个保法时代,如何起草一份合规的隐私政策?
黄石律师为您普法:HTTP://WWW.FABANG.COM/huangshi/
【引 言】
2021年8月20日,十三届全国人大常委会第三十次会议审议通过了《中华人民共和国个人信息保护法》(下称“个保法”),该法定于2021年11月1日起正式施行。个保法的通过,标志着我国个人信息保护顶层制度设计的正式落地,同时也意味着我国对个人信息处理活动的监管将迎来新的时代。
根据个保法第六十六条的规定,违反该法规定处理个人信息,情节严重的,“由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人”。前述规定将违法处理个人信息的行政处罚在原有相关法律规定的基础上进行了大幅度的提高,涉及个人信息处理活动的企业因此面临的合规风险较之以往亦随之大幅升高。
个保法第七条规定:“处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。”这里的“个人信息处理规则”,就是平时常见的“隐私政策”(或称“个人信息保护政策”,为行文方便,本文将统称“隐私政策”)。可以说,隐私政策合规与否,已成为个人信息处理活动是否合规的关键考察维度之一。起草一份合规的隐私政策,是广大企业接下来在开展合规工作时需要列入较高优先级的事项。
在个保法正式通过之际,现结合我们为客户起草隐私政策的经验,就隐私政策起草工作十大方面的要点分享如下,供读者参考:
一、起草隐私政策的准备工作要点
通常情况下,在起草一份法律文书之前,起草人需要事先了解所涉及的交易主体、交易架构以及主要的商务条件等交易信息,起草隐私政策亦不例外,在正式开始起草工作之前,也需要进行适当的准备工作。
总结而言,我们认为,隐私政策起草的准备工作有如下要点:
1. 需要搞清楚哪些产品或者场景需要隐私政策
在实务工作中,有不少人认为隐私政策只是APP需要配置的文本,造成这一错误认识的主要原因可能在于此前见诸媒体的监管通报案例多数都是APP,较少涉及其他产品类型或者场景。实际上,个保法并未将公示个人信息处理规则的义务限定于APP,企业通过网站、小程序、公众号、H5页面、各类物联网应用等形式收集、使用个人信息的,都应当起草并公示隐私政策。
2. 需要提前考虑制作几个版本的隐私政策
对于一些规模较大的企业,不同产品可能使用不同的应用程序,所涉及的个人信息通常也有所不同,这种情况下,虽然法律上并未强制要求必须就每一个不同的产品都起草一份单独的隐私政策,但从我们的经验来看,如果不同产品或场景涉及的个人信息类型和处理方式差别较大,强行整合到一个文本中会存在较大的难度,最好还是使用不同的隐私政策文本(当然,共性的部分可以保持一致)。相较于所有产品和场景都使用同一份隐私政策,这样做可以在一定程度上增强用户体验,并减少误解。
3. 需要找到合适的人员配合
与一般的法律文本可以在成熟的交易模式基础上由起草人直接起草不同,隐私政策起草工作的一大特殊性在于必须根据实际情况定制,如果隐私政策载明的个人信息处理目的、范围和方式与实际不一致,那就可能被认定为“未经用户同意收集使用个人信息”。在多数情况下,律师也好、用户也好,难以仅从网络产品前端获知哪些个人信息将被收集以及其他与个人信息处理相关的信息,为了使隐私政策的文本贴合业务实际,必须先找到对产品流程、技术架构以及公司内各种规章制度最为熟悉的人员(有可能涉及多个不同的部门)进行详细了解(视产品复杂程度,有的可能只需要进行简单的访谈即可,有的可能需要进行专项尽职调查),并且进行交叉复核确认。
4. 需要明确行业的特殊要求
个保法第六十条第一款规定:“国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。”第六十二条规定:“国家网信部门统筹协调有关部门依据本法推进个人信息保护工作:(一)制定个人信息保护具体规则、标准;(二)针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准……”据此规定,各行业主管部门可能在各自职责范围内就个人信息保护事宜制定仅适用于本行业的特殊规则(形式上可能是规章、规范性文件或者各类标准)。实际上,在个保法通过之前,就已经有一些行业主管部门(比如人民银行、工信部、卫健委等)制定或者正在制定行业性规定。作为行业主管部门的直接监管对象,企业除了遵守个保法等通用法律法规的要求外,还需要遵守此类行业规定。在正式文本起草之前,最好对此类行业规定进行梳理,并将相关具体要求都落实到隐私政策文本中去。
二、隐私政策的必备条款
经过多年的发展和实践,实务中已形成相对成熟的隐私政策文本框架,按照此类框架起草的隐私政策,基本能够涵盖个保法所要求的各项内容。
一般情况下,隐私政策由如下条款组成:
1.引言条款;
2.基本信息条款;
3.收集、使用个人信息的目的和范围条款;
4.收集个人信息的方式条款;
5.委托处理、共享、转让、公开披露条款;
6.存储条款;
7.个人信息保护安全措施条款;
8.用户权利条款;
9.未成年人/儿童个人信息保护条款;
10.隐私政策更新条款;
11.纠纷处理机制条款等。
三、个人信息处理目的和范围条款的起草要点
此条款是隐私政策中最具个性化的条款,通常也是大型网络产品隐私政策中内容最丰富的条款,此条款的起草要点包括:
1. 必须完整、准确地梳理所有的产品功能及对应的个人信息类型(产品功能划分目前并无统一标准,企业需要参考行业良好实践结合自身的实际情况进行尽量细致的划分,不应使用笼统性的语言描述产品功能);
2. 所收集的个人信息类型都需要披露,从目前的实践来看,在披露的颗粒度上,建议尽量披露具体的字段,而且不能使用概括性语言;
3. 所收集的每一类个人信息对应至少一项产品功能,且此种对应关系必须有合理的依据,否则,将涉嫌违反必要性原则;
4. 涉及敏感个人信息的,需要通过加粗、斜体、下划线等方式突出显示,已提醒用户特别注意;
5. 建议对必要个人信息与非必要个人信息进行适当区分,并在条款中明确表述特定个人信息的提供与否是否影响基本功能服务以及特定功能服务的提供。
四、个人信息收集方式条款的起草要点
常见的个人信息收集方式包括用户主动提供、平台自主采集、通过第三方工具采集、向第三方数据源购买、公开渠道查询等,企业需要结合实际情况进行描述(在收集方式相对单一的情况下,也不一定需要就此单列,合并入个人信息处理目的和范围条款也是常见的操作)。
此条款的起草要点包括:
1. 完整披露所使用的收集方式,不要遗漏;
2. 对于通过调用设备权限进行收集的,需要逐项披露权限名称、所要实现的功能、涉及的个人信息类型、权限是否可以关闭以及关闭的方式;
3. 涉及第三方代码或插件的,需要逐项披露第三方代码或插件的名称、运营主体、使用该等第三方代码或插件的目的、所涉及的个人信息类型以及该等运营主体自身的个人信息处理规则访问方式(如果此类第三方代码或插件较多,建议以表格形式列举);
4. 对于从第三方获取特定个人信息(尤其是涉及敏感个人信息)的,建议在隐私政策之外单独制作授权文本,以取得用户的单独同意(除此之外,还需注意做好数据来源的合法性审查工作并做好记录);
5. 对于不是以用户同意为合法性基础的个人信息收集情形(比如履行法定职责、为了保障公共安全、从合法公开渠道收集等),建议完整披露,以保障用户的知情权。
五、委托处理与共享条款的起草要点
委托第三方处理、共享、转让、公开披露个人信息都属于个人信息的具体处理行为,按照个保法的要求,都需要逐项向用户进行披露。实务中,涉及这几项处理行为的内容一般可以合并。
个保法第二十一条第一款规定:“个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。”第二十三条规定:“个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。”
根据上述规定,对于涉及委托第三方处理或涉及个人信息共享的,需要逐项列举委托第三方处理或共享的目的、方式、所涉及的个人信息类型以及对于该等接收方采取了哪些措施来保障委托处理或共享行为的安全性。对于个人信息对外提供的行为,还需要取得个人的单独同意。过往实践中广泛采用的在隐私政策中以大类形式披露所涉及的共享对象(比如“营销推广类合作伙伴”“催收类合作伙伴”)的操作将可能受到严峻的监管挑战。
而对于转让和公开披露,除非经过用户的同意或者履行特定的法定义务,原则上是不得对外转让、公开披露的,隐私政策中需要对此进行适当阐述。
六、存储条款的起草要点
作为个人信息的处理行为之一以及保障个人信息安全的重要一环,存储条款主要阐述个人信息的存储地域、存储期限以及个人信息出境等问题。
对于存储地域和出境问题,个保法第四十条规定关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者(此处的“规定数量”具体是多少暂未明确),除非另有规定,应当将在我国境内收集和产生的个人信息存储在境内,确需向境外提供的,应当通过国家网信部门组织的安全评估。实务中,除非有特别坚实的依据和必要,否则,即便不是前述条款定义的关键信息基础设施运营者和个人信息处理者,我们也建议尽量将个人信息存储在境内。当然,在起草隐私政策条款时,可以在遵守个人信息出境规则的前提下保持一定的弹性。
对于存储期限,个保法一方面要求隐私政策必须明确披露个人信息的保存期限,另一方面要求保存期限应当是实现处理目的所必要的最短时限。这就要求在起草隐私政策条款时,关于存储期限的条款必须明确具体(比如何时起算、持续多长时间、何时终止),而且此类约定需要有直接或间接的依据(比如《电子商务法》规定“商品和服务信息、交易信息保存时间自交易完成之日起不少于三年”,这就是一个较好的确定交易信息保存期限的法律依据)。实践中,此条款通常还会描述个人信息在保存期限到期后的处理方式(删除、销毁等)。
七、个人信息保护安全措施的起草要点
个保法第五十一条规定,个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取必要措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露或者被窃取、篡改、删除。
在隐私政策中对企业所采取的安全措施进行列举,既可以提升个人信息处理行为的透明性和保障用户的知情权,也可以提升用户的信任度。实务中,大中型网络产品的隐私政策均会有专门的条款对此进行列举式披露。
常见的个人信息安全保护措施包括:1.设置专门的个人信息保护机构;2.制定和实施各类安全制度和操作规程;3.在个人信息传输、存储过程中使用各类加密、认证、去标识化技术;4.采取适当的检查和审计措施;5.对员工进行安全和法律意识等方面的教育培训;6.与员工、合作机构签订保密协议;7.开展数据安全能力建设(比如信息网络等级保护测评和备案情况);8.进行第三方管理体系认证;9.制定个人信息安全事件应急预案并进行演练等。
对于隐私政策起草者而言,起草此条款本身并不复杂,根据企业的实际情况如实、准确、完整列举即可,难点在于如果企业什么安全措施都没采取,起草者可能不知道该写什么(凭空杜撰可不行)。如果法律法规规定了必须采取特定的安全保护措施,但企业实际上并没有采取,那么不管此条款如何描述,企业在此问题上都存在重大合规风险。
八、用户权利条款的起草要点
个保法第四章规定,个人信息主体在个人信息处理活动中享有知情权、决定权、查阅权、复制权、更正权、删除权、可携权(即要求个人信息处理者将特定个人信息的副本在符合网信部门规定条件的情况下传输给个人信息主体指定的第三方)、投诉举报权等权利。
按照个保法第十七条的规定,起草者需要在隐私政策中对上述权利的实现路径、响应方式、特殊规则(比如哪些情况下可能无法响应)等进行明确,以保障和规范个人信息主体相关权利的行使。需要特别提示的,上述权利都是法定权利,个人信息处理者除非有坚实且合理的依据,否则不得为上述权利的行使设置障碍。
九、儿童个人信息保护条款的起草要点
根据个保法第二十八条第一款的规定,十四周岁以下未成年人(即儿童)的个人信息都属于敏感个人信息。另根据该法第三十一条规定,个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人父母或者其他监护人的同意,并就此制定专门的个人信息处理规则。也就是说,对于儿童个人信息,除了一般的个人信息保护规则外,还需要遵守有关敏感个人信息和儿童个人信息的特殊保护规则。
对于敏感个人信息的处理,个保法要求必须具有特定的目的和充分的必要性,还应当向个人告知处理敏感个人信息的必要性以及对个人的影响。除了个保法规定,国家互联网信息办公室还制定了单独的《儿童个人信息网络保护规定》,对儿童个人信息处理规则进行了严格的要求。
整体而言,儿童个人信息的处理规则较之一般个人信息处理规则更加严格,更加细化。如果网络产品不面向儿童提供服务,则应当在此条款中明确拒绝儿童使用,以及一旦收集了儿童信息时的处理方案。而如果产品面向儿童提供服务,则需要制定专门的儿童个人信息保护政策。
专门的儿童个人信息保护政策起草要点包括:
1. 注意文本措辞面向的对象同时是儿童及其监护人,用词需要平易、简洁,易于儿童理解;
2. 所收集的儿童个人信息类型要经过充分论证,尽量少收集或者不收集敏感信息、存储时间要尽量短、存储和传输期间的安全措施级别要尽量高;
3. 对于儿童监护人的身份需要有一定的验证机制;
4. 严格限制儿童个人信息的用途,不得用于实现必要业务功能之外的其他目的;
5. 严格限制儿童个人信息的委托处理、共享、转让、公开披露和出境,该等处理行为发生前必须经过监护人同意。
十、第三方模板与工具使用的注意事项
毋庸讳言,在起草隐私政策时,对于起草者而言,同行业成熟企业及产品的隐私政策文本确实具有较大的参考意义,市面上也已经出现了一些自动化合规检测工具(笔者团队近期就制作了一款小工具,可帮助业务相对简单的中小企业通过填写问卷调查的形式自动生成一份相对完善的隐私政策文本,如有读者需要,可在微信搜索“隐私政策自动生成工具”免费使用)。
企业在起草隐私政策时,如果能将此类参考模板和工具好好加以利用,可以起到事半功倍的效果。但同时需要特别提示的是,除非参考对象与自身的业务实际情况完全一致,否则决不能照抄照搬此类文本,必须根据自身对个人信息的处理、个人信息保护措施的落实等实际情况进行调整、修改,这既是个保法相关规定的明确要求,也是隐私政策本身以及隐私政策所体现的企业个人信息保护工作实现合法合规的前提。
【结 语】
实际上,隐私政策的起草和发布无法做到一劳永逸。一方面,随着企业管理组织架构、业务流程、产品功能、服务模式等发生变化,对个人信息的处理也通常会发生改变,最初起草的隐私政策内容与新的情况可能会不尽一致,必须根据实际情况作相应调整;另一方面,可以预见的是,在个保法出台之后还会有若干更细致的规定出台,原有的隐私政策在细节上有可能不一定符合最新的监管要求,也需要及时进行更新。因此,企业必须根据自身的最新情况和最新的监管政策实时调整个人信息处理规则,方可做到动态合规。
庆幸的是,个保法通过之后,虽然仍有若干细节性规则有待具体规定的进一步确立,但我国有关个人信息保护的监管框架已经基本成熟,企业所要遵守的合规要点也已经基本明确,企业基于个保法和现行有关规定起草的隐私政策和制定的有关合规制度措施,在很长时间内不会发生颠覆性的变化。
此外,需要特别提醒的是,隐私政策尽管是个人信息保护合规工作极其重要的一环,但毕竟不是全部,更不是终点,隐私政策的起草也不是简单陈述个人信息处理者处理个人信息的实际情况那么简单。隐私政策所体现的具体处理行为符合正当、合法、必要和诚信原则,且个人信息处理者采取了足够的保护措施来保障个人信息的安全,才是个保法和监管部门所关注的实质。而个人信息处理者实质上的合法合规,相信也是包括你我在内的所有个人信息主体对广大个人信息处理者的最大希冀。
来源:WeLegal公司法务联盟