數安條例百問33、34、35、36:關于個人信息處理規則
小貝案語
11月14日,國家互聯網信息辦公布了《網絡數據安全管理條例(征求意見稿)》。為此,小貝說安全設立《網絡數據安全管理條例(征求意見稿)》(后文簡稱《條例》)解讀專欄,以百問百答的形式對《條例》進行系列解讀。
需要指出,這些解讀只是專家個人觀點,不代表官方意見;且這些解讀針對的是征求意見稿,未來條文本身可能會發生變化,不排除會有新增和刪除。
對應條款
第二十條 數據處理者處理個人信息,應當制定個人信息處理規則并嚴格遵守。個人信息處理規則應當集中公開展示、易于訪問并置于醒目位置,內容明確具體、簡明通俗,系統全面地向個人說明個人信息處理情況。
個人信息處理規則應當包括但不限于以下內容:
(一)依據產品或者服務的功能明確所需的個人信息,以清單形式列明每項功能處理個人信息的目的、用途、方式、種類、頻次或者時機、保存地點等,以及拒絕處理個人信息對個人的影響;
(二)個人信息存儲期限或者個人信息存儲期限的確定方法、到期后的處理方式;
(三)個人查閱、復制、更正、刪除、限制處理、轉移個人信息,以及注銷賬號、撤回處理個人信息同意的途徑和方法;
(四)以集中展示等便利用戶訪問的方式說明產品服務中嵌入的所有收集個人信息的第三方代碼、插件的名稱,以及每個第三方代碼、插件收集個人信息的目的、方式、種類、頻次或者時機及其個人信息處理規則;
(五)向第三方提供個人信息情形及其目的、方式、種類,數據接收方相關信息等;
(六)個人信息安全風險及保護措施;
(七)個人信息安全問題的投訴、舉報渠道及解決途徑,個人信息保護負責人聯系方式。
解讀
這里的“個人信息處理規則”實際上就是大家日常所說的“隱私政策”或“隱私協議”。在學術界,關于“隱私”與“個人信息”的關系,一直都有爭論。《民法典》在第一千零三十三條列出了不得實施六類侵害自然人隱私權的行為,同時也在第一千零三十四條對個人信息作了定義。這種處理方式是否合理,迄今仍在爭議,因為兩者的重合內容太多,而且兩者的定義是從不同角度作出的,不宜在法中并列。但無論如何,《民法典》的做法合乎常理,畢竟只使用“隱私”或“個人信息”都不足以反映人們對維護自身權益的客觀需求。
但互聯網行業長期以來的做法,是個人信息處理規則稱為“隱私政策”,這個詞從國外泊來(英文為Privacy Policy),已經成為了行業慣例。但就技術原理而言,其所針對的內容,更多側重于個人信息保護,而不是隱私保護。因此,在《個人信息保護法》中,就沒有再使用“隱私政策”的概念,甚至全然沒有涉及“隱私”這個詞。代替“隱私政策”的,是“個人信息處理規則”。
《個人信息保護法》第十七條規定:
個人信息處理者在處理個人信息前,應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項:
(一)個人信息處理者的名稱或者姓名和聯系方式;
(二)個人信息的處理目的、處理方式,處理的個人信息種類、保存期限;
(三)個人行使本法規定權利的方式和程序;
(四)法律、行政法規規定應當告知的其他事項。
前款規定事項發生變更的,應當將變更部分告知個人。
個人信息處理者通過制定個人信息處理規則的方式告知第一款規定事項的,處理規則應當公開,并且便于查閱和保存。
從上述條款的內容看,法律主要是要求對個人履行告知義務,但沒有強制指定一定要通過制定一份文檔的方式。但是如果制定了個人信息處理規則,則應當公開并便于查閱和保存。
但在實際生活中,雖然不排除有音頻、視頻等方式告知方式,但多數還是通過文檔方式。況且,如果不是通過文檔而是其他方式告知,那么《個人信息保護法》第十七條所列告知事項,難道不是“個人信息處理規則”嗎?“個人信息處理規則”是指一個具體的文檔,還是指“處理個人信息的規則”?這其中存在歧義。
《個人信息保護法》第十七條存在的另一個歧義是,既然該法第二章本來就叫做“個人信息處理規則”,即第二章所有的要求都是對個人信息處理規則的規定,那么為什么又在第十七條要求“制定”個人信息處理規則呢?顯然,《個人信息保護法》同時使用了廣義和狹義的“個人信息處理規則”。前者側重“規則”,后者側重展現形式(文檔)。
為此,《條例》從現實出發,繞過了其中存在的歧義,直接要求數據處理者制定個人信息處理規則,且沒有在其他條款中使用廣義的“個人信息處理規則”。即,無論是在法的層面,還是條例的層面,都不再使用業內常用的“隱私政策”,而代之以“個人信息處理規則”。
但《個人信息保護法》第十七條規定的告知事項較少,從保護用戶權益、更多履行告知義務的角度看,有必要增加告知事項,這是《條例》對個人信息處理規則作了進一步細化的原因。
另一點需要強調的是,一些人往往把“告知”和“同意”混為一談,或者認為“告知”和“同意”是一個有著前后因果關系的關聯動作。之所以有這種錯覺,是因為以前的“同意”都是要求用戶同意隱私政策。這實際上是錯誤的,隱私政策(個人信息處理規則)可以在一定時間內對所有人都是一致的,但每個人同意的事項怎么可能是一致的呢?否則用戶的“選擇權”怎么體現呢?“告知”和“同意”顯然不是一回事,也不必然關聯。存在的不一定是合理的,業內存在幾十年的慣例應當作出改變。
對應條款
第二十條 數據處理者處理個人信息,應當制定個人信息處理規則并嚴格遵守。個人信息處理規則應當集中公開展示、易于訪問并置于醒目位置,內容明確具體、簡明通俗,系統全面地向個人說明個人信息處理情況。
個人信息處理規則應當包括但不限于以下內容:
(一)依據產品或者服務的功能明確所需的個人信息,以清單形式列明每項功能處理個人信息的目的、用途、方式、種類、頻次或者時機、保存地點等,以及拒絕處理個人信息對個人的影響;
……
解讀
一些人認為,《條例》第二十條第(一)項的“清單”有特殊含義,為此糾結于什么叫做“清單”。實際上,該項的立法目并不在于“清單”的具體形式,而是要求必須按照功能分別列出不同功能需要收集、使用的個人信息。因為必須按功能分別列出,所以自然就有了“list”(列表)的含義,按常識理解這就是一種“清單”。因此,這里強調的是功能與個人信息的對應關系,即不能脫離功能而籠統地要求收集處理一攬子的個人信息。
而且,“所需的個人信息”是指最小必要個人信息集,是為了完成功能所必需的個人信息,在沒有此個人信息的情況下,該功能無法實現。例如,位置信息便是網約車功能的必需信息。
還有人提出,這個“功能”的顆粒度是多大?什么叫做“功能”?顯然,存在著有的企業籠統、泛化描述一個軟件的功能,從而規避對清單要求的可能性。目前,《條例》或其他權威文件還沒有對此作出明確規定,但按照一般理解,這應當從用戶角度考慮,滿足用戶一種特定需求的可以理解為是一種功能。這個“用戶特定需求”是不能分拆的。如果可以分拆成多種需求,而且每種需求所需的個人信息不同,那么就不能認為這是最小粒度的功能。
此外,針對《條例》第二十條第(一)項還有一種質疑。即,該項的“依據產品或者服務的功能”同《條例》第二十一條(一)項的“按照服務類型”是什么關系?到底是按“功能”還是“服務”?“功能”和“服務”區別何在?
實際上,《條例》對此并無特殊考慮。《條例》第二十條第(一)項與第二十一條(一)項的出發點是完全相同的。至于兩者在用語上的不同,可以在后續進一步修改完善。
對應條款
第二十條 數據處理者處理個人信息,應當制定個人信息處理規則并嚴格遵守。個人信息處理規則應當集中公開展示、易于訪問并置于醒目位置,內容明確具體、簡明通俗,系統全面地向個人說明個人信息處理情況。
個人信息處理規則應當包括但不限于以下內容:
……
(四)以集中展示等便利用戶訪問的方式說明產品服務中嵌入的所有收集個人信息的第三方代碼、插件的名稱,以及每個第三方代碼、插件收集個人信息的目的、方式、種類、頻次或者時機及其個人信息處理規則;
……
解讀
《條例》第二十條第(四)項對產品服務中嵌入的第三方代碼、插件提出了個人信息保護要求。之所以要強調此類要求,原因在于兩點。
一是,在如今的App中,第三方代碼、插件的應用十分廣泛,很多第三方代碼、插件大肆違法違規收集使用個人信息,已成個人信息安全事件高發地帶。由于其不是App提供者開發的,故對App提供者的個人信息處理規則要求,會被很多人解釋為不涵蓋第三方代碼、插件的提供者,從而造成事實上的法律真空地帶。
二是,App中嵌入第三方代碼、插件后,涉及到了平臺與第三方的共同責任問題,需要法律法規作出規范。現實中,已經出現大量這樣的案例:某軟件聲明,其內置的第三方代碼與其無關,故第三方代碼導致的個人信息安全事件也與其無關;但當該軟件被集成到某平臺時,其同時還作出聲明,有關個人信息安全事件完全是平臺責任,誰集成誰負責。這種“一推三六五”的情況比比皆是。
目前,最常見的第三方代碼、插件是SDK(軟件開發工具包,Software Development Kit,簡稱SDK)。一般用于提供某一明確、共性的功能,如果單獨去開發這些功能可能會耗費App運營者的資源。為避免相同功能重復開發、提高新產品的研發效率,App提供者一般都會選擇使用不同功能的SDK。使用場景一般是:SDK提供者將實現特定功能的代碼進行封裝,并提供簡單的調用接口;App提供者將SDK嵌入App代碼中,調用SDK提供的接口實現相應的功能,如果某些SDK具有獨立交互界面,App交互頁面也會將其嵌入。最終用戶使用App時,通常對SDK及其提供者沒有感知。當然,App提供者和SDK提供者可能為同一方,即App提供者使用自身開發的SDK。如果App提供者和SDK提供者不是同一方,通常將SDK稱為第三方SDK。
顯然,SDK作為一種功能明確的特定程序,其本身可以直接收集使用個人信息。但由于用戶通常無感,SDK一般都是“偷偷摸摸”活動,故SDK曾長期脫離監管視野。目前,全國信息安全標準化技術委員會正在組織起草國家標準《信息安全技術 移動互聯網應用程序(APP)SDK安全指南》,旨在壓實SDK提供者的個人信息保護責任。
SDK帶來的個人信息安全問題有多么嚴重呢?據統計,當前平均每款App都內置了不止20款SDK,基本上沒有哪一款App無內嵌SDK,可見SDK的問題影響范圍之大。
常見SDK類型包括但不限于推送、統計、支付、即時通信、第三方登錄等,如下表所示(來源:《信息安全技術 移動互聯網應用程序(APP)SDK安全指南(征求意見稿)》)。
對應條款
第二十條 數據處理者處理個人信息,應當制定個人信息處理規則并嚴格遵守。個人信息處理規則應當集中公開展示、易于訪問并置于醒目位置,內容明確具體、簡明通俗,系統全面地向個人說明個人信息處理情況。
個人信息處理規則應當包括但不限于以下內容:
……
(四)以集中展示等便利用戶訪問的方式說明產品服務中嵌入的所有收集個人信息的第三方代碼、插件的名稱,以及每個第三方代碼、插件收集個人信息的目的、方式、種類、頻次或者時機及其個人信息處理規則;
解讀
鑒于SDK類型眾多,《條例》只是規范了有“收集個人信息”功能的第三方代碼、插件。但要求較為嚴格,數據處理者應當說明此類第三方代碼、插件的名稱,以及每項第三方代碼、插件收集個人信息的目的、方式、種類、頻次或者時機及其個人信息處理規則。且應以集中展示等方式進行說明,便利用戶訪問。
有人對此有疑問,如果不了解第三方代碼、插件的個人信息收集功能及其個人信息處理規則怎么辦?特別是,如果是開源的第三方代碼、插件,其開發者本身是作公益貢獻,到哪里去聯系開發者了解個人信息處理規則?
這種情況有可能存在,但一個基本邏輯是,如果找不到開發者,你怎么敢使用他的代碼呢?既然使用了第三方代碼,你怎么能不為其收集個人信息的行為負責呢?顯然,這完全不能成為App提供者豁免個人信息保護義務的理由。
《條例》第二十條第(四)項實際上對App提供者增加了新的義務,即App提供者要對內嵌的所有SDK的個人信息保護情況負責。那么,SDK實際在實施哪些個人信息處理活動?App提供者不能懵懂無知。為了避免合規風險,今后App提供者必須有能力監控內嵌SDK的個人信息處理活動,甚至能夠阻斷違法違規行為。這無疑將開創一個新的產業方向。
另外一個與此相關的事項是,為了減輕App提供者的合規壓力,今后政府有關部門有必要建立對SDK的直接監管制度,以確保App提供者在內嵌SDK時,SDK的合規已經完成。
相關文章:
數安條例百問15、16、17、18、19:關于數據處理者安全保護義務
數安條例百問27、28、29、30:關于“一般要求”中的幾個特定考慮
數安條例百問46、47、48:關于生物特征應用和一百萬人以上個人信息處理者的適用
數安條例百問55、56、57、58、59:關于年度評估與對外提供數據的風險評估
