在这个信息化飞速发展的时代,数据已成为一种宝贵的资源。随着互联网技术的深入普及和智能设备的广泛使用,个人信息的保护问题日益凸显,成为社会各界关注的热点。企业如何处理用户的个人数据,不仅关系到用户的隐私权益,也是企业社会责任和法律遵循的体现。
隐私政策,作为规范企业数据处理行为和保障用户隐私权益、保护用户个人信息的重要文件,每个互联网产品或移动应用,都需要提供《隐私政策》,并主动引导用户阅读并同意,其重要性不言而喻。因此本文将阐述隐私政策的起源与基本框架,为用户和企业对隐私政策提供一个初步的理解基础。
一、隐私政策的实质与创建目的
(一)隐私政策的实质
隐私政策是企业或组织对用户个人信息处理行为的正式声明。它详细说明了组织如何收集、使用、存储和保护用户的个人数据,以及用户对于自己数据拥有哪些权利。通俗来说是指公司就其如何收集和使用个人信息等问题制定的基础政策文件,用于向公司内外部各方(如内部员工、用户或消费者、供应商、监管机构等)传递及告知公司遵循的个人信息处理规则。隐私政策通常也是组织内部进一步制定个人信息保护合规相关流程、指引文件的政策依据和基础。
(二)隐私政策的创建目的
隐私政策的创建目的主要包含以下几个方面:
①应对监管要求:随着个人信息保护法规的加强,隐私政策成为监管机构评估企业合规性的重要依据,企业需要通过隐私政策来展示其对监管要求的响应和遵守。
②确保合规性:隐私政策帮助企业确保其数据处理活动遵守适用的法律、法规和标准,如《中华人民共和国个人信息保护法》、《网络安全法》等,从而避免法律风险和潜在的处罚。
③保护用户隐私:通过明确声明企业如何收集、使用、存储和保护用户的个人数据,隐私政策旨在保护用户的隐私权利,增强用户对企业的信任。
④指导企业数据处理活动:隐私政策为企业提供数据处理的内部指导,确保企业内部员工在处理个人信息时遵循既定的规则和程序。
⑤提升企业声誉:一个清晰、全面的隐私政策可以提升企业的专业形象,展示企业对用户隐私的尊重和承诺,从而吸引更多的用户和客户。
二、隐私政策的发展历程
我国在21世纪初,通过参考国际惯例,主要的门户网站也都建立起了自己的隐私保护政策。然而,这一时期隐私政策的实施也暴露出一些问题,例如隐私保护措施的不成熟、缺乏统一的行业标准、以及企业在处理用户个人信息时存在的“黑匣子”问题。这些问题的出现,促使中国在个人信息保护法规上做出了更多的努力,立法步伐明显加快。下图就是近5年我国在隐私政策相关法规的重点发展线。
隐私政策发展的主要法规时间线与内容
从上图时间线可以归纳以下要点:
1、这些法规中提到的文件名称”隐私政策“、”隐私声明“、”个人信息保护政策“、”个人信息处理规则“实质上的结构与内容都是一致的,只是不同监管单位或企业在编制法规或自身产品相关的个人信息保护政策时起的名称,本文全文都是以”隐私政策“来命名这份文件。
2、从近几年的个人信息保护相关法规或规范性文件都提到了隐私政策内容,其内容的合规对于企业保障用户的个人信息合规越来越重要。
三、隐私政策的框架
根据《中华人民共和国网络安全法》的规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
隐私政策作为落实该规定的文件载体,需要依法公开前述内容。而对于隐私政策应当包含的具体内容和公示要求,GB/T 35273-2020《信息安全技术个人信息安全规范》(以下简称“国标35273”)有给出相关指引,其基本框架为:
表1.国标35273中隐私政策基本框架
然而,在2024年9月,一项更为详尽的个人信息处理规则标准GB/T 44588-2024《数据安全技术 互联网平台及产品服务个人信息处理规则》正式发布,并将于2025年4月1日起正式施行(以下简称“国标44588”)。该标准不仅涵盖了规则的具体内容,还对个人信息处理规则的编制流程、发布方式以及争议纠纷的解决机制等关键方面进行了明确规范。以下是该标准所包含的规则内容:
表2.国标44588中隐私政策基本内容
通过对比分析上下两个表格内容,可以清晰地发现:国标35273所呈现的是隐私政策的基础架构,这在很大程度上反映了当前市场上主流App所遵循的标准隐私政策框架,具有直接的可操作性;相较之下,国标44588所列出的是隐私政策的必备要素,其表述虽有差异,但核心在于强调“至少”需涵盖这些基本内容,从而为隐私政策设定了一个最低标准。这一差异致使表1中的内容在广度上更为丰富,涵盖了更广泛的细节。当然,国标44588引入了新的内容点,在此基础上进一步深化,将较为抽象的要求进行拆解与细化,以期达到更高的合规标准。
四、拓 展
以下是对国标44588中需着重强调的要点的归纳与总结,旨在突出其关键内容,以便更好地理解和应用。
(一)程序发布方面
1、国标44588明确指出,App应在设置首页显著位置提供隐私政策的一键访问功能。这并不意味着可以忽略监管部门此前提出的“从App主界面进入后,最多只需4次点击等操作即可到达隐私政策”的要求,两者是相辅相成的。换言之,即便隐私政策位于App的设置首页,但如果从App主界面进入设置首页需要超过4次点击等操作,这同样是不符合规定的。隐私政策应放在设置首页。
2、隐私政策更新后,不一定要通过弹窗方式通知用户;国标44588指出,通常情况下,通知个人信息主体的方式包括但不限于:
Ⅰ.在个人信息主体登录信息系统时或在更新信息系统版本后个人信息主体登录使用信息系统时弹出窗口;
Ⅱ.个人信息主体使用信息系统时直接向个人信息主体推送通知;
Ⅲ.向个人信息主体发送邮件、短信等。
(二)规则内容方面
1、国标44588指出,隐私政策摘要内容至少包括:
Ⅰ.所提供的业务功能和所收集的个人信息的种类。如所收集的个人信息种类较多,可在摘要中通过个人点击链接的形式跳转至个人信息处理规则特定章节;
Ⅱ.个人选择或关闭特定业务功能的权利和操作方式;
Ⅲ.个人选择或拒绝提供非必要个人信息的权利和操作方式。
同样涉及隐私政策摘要内容的国标GB/T 42574-2023《信息安全技术 个人信息处理中告知和同意的实施指南》也明确了相关要求(以下简称“国标42574”)。该标准指出,如仅以链接等方式展示个人信息保护政策等处理规则时,可通过增强告知方式主动向个人告知其中的关键规则,包括个人信息保护政策的章节结构(点击后可直接访问对应内容),基本业务功能所必需的个人信息种类,收集方式、目的等,以及处理个人询问、投诉的联系方式。
因此,综合考量国标44588与42574的指导说明,企业可精心挑选并呈现隐私政策摘要内容,确保用户能够便捷地获取到最核心、最关键的信息,从而在保障用户知情权的同时,提升隐私政策的可读性和实用性。
2、国标44588指出,个人信息主体在自动化决策方面的可选项,如可以选择的广告偏好、是否同意进行个性化推荐、是否允许进行跨平台的广告推荐等。
尤为引人注目的是,“跨平台广告推荐”这一创新性理念的首次引入。在实际应用中,平台若能提供“拒绝跨平台广告推荐”的选项,将极大地助力用户守护自身隐私,防范潜在的信息泄露风险。然而,对于依赖广告业务的企业而言,这一举措的实施或许会面临诸多挑战,需要在保障用户权益与维持业务发展之间寻求精妙的平衡。
五、结 语
隐私政策是企业与用户之间信任的桥梁,它不仅体现了企业对用户隐私的尊重,也是遵守法律法规的体现。本文概述了隐私政策的起源、框架及其发展,强调了其在保护用户隐私权益中的核心作用。随着法规的完善和技术的进步,隐私政策将继续演化,以更好地适应社会的需求。
国标44588的发布,为隐私政策的制定和实施提供了更为详尽和具体的指导。该标准不仅明确了隐私政策的基本内容,还对个人信息处理规则的编制流程、发布方式以及争议纠纷的解决机制等关键方面进行了规范。这有助于企业提升隐私政策的透明度和可操作性,进一步增强用户对企业的信任。
总之,隐私政策的不断完善和优化,不仅是企业合规运营的必然要求,也是提升用户隐私保护水平、构建健康数字生态的重要保障。随着国标44588的实施,我们有理由相信,个人信息保护将得到更有力的保障,用户和企业之间的信任将更加牢固,共同推动数字经济的健康发展。
(本文作者:厦门嘉佑安科信息技术有限公司 曹竹君)
声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
