。在此希望你了解并接受在不透露你个人信息的前提下,微博有权对你的信息进行分析并予以商业化的利用。”综上所述,建议企业在规定信息
收集及使用的条款时,一定要明确提出个人同意机制的适用范围及但书条款(即何种情况下不需要取得用户的个人同意),明确告知用户个人信息收集或使用的目的、方式和范围,强调企业对信息的收集和使用都是基于服务的提供,而不会以提供服务以外的目的作出上述行为。关于具体内容的列举及说明,建议结合特定产品或服务的具体操作流程,研究其可能涉及的个人信息的项目或环节,对此开展进一步规定。
个人信息的对外分享
个人信息对外分享的情形可能包括:用户向第三方进行信息分享、个人信息的跨境流通、个人信息分享的其他情况。第三方平台分享是网络平台服务中最常遇到的情况之一,是指用户从原平台跳转到其他平台并在该平台上分享相关信息的行为,通常情况下,平台跳转的同时会由第三方(也就是用户将要跳转到的平台)收集用户的部分基本个人信息或用户信息(包括但不限于个人昵称、个人头像等项目)。针对此类问题的方案可以参照前文“个人信息的收集及使用”的内容进行制定。与此同时,也需要在“信息分享”一章中明确列举此类信息分享的形式,提示并告知网络服务用户由此可能造成的风险及后果。例如,腾讯隐私政策在“隐私政策的适用例外”一章中提到“该等第三方社交
媒体或其他服务可能由相关的第三方或
我们运营。您使用该等第三方的社交媒
体服务或其他服务(包括您向该等第三方
提供的任何个人信息),须受该第三方的独一无二的近义词
服务条款及隐私政策(而非《通用服务条
款》或本《隐私政策》)约束,您需要仔细
阅读其条款。”新浪微博个人信息政策中
规定:“当你在微博中使用第三方提供的
服务时,微博视为你允许第三方收集你的
订单信息、支付信息等,如果你拒绝第三
方在提供服务时收集此类信息,将可能会
导致你无法在微博中使用第三方服务。”
但是,有些隐私政策的表述有可能
试图进行一揽子同意,比如“如我们或我
们的关联公司与任何上述第三方分享您
的个人信息,我们将努力确保该等第三
方在使用您的个人信息时遵守本《隐私
政策》及我们要求其遵守的其他适当的
保密和安全措施。”这类条款尽管有助
于提高效率,但是有可能面临合法性的
审查。根据现有法律框架及实务经验,
个人同意机制依旧是个人信息保护领域
中最为重要的基础之一。
关于个人信息的跨境流动,《网络
安全法》的相关条文针对重要数据强调
了两个问题,一方面网络服务提供者在
服务过程中收集的个人信息应当在境内
储存,另一方面,如果需要出境,则必须
进行安全评估。目前,关于数据跨境流
动尚未出台具体政策。但是在向提
供数据时依然应当注意合规的问题。
如果网络产品或服务涉及或可能涉
及个人数据出境的问题,则需要注意两
方面的内容:第一,对个人信息出境的
可能情境进行列举,并根据有关法律文
丌件的规定充分说明有关情况,征得用户
同意。第二,强调会根据国家有关法律
八仙过海剧情介绍
的规定,对个人信息及数据的安全进行
安全评估,保障用户个人信息的安全,
此时可以选择把安全评估的一些重点内
容公布出来,既能更好地体现网络服务
提供商的专业态度,也更有可能让用户
信任服务商的产品。
其他情形包括合并、收购、资产转
让或类似的交易中的数据分享,以及广
告精准投放情况下的数据分享。在这些
领域,依旧应当遵守个人信息收集及使
杲怎么读拼音用的最基本原则即个人同意,网络服务
提供者应当充分说明有关情况及后果,
获得用户的同意。近期关于大数据“杀
熟”的争论,其核心并不在于实现价格
歧视的算法本身是否正当,而是在于是
否充分保障了消费者的知情权。
保障个人对其信息的访问和控制权
《网络安全法》第四十三条进一步明
确了用户控制个人信息的情境:“个人发
现网络运营者违反法律、行政法规的规
定或者双方的约定收集、使用其个人信息
的,有权要求网络运营者删除其个人信息;
发现网络运营者收集、存储的其个人信息
有错误的,有权要求网络运营者予以更
正。网络运营者应当采取措施予以删除
或者更正。”这主要对用户提出删除或更
正其个人信息的具体情况进行了列举。
建议企业在制定个人信息政策时积
极回应上述条款,明确用户可以更正、
删除自己相关个人信息的具体情境,并
可以与服务的具体内容相关联。主管机
关在执法抽查过程中也要求服务商提供
“一站式”的操作方式,方便用户在授权
之后依然可以自主管理、删除自己的个
人信息。
(作者单位:中国社会科学院大学互
联网法治研究中心)
33
2018.04  中国对外贸易
Copyright©博看网 www.bookan. All Rights Reserved.

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。