随着互联网技术的飞速发展,移动应用程序(APP)已经成为我们日常生活中不可或缺的一部分。它们为我们提供了前所未有的便利,从即时通讯到在线购物,从健康管理到金融支付,APP的使用场景覆盖了生活的方方面面。然而,随着这些APP在提供服务的同时收集和处理大量个人数据(含个人信息),数据合规和隐私保护的问题也日益凸显。用户对于个人信息安全的担忧,以及企业在数据收集、使用和保护方面的法律责任,已经成为不容忽视的议题。
在数字化时代,企业如何平衡创新与合规,如何在追求商业利益的同时保护用户的隐私权益,这是每一个APP运营商都必须面对的挑战。本文旨在从数据合规的视角出发,探讨企业商用APP在制定和实施隐私政策时应当注意的法律风控要点。我们将深入分析国内相关法律法规的要求,探讨企业在实际操作中可能遇到的问题,并提供实用的建议和解决方案,以期帮助企业构建更加安全、透明和用户友好的数据管理体系。
通过本文的探讨,我们希望能够为企业提供一个清晰的指导框架,使其在享受数字化带来的红利的同时,也能够有效地规避潜在的法律风险,确保用户隐私得到充分的尊重和保护。让我们一起走进这个既充满机遇又充满挑战的数字世界,探索如何在创新与合规之间找到平衡点。
一、国内涉数据的相关法律及政策
国内数据合规立法和政策标准基本形成以《网络安全法》、《民法典》、《数据安全法》、《个人信息保护法》四部政策法规为基本政策法规框架。
同时,《网络安全审查办法》、《数据出境安全评估办法》、《信息安全技术 数据出境安全评估指南》、《信息安全技术个人信息安全规范》等政策标准进行了补充。
二、对于企业商用APP的合规要点之隐私政策风险提示
(一)人员配备及相关制度:
数据合规要实质化,则必须设置专门机构和数据保护官,建立数据合规台账,引入数据安全风险评估机制。本文所涉相关风险及检查,建议由软件研发部门牵头,结合律师对隐私协议、用户协议的修正,共同完成。
(二)隐私政策的独立性、易读性
(1)
【审查重点】:是否有隐私政策
【审查标准】:用户需要在App界面中能够找到隐私政策,包括通过弹窗、文本链接、常见问题(FAQs)等形式。
【建议】:使用弹窗方式提示用户阅读、确定。如有必要,建议将用户浏览隐私政策的操作记录(日志)留存到服务器。
(2)
【审查重点】:隐私政策是否单独成文
【审查标准】:隐私政策以单独成文的形式发布,而不是作为用户协议、用户说明等文件中的一部分存在。
(3)
【审查重点】:隐私政策是否易于访问
【审查标准】:进入App主功能界面后,通过4次以内的点击,能够访问到隐私政策,且隐私政策链接位置突出、无遮挡。在App首次运行时以弹窗等明显方式提示用户阅读隐私政策等收集规则。为用户提供主动选择同意、或显著提醒用户阅读后同意隐私政策的选项,对于通过勾选框形式征得同意的,不默认勾选同意。
【建议】:建议主动方式提醒用户阅读。
(4)
【审查重点】:隐私政策是否易于阅读。
【审查标准】:隐私政策文本文字显示方式(字号、颜色、行间距等)不会造成阅读困难。隐私政策必须提供简体中文版。
【建议】:建议完稿后审查,避免出现文字、排版错误。
(三)清晰说明各项业务功能及所收集个人信息类型
(1)
【审查重点】:是否明示收集个人信息的业务功能
【审查标准】:隐私政策中应当将收集个人信息的业务功能逐项列举,不应使用“等、例如”字样。注意:业务功能是指App面向个人用户所提供的一类完整的服务,如地图导航、网络约车、即时通讯、社区社交、网络支付、新闻资讯、网上购物、短视频、快递配送、餐饮外卖、交通票务等。
【建议】:建议业务介绍进一步细化并进行介绍。
(2)
【审查重点】:业务功能与所收集个人信息类型是否一一对应
【审查标准】:隐私政策中对每个业务功能都应说明其所收集的个人信息类型,不应出现多个业务功能对应一类个人信息的情况。
【建议】:说明照片、性别、行业、公司、职业信息收集的必要性。出现多个业务功能对应一类个人信息的情况。
(3)
【审查重点】:是否明示各项业务功能所收集的个人信息类型
【审查标准】:每个业务功能在说明其所收集的个人信息类型时,应在隐私政策中逐项列举,不应使用“等、例如”等方式概括说明。
【建议】:建议明确列举必要的个人信息。
(4)
【审查重点】:是否显著标识个人敏感信息类型
【审查标准】:隐私政策应对个人敏感信息类型进行显著标识(如字体加粗、标星号、下划线、斜体、颜色等)。注:个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)未成年人的个人信息等(该定义见GB/T35273《个人信息安全规范》3.2节)。
【建议】:建议用显著方式区分个人信息和个人敏感信息。
(四)清晰说明个人信息处理规则及用户权益保障
(1)
【审查重点】:App运营者的基本情况
【审查标准】:隐私政策应对App运营者基本情况进行描述,至少包括:公司名称、注册地址、个人信息保护相关负责人联系方式。
【建议】:在文本开头部分列明公司名称,在文末列明公司注册地址及相关负责人或者数据保护官的联系方式。
(2)
【审查重点】:个人信息存储和超期处理方式
【审查标准】:隐私政策应对个人信息存放地域(国内、国外);存储期限(法律规定范围内最短期限或明确的期限)、超期处理方式进行明确说明。
【建议】:进一步明确超期的个人信息如何匿名化处理。
(3)
【审查重点】:个人信息的使用规则
【审查标准】:如果App运营者将个人信息用于用户画像、个性化展示等,隐私政策中应说明其应用场景和可能对用户产生的影响。
【建议】:在业务运营中进行用户画像处理的话,需要说明具体的应用场景。
(4)
【审查重点】:个人信息出境情况
【审查标准】:如果存在个人信息出境情况,隐私政策中应将出境个人信息类型逐项列出并显著标识(如字体加粗、标星号、下划线、斜体、颜色等)。
【建议】:个人信息等数据如非必要,不得出境,国家及地方监管对此项内容尤其重视。
(5)
【审查重点】:个人信息安全保护措施和能力
【审查标准】:隐私政策中应对App运营者在个人信息保护方面采取的措施和具备的能力进行说明,如身份鉴别、数据加密、访问控制、恶意代码防范、安全审计等。
(6)
【审查重点】:对外共享、转让、公开披露个人信息规则
【审查标准】:如果存在个人信息对外共享、转让、公开披露等情况,隐私政策中应明确以下内容:对外共享、转让、公开披露个人信息的目的;涉及的个人信息类型;接收方类型或身份。
(7)
【审查重点】:用户权利保障机制
【审查标准】:隐私政策中应对以下用户操作方法提供明确说明:个人信息查询;个人信息更正;个人信息删除;用户账户注销;撤回已同意的授权。利用用户个人信息和算法定向推送信息,提供非定向推送信息的选项;
(8)
【审查重点】:用户申诉渠道和反馈机制
【审查标准】:隐私政策中至少提供以下一种投诉渠道:电子邮件、电话、传真、在线客服、在线表格。
(9)
【审查重点】:隐私政策时效
【审查标准】:应明确标识隐私政策发布、生效或更新日期。
【建议】:应当将历史版本留存在服务器。
(10)
【审查重点】:隐私政策更新
【审查标准】:如果发生业务功能变更、个人信息出境情况变更、使用目的变更、个人信息保护相关负责人联络方式变更等情形时,隐私政策应进行相应修订,并通过电子邮件、信函、电话、推送通知等方式及时告知用户。
【建议】:及时在网站或者弹窗页面告知用户并设置一定的公告期。
(五)不应在隐私政策等文件中设置不合理条款
【审查重点】:隐私政策等文件是否存在免责等不合理条款
【审查标准】:App运营者不应在用户协议、服务协议、隐私政策等文件中出现免除自身责任、加重用户责任、排除用户主要权利条款。
(六)收集个人信息应明示收集目的、方式、范围
(1)
【审查重点】:是否向用户明示收集、使用个人信息的目的、方式、范围
【审查标准】:1、在用户安装、注册或首次开启App时,应主动提醒用户阅读隐私政策。2、在隐私政策中逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等。3、收集使用个人信息的目的、方式、范围发生变化时,以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等。4、在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,以弹窗等显著形式同步告知用户其目的,或者目的不明确、难以理解。5、有关收集使用规则的内容应清晰易懂,用户易于理解,应避免使用大量专业术语等。
(2)
【审查重点】:若使用Cookie及其同类技术收集个人信息是否向用户明示
【审查标准】:当使用Cookie等同类技术包括脚本、Clickstream、Web信标、FlashCookie、内嵌Web链接、sdk等)收集个人信息时,应向用户明示所收集个人信息的目的、类型。
(3)
【审查重点】:若存在嵌入第三方代码插件收集个人信息的功能,是否向用户明示
【审查标准】:如果通过嵌入第三方代码、插件等方式将个人信息传输至第三方服务器,应通过弹窗提示、隐私协议相关条款加粗、加下划线等方式明确告知和提示用户。
(七)收集使用个人信息应经用户自主选择同意,不应存在强制捆绑授权行为
(1)
【审查重点】:收集个人信息前是否征得用户自主选择同意
【审查标准】:App收集个人信息前应提供由用户主动选择同意或不同意的选项,不同意应仅影响与所拒绝提供个人信息相关的业务功能。
(2)
【审查重点】:是否存在将多项业务功能和权限打包,要求用户一揽子接受的情形
【审查标准】:1、不应通过捆绑App多项业务功能的方式,要求用户一次性接受并授权同意多项业务功能收集个人信息的请求。2、根据用户主动填写、点击、勾选等自主行为,作为产品或服务的业务功能开启或开始收集个人信息的条件。
(八)收集个人信息应满足必要性要求
(1)
【审查重点】:实际收集的个人信息类型是否超出隐私政策所述范围
【审查标准】:各业务功能实际收集的个人信息类型应与隐私政策所描述内容一致,不应超出隐私政策所述范围。
(2)
【审查重点】:收集与业务功能有关的非必要信息,是否经用户自主选择同意
【审查标准】:当App运营者收集的个人信息超出必要信息范围时,应向用户明示所收集个人信息目的并经用户自主选择同意。注1:必要信息指与基本业务功能直接相关,缺少该信息则基本业务功能无法实现的信息。注2:自主选择同意是指个人信息主体通过书面声明或主动做出肯定性动作,对其个人信息进行特定处理做出明确授权的行为。肯定性动作包括个人信息主体主动作出声明(电子或纸质形式)、主动勾选、主动点击“同意”、“注册”、“发送”、“拨打”、主动填写或提供等。
(3)
【审查重点】:是否收集与业务功能无关的个人信息
【审查标准】:App不应收集与业务功能无任何关系的个人信息。
(4)
【审查重点】:是否在用户明确拒绝后继续索要权限、打扰用户
【审查标准】:对于用户明确拒绝使用、关闭或退出的特定业务功能,App不应再次询问用户是否打开该业务功能或相关系统权限。
(5)
【审查重点】:App更新是否更改系统权限设置
【审查标准】:App更新升级后不应更改原有的系统权限设置。
(九)支持用户注销账号、更正或删除个人信息
(1)
【审查重点】:是否支持用户注销账号
【审查标准】:App应提供注销账号的途径(如在线功能界面、客服电话等),并在用户注销账号后,及时删除其个人信息或进行匿名化处理。不得为更正、删除个人信息或注销用户账号设置不必要或不合理条件。
(2)
【审查重点】:是否支持用户查询、更正或删除个人信息
【审查标准】:App应提供查询、更正、删除个人信息的途径。
(十)及时反馈用户申诉
【审查重点】:是否及时反馈用户申诉
【审查标准】:App运营者应妥善受理并及时反馈用户申诉,原则上在15天内回复处理意见或结果。承诺时限少于15天的,应当在承诺时限内回复处理意见或结果。
(十一)Cookie技术
(1)
【审查重点】:Cookie技术的使用
【审查标准】:对Cookie技术使用的描述,简要说明相关机制以及收集个人信息的目的、类型,提供修改对Cookie的接受程度或拒绝的具体方式或设置链接。
(2)
【审查重点】:Cookie同类技术的使用
【审查标准】:Cookie等同类技术包括脚本、Clickstream、Web信标、FlashCookie、内嵌Web链接、sdk、网站信标、像素标签、ETag等,是否告知用户。
(十二)儿童个人信息保护
【审查重点】:应包括儿童个人信息保护的说明
【审查标准】:儿童的定义应采用未满14周岁的定义,在涉及儿童个人信息时,如何确定监护人的同意进行约定,对儿童个人信息进行的保护工作的描述(管理手段、技术手段),对儿童个人信息删除、同意的撤回、共享转让、公开披露、委托处理等特定环节进行补充性的描述。
(十三)可考虑的隐私政策概要
【审查标准】:可以通过文字概要、图形示意方式,对隐私政策进行概括性描述给用户。在初次安装、注册时进行必要的指引方便用户阅读与理解,进一步确保告知同意场景下,用户授权的真实性、有效性。
三、隐私政策中除了以上需重点关注的个人信息相关条款以外,对内而言,企业还需要从以下方面建立相关数据保护机制
(一)数据泄露的预防与应对措施
(1)
【审查重点】:数据泄露预防措施
【审查标准】:隐私政策中应包含企业为预防数据泄露所采取的技术和管理措施,如数据加密、访问控制、安全审计等。
【建议】:定期进行安全审计,确保所有员工接受数据保护和隐私政策的培训,建立数据泄露应急预案。
(2)
【审查重点】:数据泄露后的应对措施
【审查标准】:在隐私政策中明确数据泄露后的报告流程、通知用户的方式以及补救措施。
【建议】:建立快速响应机制,确保在发现数据泄露后及时通知受影响用户,并提供必要的支持。
(二)用户数据的存储与保护
(1)
【审查重点】:数据存储安全
【审查标准】:隐私政策应详细说明数据存储的安全措施,包括物理安全和逻辑安全。
【建议】:采用加密技术存储用户数据,定期更新安全策略,确保数据中心的物理安全。
(2)
【审查重点】:数据访问控制
【审查标准】:隐私政策中应明确谁可以访问用户数据,以及访问权限的管理和审计。
【建议】:实施最小权限原则,确保只有授权人员才能访问用户数据,并对访问行为进行记录和监控。
(三)跨境数据传输的合规性
(1)
【审查重点】:跨境数据传输
【审查标准】:如前所述,尽量避免数据出境。如果涉及跨境数据传输,隐私政策中应详细说明数据传输的目的、范围、接收方以及保护措施。
【建议】:遵守相关国家和地区的数据保护法规,如GDPR或CCPA,确保数据传输符合法律要求。
(2)
【审查重点】:国际数据保护协议
【审查标准】:在进行跨境数据传输时,应使用国际认可的数据保护协议,如标准合同条款或隐私盾框架。
【建议】:与国际合作伙伴签订数据保护协议,确保数据在传输过程中的安全性和合规性。
作为专业的律师,在处理企业商用“APP”的数据合规和隐私政策方面,我们必须确保企业不仅遵守现行的法律法规,还要预见未来可能出现的法律及政策方向的变化,并在隐私政策中体现这些要求。
总结来说,企业应当:
1、持续监测法律动态:随着技术的发展和国际法律环境的变化,数据保护法规也在不断演进。企业需要持续关注相关法律动态,确保隐私政策与最新的法律要求保持一致。
2、强化内部培训与文化建设:企业应通过定期培训,提升员工的数据保护意识和能力,同时建立以隐私保护为核心的企业文化,确保从高层管理到基层员工都能理解和执行隐私政策。
3、实施动态的数据保护措施:企业应采取灵活的数据保护措施,能够根据业务需求和法律变化进行调整,确保数据的安全性和合规性。
4、建立有效的沟通渠道:企业应与用户建立开放的沟通渠道,让用户能够轻松地提出关于隐私政策的问题和反馈,这有助于企业及时发现并解决潜在的隐私问题。
5、准备应对突发事件:企业应制定详细的应急计划,以便在数据泄露或其他安全事件发生时,能够迅速有效地应对,减少损失。
通过上述措施,企业不仅能够降低法律风险,还能够在用户心中树立负责任和可信赖的形象,确保企业在数字化时代的稳健前行。
律师简介
周钲皓 律师
周钲皓律师,毕业于苏州大学法学专业,系北京市京师(南京)律师事务所青年律师工作委员会主任、执业纪律委员会委员、专业指导委员会委员,任北京市京师律师事务所(全国)青工委理事、京师律所(全国)青工委业务拓展中心副主任。系南京市律师协会第八届监事会监事委员、第九届并购重组法律专业委员会委员。任检察院民事行政检察联络员、江苏省“车联网”产业链联盟律师、南京市“软件信息”产业链联盟律师,系中国民主建国会会员、新的社会阶层人士代表。多次获得优秀青年律师、年度新锐律师、年度优秀律师等称号。多次参加南京电视台律师直播室的节目录制。自2011年开始进入律师事务所从事法律相关事务,多次参加省、市律协组织的业务讲座及律师论坛、无讼学院等行业交流活动,并作为发言代表与同行交流办案经验、心得。
主要业务方向为公司法和行政法方向,具有丰富的商事争议解决经验及非诉业绩,同时为多家芯片类、数据类科技型企业提供法律顾问服务。
联系方式:17602545555