【编者按】大数据、人工智能等各种先进技术的应用,在推动数据时代快速发展的同时,也加剧了个人信息安全的风险。从2017年实施的《网络安全法》、2018年实施并于2020年修订的《信息安全技术个人信息安全规范》、今年5月28日通过的《民法典》中关于个人信息保护的条款以及列入2020年度立法工作计划中的《个人信息保护法》无不显示了个人信息安全的重要性。
《民法典》在第四编人格权的第六章中从个人信息的定义、个人信息处理的原则和条件、处理个人信息的免责事由、个人信息主体权利以及个人信息处理者的安全保障义务等方面对个人信息的保护进行了规定。这些规定在承继《网络安全法》规定的基础上加以必要的完善,但仍然多为原则性的规定。因此,企业如果已经按照《网络安全法》《信息安全技术个人信息安全规范》等法律规范建立了相关合规机制,则该等合规机制暂不需要进行大幅改动。
为帮助广大企业了解更多关于个人信息保护的相关规定,以及如何结合最新的法律法规制定或修订出符合法规要求的隐私政策,我们特此全文重发杨春宝律师团队去年撰写的该篇文章,供读者参考。
怎样合法收集个人信息,你“造”吗?
——浅析企业应如何制订隐私政策
一、前言
近日一款名为“ZAO”的手机APP在朋友圈刷屏,使用该款软件,用户通过上传自拍照,就可以把多部经典影视剧主角的脸替换成自己的脸。但很快,“ZAO”的隐私政策的相关条款引发了网友争议。根据其隐私政策(据我们的最新核实,截至本文发稿之时,ZAO已对其隐私政策进行修改并删除相关争议内容),用户上传相关内容即意味着同意授予“ZAO”及其关联公司以及“ZAO”的用户在“全球范围内完全免费、不可撤销、永久、可转授权和可再许可的权利,包括但不限于可以对用户内容进行全部或部分的修改与编辑。除该等霸王条款外,网友还爆出“ZAO”的用户无法直接删除已经上传的照片、无法注销自己的账号等情形。而就在一个多月前,App专项治理工作组[1](“工作组”)发布公告称,其近期对用户数量大、与民众生活密切相关的部分App的隐私政策和个人信息收集使用情况进行了评估并发现,40款App在个人信息收集使用方面存在诸多问题,例如未经用户允许即收集信息、过度收集信息、用户注销后不及时删除个人信息,以及APP未公开有效联系方式等。这40款APP涉及金融借贷、阅读、新闻阅读、社交等多个领域,其中包括“扇贝单词”、“同花顺”、“起点读书”等知名APP。由此可知,前文所述的“ZAO”的隐私政策在收集用户个人信息方面涉嫌违法违规。近年来,随着互联网的应用和普及,个人信息[2]被大量地采集和使用,而与之相关的过度采集和滥用等问题也日趋严重。然而在立法层面,《个人信息保护法》却迟迟未出台,与个人信息保护相关的规定仅散见于《中华人民共和国网络安全法》(“网络安全法”)、《中华人民共和国刑法》(“刑法”)、《全国人民代表大会常务委员会关于加强网络信息保护的决定》(“加强网络信息保护的决定”),以及《电信和互联网用户个人信息保护规定》(“个人信息保护规定”)等法律法规中,此外还有诸如国家标准《信息安全技术个人信息安全规范》(GB/T 35273—2017)(下称“个人信息国标”)等规范性文件。本文拟从现行有效的与个人信息保护相关的法律法规出发,结合杨春宝律师团队为众多客户提供个人信息保护相关的法律服务的实际工作经验,就企业在制订对内/对外的个人信息保护规则(下称“个人信息规则”或“隐私政策”)的过程中应关注的核心要点进行介绍,以期对广大企业在日常的生产经营活动中正确处理(包括收集、保存、使用和删除等)个人信息提供有益参考。
二、 对外——企业如何制订针对用户/消费者的隐私政策
1.隐私政策的制订原则
诚然,不同企业的隐私政策因其所处行业和实际经营情况的不同而有所区别,不过杨春宝律师团队认为,隐私政策所应遵循的主要原则应当是趋同的,而其中最重要的两项原则即“经权利人同意”原则和“最小化”原则。
首先是“经权利人同意”原则。根据个人信息保护规定,企业在收集用户/消费者个人信息前,务必公示需要收集的个人信息的种类、范围等,并经其同意。未经公示并经消费者同意的,企业不得收集用户的相关个人信息。此外,根据个人信息国标的要求,收集个人敏感信息[3]时,应当获得用户的明示同意[4]。
其次是最小化原则。个人信息国标第5.5条指出,所谓最小化原则是指企业所收集的用户/消费者的个人信息应与实现产品或服务的业务功能有直接关联,且收集的频率和数量应当是实现产品或服务的业务功能所必需的最低频率和最小数量。简而言之,企业收集个人信息时必须以实现其产品或者服务的功能为限,不得超出必要的限度收集个人信息。然而在商务实践中,企业通过APP过度索权,明显超出APP的业务功能范围收集用户/消费者个人信息的现象层出不穷,例如:某用户在下载某个APP后,经常会被索取手机通讯录、录音视频功能等权限,而事实上,该APP在为该用户提供产品或服务的过程中,并不需要用到这些功能和/或信息,这种行为显然严重违反了最小化原则。本次被工作组点名的40款APP中,大约有三分之一的APP存在违反最小化原则的现象,尤其是金融贷款类的APP,大多会强行收集用户通讯录中的信息。
上述两项原则是相关法律法规的强制性要求,因此我们建议企业在制订隐私政策的过程中,务必遵循该两项原则。
2.隐私政策的必备内容
明确了制订隐私政策的核心原则之后,接下来就应确定该政策的具体内容。前不久,国家网信办公布的《数据安全管理办法(征求意见稿)》(下称“数据安全意见稿”)就对此进行了明确规定。根据该意见稿,个人信息收集、使用规则应当包括:网络运营者信息(网络运营者基本信息,及其主要负责人、数据安全责任人的姓名及联系方式),收集、使用个人信息的具体规则(收集和使用的目的/种类/数量/频度/方式/范围等,信息保存地点、期限及到期后的处理方式,向他人提供信息的规则和信息安全保护策略),以及个人信息主体的权利(撤销同意,查询、更正、删除个人信息的途径和方法,投诉、举报渠道和方法等)。
虽然数据安全意见稿并未正式生效,但杨春宝律师团队认为,该文件对规范企业收集、使用用户/消费者个人信息的行为具有一定的指导意义,因此强烈建议广大企业参考意见稿制订、修改相关隐私政策,并在后续的商务实践中加以严格遵守。以下我们将结合相关法律法规介绍个人信息收集、使用和删除的具体规则:
首先是个人信息的保存。个人信息的使用与处理必须建立在保证信息安全的基础上。根据网络安全法相关规定,企业应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。此外,根据个人信息保护规定,电信业务经营者、互联网信息服务提供者应当采取相关措施防止用户个人信息泄露、毁损、篡改或者丢失。而个人信息国标要求企业在收集用户信息后采用一定的技术手段进行去标识化[5]保存,以此来保障收集到的信息不被泄露。因此我们建议企业应当在隐私政策中明确告知用户/消费者,企业保存其个人信息的具体方式以及保障其个人信息安全的具体措施。
其次是个人信息的使用和处理。此次“ZAO”APP的隐私条款之所以会引发巨大争议,原因便是在于相关条款明显违反相关法律法规对于个人信息使用的限定。根据个人信息国标的相关规定,企业在使用个人信息时,不得超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因业务需要,确需超出上述范围使用个人信息的,应再次征得用户明示同意。而根据“ZAO”此前的隐私政策,一旦用户点击同意该隐私政策,“ZAO”的即运营企业可对用户上传的数据和信息进行再编辑和使用而无需再次征得用户同意,这一要求显然与个人信息国标的规定相悖。此前,“ZAO”还在其隐私政策中规定,用户上传的个人信息除“ZAO”APP平台享有使用的权利外,其关联公司也享有同样的权利。根据个人信息国标,企业在转移、共享收集到的个人敏感信息前,应当告知用户转移的对象,并征得用户明示同意。“ZAO”的关联公司为独立主体,而“ZAO”的用户上传至平台的信息大多为个人照片,一旦遭到泄露,将很可能导致个人受到歧视(如用户的外貌遭到带有侮辱性的评头论足)或危及个人财产安全(考虑到部分支付工具支持刷脸,用户照片可能会被不法分子利用),因此我们理解,该等信息当属于个人敏感信息范畴,因此“ZAO”在向其关联公司转移或共享用户个人敏感信息时理应征得用户同意,因此“ZAO”的隐私政策相关内容显然违反了个人信息国标。事实上我们注意到很多企业在制订隐私政策时亦会像“ZAO”APP那样加入一些“霸王条款”,强烈建议该等企业严格依法行事,切勿为了贪图信息处理的便利性而剥夺用户应享有的涉及其个人信息的相关权益,以免受到相关行政处罚和/或招致用户的民事索赔。
在个人信息的使用和处理方面,企业除了要避免前述“霸王条款”外,还应当注意大数据技术对于个人信息使用和处理的影响。随着大数据技术的发展,企业在收集用户/消费者的个人信息后,不只是简单利用这些个人信息向用户/消费者提供产品和服务,更会对这些个人信息进行加工、处理,通过处理后得到该用户/消费者的用户画像[6],而后基于用户画像向用户定期推送相关新闻信息、广告等。如果征得用户/消费者的同意,并且仅是出于为用户/消费者提供更优质的产品和服务的目的进行推送的,当然无可厚非。然而,实践中一些企业却利用用户画像侵犯用户/消费者的合法权益,例如最近几年频繁爆出的“大数据杀熟”[7]就是典型的企业利用用户画像侵犯消费者权益的现象。虽然近年来网信办多次约谈了利用“大数据杀熟”的网络平台经营者,但是实践中仍存在违法利用大数据等加工处理个人信息的行为,例如去年五月爆出的携程大数据杀熟事件,有用户称在携程APP上预订酒店,使用不同的携程账号搜索同一家酒店同一房型显示的价格并不相同,在没有任何优惠的情况下,同一时间作为老用户的账号显示酒店预订价格为208元,而新用户账号显示的价格仅为198元,两个账号价格存在较大差异。针对此类现象,数据安全意见稿作出了一定的规制,即:企业通过互联网等利用用户画像推送新闻信息、商业广告等(下称“定向推送”),应当以明显方式标明“定向推送”字样,同时还应该给予用户选择权,消费者可以同时选择定向推送的数据信息,也可以选择非定向推送的数据信息。关于定向推送,今年生效的《中华人民共和国电子商务法》中也明确规定,在根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果时,企业应当同时向该消费者提供不针对其个人特征的选项。因此,我们建议企业在隐私政策中列明使用和处理用户/消费者个人信息的具体方式,而对于定向推送等服务,企业应当告知用户/消费者选择非定向推送信息的渠道和方式,以避免被认定为存在“大数据杀熟”或其它利用用户画像侵犯消费者合法权益的行为。
再次,是个人信息出境。对于跨国公司而言,将收集到的某些个人信息传送到国外的子公司或者母公司进行存储或者处理是惯常操作,而该行为必须遵循涉及个人信息出境[8]的法律法规。网络安全法对关键信息[9]出境作出了较为原则性的规定,即要求关键信息的运营者在中国境内运营的过程中收集和产生的个人信息和重要数据应当在境内存储。而今年6月国家网信办出台的《个人信息出境安全评估办法(征求意见稿)》(下称“安全评估办法”),对个人信息出境问题进行了扩展和进一步明确,该办法指出,如网络运营者向境外提供在中国境内运营的过程中收集的个人信息,应当向所在地省级网信部门申报并进行安全评估。经安全评估认定个人信息出境可能影响国家安全、损害公共利益,或者难以有效保障个人信息安全的,不得出境。与此同时,网络运营者应当建立个人信息出境记录并且至少保存5年。虽然该办法尚未正式颁布生效,但是对于涉及个人信息出境的跨国公司而言仍有较强的参考意义,我们建议其在隐私政策中明示用户/消费者个人信息出境的目的等信息,并承诺将严格依法行事。
最后,是个人信息的更正与删除。根据网络安全法的相关规定,对于用户/消费者而言,如发现企业收集的其个人信息存在错误,其有权要求企业进行更正,即更正权。而删除权,也被称为“被遗忘权”,该权利最早在2012年欧盟的相关个人信息法案中被提出,其权利基础在于企业并无权永久使用其收集的用户/消费者的个人信息。我国法律法规中虽没有“被遗忘权”的相关规定,但是根据个人信息国标以及公安部等部门发布的《互联网个人信息安全保护指南》等相关规定,个人信息应在实现目的所必需的最短时间内保存,而超过保存时限之后应删除个人信息。如本文前言部分所述,“ZAO”APP此前的隐私政策限制用户直接删除其上传的图片,这一行为事实上侵犯了用户的删除权,应予以纠正。同时根据网络安全法的相关规定,如企业违反法律法规或者与用户的约定收集个人信息,用户有权要求企业即刻删除收集到的个人信息。因此,强烈建议企业应当在隐私政策中列明用户/消费者享有更正权、删除权等权利,并且告知用户/消费者行使该等权利的具体渠道及步骤。
3.儿童的特殊保护
除前述关于隐私政策的普适原则和内容外,企业在收集用户/消费者的个人信息时还应当特别关注对儿童[10]的特殊保护。国家网信办在2019年8月22日公布了《儿童个人信息网络保护规定》(下称“儿童信息保护规定”)。根据该规定,企业在收集儿童个人信息时,应当遵循更加严格的程序,例如:在收集、使用儿童个人信息时,应当以显著、清晰的方式告知儿童监护人且征得其明示同意;儿童或者其监护人要求企业删除其收集、存储、使用的儿童个人信息的,企业应当及时采取措施予以删除。
儿童信息保护规定将于2019年10月1日起正式生效,因此我们强烈建议企业(尤其是主要面向儿童提供产品服务的企业,例如一些益智类电子游戏的经营者等)在制订隐私政策时应当将该规定的相关内容纳入其中,并在收集、使用儿童个人信息时加以严格遵守。
三、对内——企业如何制订员工隐私政策
在商业实践中,企业为日常经营和内部管理之目的,往往需要不时收集/使用员工的相关个人信息,有时还要根据业务需要将该等信息提供给合作方。而在进行员工个人信息处理的过程中,存在信息过度收集、信息不当泄露(因企业自身或合作方的原因)或遭受黑客攻击等各种潜在风险。因此,如何制订一份合法有效且具备可操作性的员工隐私政策,对广大企业而言至关重要。我们理解,企业为其外部用户/消费者制订的个人信息规则所遵循的原则和应注意的关键点应同样适用于其内部员工隐私政策,此外,考虑到企业所收集的员工信息在内容上可能会比企业所收集的外部用户/消费者的信息更为具体和私密(如员工信息可能涉及婚姻状况等),员工隐私政策应当更强化信息保护方面的措施。
具体而言,杨春宝律师团队的一外资客户在日常经营活动中经常需要将员工派驻至委托方(俗称“甲方”)处提供服务,因此需应甲方要求向其提供该等员工的,包括姓名、联系方式、学历和工作经历等在内的相关个人信息。该客户系一家英国上市公司,因此,于2018年5月正式实施的,被称为“史上最严格的隐私和安全法”的《欧盟数据保护条例》(General Data Protection Regulation,下称“GDPR”)将直接适用于该客户(如英国在未来正式退出欧盟,该条例是否还适用有待考证)。根据GDPR,个人数据只属于本人,不属于其他任何人,个人拥有了解其个人数据被如何处理,访问并要求更正不正确的个人数据,要求删除个人数据,抗议个人数据被用于营销,在特定情况下要求限制个人数据处理等多项权利。而在执行条款方面,GDPR支持数据主体寻求损害赔偿,违反GDPR将被处以高达全球收入的4%或2000万欧元的罚款,以较高者为准。虽然,该客户的英国总部拥有非常完善的员工隐私政策,但其在中国境内的业务公司在员工个人信息保护方面却是一片空白,为了最大限度降低该客户在中国境内处理员工个人信息的相关风险,我们及时为其制订了《员工隐私政策》并涵盖以下主要内容:
第一,员工个人信息的收集。该部分内容与本文前述企业制订对外隐私政策时所需要注意的事项大致相同,即应遵循经权利人同意和最小化原则等要点,同时应将隐私政策作为公司的重要规章制度,在员工入职时让其对隐私政策的纸质或电子文档进行签收。此外,我们还提请客户注意,在员工入职时如需收集其近亲属的相关信息,应征得其近亲属的同意,并将客户收集该等信息的目的和客户的联系方式告知该等近亲属。
第二,员工个人信息的保存。在这方面,我们针对客户公司对员工的信息保存设置了相关条款,建议客户应在必要时建立独立的数据库,存储员工个人信息。如需对员工个人信息进行访问、管理、维护,则应设置严格的内部审批流程。此外,政策还应赋予员工查询和更正其个人信息的权利。而员工在离职时亦享有被遗忘权,即有权要求客户永久性删除其收集到的离职员工的相关信息。
第三,员工个人信息的披露与使用。这部分主要涉及客户在商业往来中,对外提供员工个人信息时应遵循的原则。我们建议客户如确有必要对甲方披露员工个人信息时,必须经公司管理层的严格批准,以防止员工个人信息被滥用。并且,在向甲方披露员工个人信息时,务必与甲方签订保密条款,保证所披露的员工个人信息不被泄露。与此同时我们还建议客户应当对该等披露活动进行完整的记录,包括披露的目的、披露的信息种类等。当然,对于为了公共安全或者应有权机关强制性要求进行披露的,可不经相关员工同意,但应在依法进行披露的同时,书面告知相关员工。
四、结语
如前文所述,“ZAO”APP在网友的一片质疑声中对其用户隐私政策进行了修订,删除了违法违规的相关内容。而工作组也在公告中要求本次涉嫌违规的40款App的运营者应当及时联系工作组并对其隐私政策的相关内容进行整改,否则工作组将建议相关部门予以处置。而对于企业自身而言,如未能制订出一套合法合规且行之有效的员工隐私政策,将存在因侵犯员工个人信息而招致索赔的潜在法律风险。因此,杨春宝律师团队建议广大企业(包括网络平台和APP运营者等)及时制订或完善对内和对外的隐私政策并向用户/消费者/员工及时进行公布,并在今后的日常运营中,严格遵守适用法律法规和隐私政策,依法收集、使用、保管、删除个人信息,以避免因相关违法违规行为而招致民事赔偿,被处以行政处罚甚至追究刑事责任。
[1] App专项治理工作组是根据《关于开展App违法违规收集使用个人信息专项治理的公告》,受中央网信办、工信部、公安部、市场监管总局委托,全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立的工作组。主要负责对用户数量大、与民众生活密切相关的App隐私政策和个人信息收集使用情况进行评估。
[2] 《网络安全法》第76条第5款:个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
[3] 所谓个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息,例如:身份证、银行账号、个人因生病医治等产生的相关记录等。
[4] 所谓明示同意是指个人信息主体通过书面声明或主动做出肯定性动作,对其个人信息进行特定处理做
出明确授权的行为。例如:个人信息主体主动作出声明(电子或纸质形式)、主动勾选、主动点击“同
意”、“注册”、“发送”、“拨打”等。
[5] 去标识化是指通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别个人信息主体的过程。
[6] 依据个人信息国标,所谓用户画像是指通过收集、汇聚、分析个人信息,对某特定自然人个人特征,如其职业、经济、健康、教育、个人喜好、信用、行为等方面做出分析或预测,形成其个人特征模型的过程。
[7] 大数据杀熟是指利用大数据对老客户进行利益宰割。其技术原理是利用平台收集的海量用户信息和数据,生成用户画像。企业基于用户画像对用户进行精准识别和归类,开启个性化推荐,并通过向消费能力高、消费意愿强的用户展示更高的价格来赚取更多利润。
[8] 个人信息出境是指网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息。
[9] 此处关键信息指能源、通信、金融、交通、公共事业等重要行业运行的信息。
[10]本文所称的儿童,是指不满十四周岁的未成年人。
作者简介
杨春宝,一级律师(正高级职称),大成(上海)律师事务所高级合伙人、资本市场部主任、国资基金研究中心主任,大成中国区私募股权与投资基金专业带头人,上海涉外法律人才库成员。复旦大学法学学士(1992)、悉尼科技大学法学硕士(2001)、华东政法大学法律硕士(2001)。
杨律师执业30余年,长期从事私募基金、投融资、并购重组法律服务,涵盖大金融、大健康、房地产和基础设施、TMT、展览业、制造业等行业。2004年起多次入选The Legal 500“私募基金”和“公司与商业”榜单,并多次受到Asia Law Profiles特别推荐或点评,2016年起连续入选国际知名法律媒体China Business Law Journal“100位中国业务优秀律师”,荣获Leaders in Law - 2021 Global Awards“中国年度公司法专家”称号;连续荣登《中国知名企业法总推荐的优秀律师》推荐名录;多次荣获Lawyer Monthly及Finance Monthly“中国TMT律师大奖"和“中国并购律师大奖"等奖项。杨律师代理的中国法院首例适用外国法律审理外国公司的董事损害小股东权益纠纷案入选上海高院发布的《上海法院域外法查明典型案例》和威科先行“要案头条”。
杨律师具有上市公司独立董事任职资格,系华东理工大学法学院兼职教授、复旦大学法学院实务导师、华东政法大学兼职研究生导师、上海交通大学私募总裁班讲师、上海市商务委跨国经营人才培训班讲师,曾应邀与北大、人大、社科院的顶级公司法博导共同研讨公司法实务问题。出版《私募股权投资基金风险防控操作实务》《企业全程法律风险防控实务操作与案例评析》《完胜资本2:公司投融资模式流程完全操作指南》等16本专著。杨律师执业领域为:公司、投资并购和私募基金,资本市场,TMT,房地产和建筑工程,以及上述领域的争议解决。电邮:chambers.yang@dentons.cn
孙瑱,北京大成(上海)律师事务所合伙人。孙律师在执业前先后在美国沃茨、英格索兰和阿尔卡特朗讯等全球500强企业担任全球、亚太区或中国区总裁或副总裁执行助理,积累了丰富的企业运营管理经验,并具备非常优秀的中英文双语沟通和协调能力。孙律师出版《私募股权投资基金风险防控操作实务》并发表数十篇并购、基金、电商领域的文章。孙律师擅长领域为:私募股权投资、企业并购、电商和劳动法律事务。电邮:sun.zhen@dentons.cn
