《个人信息保护法》实施一周年之际,CCIA数据安全工作委员会发起《个保法》实施“大家谈”专题工作,通过委员会内及推荐专家征文等形式,畅谈对《个保法》实施的观点,鼓励委员单位以汇总案例、解读条款、分享经验、提出建议等方式,各抒己见,为推进《个保法》进一步深入实施贡献力量。
2021年11月1日正式施行的《个人信息保护法》,是我国个人信息保护领域的首部立法。全文共计八章七十四条,其中“告知”字眼出现16次,规定了个人信息处理者在处理一般个人信息或敏感个人信息的告知要求、告知事项,以及告知的例外。本文将从《个人信息保护法》第十七条的要求出发,探讨个人信息处理者在处理一般个人信息时的应满足哪些告知要求,并进行举例说明。
法条解析
《个人信息保护法》第十七条 | ||
1、 | 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项; | 条款解析: ■ 隐私政策的告知应当“显著”,除了隐私政策本身需要以显著形式展示给用户外(如通过弹窗、首页面形式提醒用户阅读),所要告知的内容也应当在隐私政策文本中以显著方式展示(如将告知内容进行加粗)。 ■ 隐私政策的告知语言应当“清晰易懂”,内容不应晦涩难懂、冗长繁琐、使用大量专业术语。 |
2、 | 个人信息处理者的名称或者姓名和联系方式; | 条款解析:隐私政策中需明示个人信息处理者的名称或者姓名和联系方式。 |
3、 | 个人信息的处理目的、处理方式,处理的个人信息种类、保存期限; | 条款解析:应在隐私政策中告知处理个人信息的目的、方式、种类、存储期限: 处理目的:应说明出于何种业务目的需处理个人信息; 处理方式:应说明个人信息的处理方式(收集、存储、使用、加工、传输、提供、公开、删除等); 处理个人信息的种类:应逐一列举处理个人信息的种类; 保存期限:应说明存储个人信息的期限。 |
4、 | 个人行使本法规定权利的方式和程序; | 条款解析:在隐私政策中应告知个人在《个人信息保护法》中享有的权利(撤回同意权、知情权、决定权、查询权、复制权、转移权、更正补充权、删除权、要求解释权、逝者近亲属替代行使权)以及行使上述权利的程序。 |
5、 | 法律、行政法规规定应当告知的其他事项。 | 条款解析:此为兜底性原则,既可与《个人信息保护法》的其他关于特殊事项的规定相衔接,也为将来法律和行政法规的告知事项的规定留下空间。 |
6、 | 前款规定事项发生变更的,应当将变更部分告知个人。 | 条款解析:在告知事项发生变化后,应将变更部分通过App弹窗、客户端内消息通知的方式通知用户,此外若处理的目的、方式、种类发生变更,应根据《个人信息保护法》第十四条规定,重新取得个人同意。 |
7、 | 个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。 | 条款解析:隐私政策应在固定位置展示,便于查看以及下载。 |
注:在App端,个人信息处理者指App开发者/运营者,个人指用户。
检测及合规思路
(一)个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项
在这个条款中,我们需注意的是“显著方式”、“清晰易懂”。首先,隐私政策的展示方式应是“显著”的,主要体现在App首次运行和登录/注册时,需通过弹窗或其他明显的方式提醒用户阅读隐私政策。
图:App首次运行提示方式合规示例
图:App注册页面提示方式合规示例
其次,告知内容在隐私政策中应当是“显著”的,以避免用户在长篇的隐私政策中,无法找到告知内容或较难找到告知内容,可采用在隐私政策中通过对重点内容加粗,优化章节布局的方式,突出告知内容。
除告知形式需显著外,隐私政策中的告知语言应当清晰易懂,不应存在晦涩难懂、冗长繁琐、使用大量专业术语的情形。
(二)应向个人告知个人信息处理者的名称或者姓名和联系方式
图:明示个人信息处理者的名称和联系方式合规示例
(三)应向个人告知个人信息的处理目的、处理方式,处理的个人信息种类
个人信息的处理分为收集、存储、使用、加工、传输、提供、公开和删除阶段,涵盖了个人信息处理的全生命周期。此次以App的收集阶段为例,说明需告知的内容以及检测思路。
App收集个人信息整体分为三个阶段,分别是前台静默、功能遍历、后台运行时,所以在分析个人信息收集阶段的目的、方式、种类时,以这三个场景进行分析。
1、前台静默
将App置于前台静默时,App(包括委托的第三方或嵌入的第三方代码、插件)存在收集个人信息的,需核查隐私政策是否逐一列出前台静默收集个人信息的目的、方式、种类。
图:前台静默检测示例
2、功能遍历
遍历App业务功能,需查看隐私政策是否逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集个人信息的目的、方式、种类,具体可参考下述检测步骤。
▼遍历App内的业务功能,记录在功能页面收集的个人信息及申请的可收集个人信息权限(如:相机权限、存储权限、通讯录权限),与隐私政策进行逐一对比,以此判断隐私政策是否逐一列出收集个人信息的目的、方式、种类。
▼通过技术检测手段,查看App及其嵌入的第三方SDK收集个人信息的行为,与隐私政策中收集个人信息的相关描述进行逐一对比,以此判断隐私政策是否逐一说明了收集个人信息的目的、方式、种类。
图:功能遍历检测结果示例
3、后台运行
将App置于后台运行时,App(包括委托的第三方或嵌入的第三方代码、插件)存在后台运行收集个人信息的,需核查隐私政策是否逐一列出后台运行时收集个人信息的目的、方式、种类。
图:后台运行检测结果示例
(四)应向个人告知个人信息的保存期限
在检测保存期限的告知时,需结合《个人信息保护法》的第十九条(除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间)的要求,查看隐私政策是否说明最短的保存期限。常遇见两种对保存期限的描述,一种是依据App所在行业法律及监管要求规定保存期限 ,如金融行业可根据《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》的第二十九条要求说明保存个人信息的期限(客户身份资料,自业务关系结束当年或者一次性交易记账当年计起至少保存5年;交易记录,自交易记账当年计起至少保存5年);另一种是采用“法律规定的最短时期内存储”、“在本App提供业务服务的最大期限内存储”、“存储直至App的业务终止或用户停止使用本服务”等描述。
图:存储期限合规示例
(五)应向个人告知行使本法规定权利的方式和程序
《个人信息保护法》中规定个人享有撤回同意权、知情权、决定权、查询权、复制权、转移权、更正补充权、删除权、要求解释权、逝者近亲属替代行使权,所以第十七条第一款第三项需要向个人告知享有的权利以及这些权利如何行使。详见下表以及合规示例。
《个人信息保护法》中提及的个人享有的权利 | ||
第十五条 | 基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。 个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。 | 撤回同意权 |
第四十四条 | 个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。 | 知情权、决定权 |
第四十五条 | 个人有权向个人信息处理者查阅、复制其个人信息; 个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。 | 查询权、复制权 |
个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。 | 转移权 | |
第四十六条 | 个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。 个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充。 | 更正补充权 |
第四十七条 | 有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除: (一)处理目的已实现、无法实现或者为实现处理目的不再必要; (二)个人信息处理者停止提供产品或者服务,或者保存期限已届满; (三)个人撤回同意; (四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息; (五)法律、行政法规规定的其他情形。 | 删除权 |
第四十八条 | 个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。 | 要求解释权 |
第四十九条 | 自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。 | 逝者近亲属替代行使权 |
图:部分个人信息保护权利合规示例
(六)前款规定事项发生变更的,应当将变更部分告知个人
《个人信息保护法》的第十七条第一款中的告知事项发生变更,个人信息处理者应将变更的内容及时告知用户,以便用户能够清晰了解隐私政策变更的内容。此外根据《个人信息保护法》第十四条第二款的要求,若个人信息的处理目的、处理方式和处理个人信息的种类发生变更,应当重新取得个人同意。结合上述条款内容,可采用如下处理方式符合法律要求:(1)当个人信息的处理目的、处理方式和处理个人信息的种类发生变化时,以弹窗等形式重新征得用户同意;(2)在征得用户重新同意的弹窗内将变更的部分告知用户,并附上完整版隐私政策;(3)在更新后的隐私政策头部集中描述变更内容,以方便用户在使用应用过程中随时查看。
图:合规示例
(七)个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理 规则应当公开,并且便于查阅和保存
App内的隐私政策应在固定位置展示,便于用户随时查阅。此外,也应提供用户复制或下载隐私政策的功能,允许用户自行保存。
图:隐私政策便于保存合规示例
结语
“告知-同意”,是《个人信息保护法》的核心原则。告知是同意的基础,是合法处理个人信息的前提。个人与个人信息处理者在对个人信息处理过程中使用的技术、手段方面的知识经验存在一定的差距,《个人信息保护法》要求个人信息处理者对告知内容做到完整、简洁、清晰、易懂,保障个人的知情权与决定权,也对个人信息处理者提出了更高的要求。“凡事预则立,不预则废”,个人信息处理者应针对《个人信息保护法》中提及的告知要求,及早行动起来。
(本文作者:北京梆梆安全科技有限公司 马婷婷 吴飏)
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...