四部委剑指个人信息违法违规收集，企业如何落地隐私最佳实践？

• 中国人民大学法学院博士后、美团点评法律政策研究院高级研究员 刘笑岑

1月25日，中央网信办、工业和信息化部、公安部、市场监管总局正式发布《关于开展App违法违规收集使用个人信息专项治理的公告》，对用户数量大、与民众生活密切相关的App隐私政策和个人信息收集使用情况进行评估，于2019年底前分批选取重点网络产品和服务完成1000款左右App，对其隐私条款进行分析梳理并对个人信息收集使用情况进行评估，尤其针对强制、过度收集个人信息的情况进行严厉整治和惩处。此次四部委联合出手适逢其时，也必将成为推进全社会个人信息整体保护水平的重要举措。

一、增强隐私保护透明度优化隐私条款

隐私政策和个人信息保护条款作为保障用户知情同意权的重要媒介，近年来愈发受到监管和社会公众的高度关注。除了满足隐私政策“从0到1”的基本要求之外，相关法律法规、执法机构和行业自律协会也正在通过隐私政策评审等工作对隐私条款提出更高的要求，包括在形式上应便于获取、易于理解，在内容上应正当、合法、合理。网络服务提供者在贯彻推动用户个人信息保护工作时，应积极落实《网络安全法》《消费者权益保护法》《电子商务法》《电信和互联网用户个人信息保护规定》《个人信息安全规范》等法律法规和国家标准中对于个人信息保护的要求，不断完善自身的隐私政策，向用户简要清晰地介绍在使用网络产品和服务时其个人信息将如何被处理，并为用户提供访问、更正、删除和保护这些信息的方式和路径。

隐私条款在其内容的完整准确性和其形式的易读易理解本身就存在天然的紧张关系，一方面，要求向用户提供全面的信息，另一方面，要求以简洁、透明、易懂且易于获取的形式提供。因此，除了考察网络服务提供者隐私政策文本的内容和展现形式之外，也应鼓励App运营者在用户触发具体产品场景时对其进行个人信息收集和使用情况的告知，这样既能保障用户的知情权，避免具体条款淹没在冗长的文本中，又能考虑产品更新迭代的灵活性而不必频繁更新隐私政策内容。隐私条款是对用户在使用网络应用过程中可能被收集使用信息场景的介绍和告知，用户点击同意隐私政策既不代表隐私政策中所载的信息全部会被收集使用，也不意味网络服务提供者已经“高枕无忧”，还是需要在具体场景下对新增收集信息的内容和使用目的进行提示，必要时还需取得用户的二次授权。可见，隐私政策和条款不是万能的，但是，没有它们是万万不能的。

此外，在隐私政策的展现形式上，可以参考欧盟采用分层的方法。例如，可以使用分层的隐私政策，其中，应包含隐私政策内容的概述以及可以直接链接到各部分内容的小标题等，同时，对于用户可能关心的重点内容和涉及敏感信息的处理部分进行特别提示，避免用户在长篇累牍的文本中疲于寻找。在隐私政策的内容中，除了按照法规要求提供相关信息之外，宜采取举例、图表、名词解释、附件等形式，并尽量使用简明易懂的语言。需要网络服务提供者在总结经验教训的基础上不断优化迭代的同时，不断提升用户个人信息的技术保护水平，将个人信息安全评估作为全业务流程的重要一环，并将个人信息保护的承诺和理念融入产品设计和开发流程中。

二、避免强制、过度收集解决“一揽子同意”

此次专项行动剑指“一揽子同意”等强制、过度收集现象，如果用户不予提供实现业务功能所必需的信息时，网络服务提供者不应也不能为其提供相应的服务。因此，如何在用户使用服务功能可以顺利实现的基础上，又能保障不被过度收集无关、无用的个人信息，的确是困扰监管和企业的一大难题，涉及业务功能、系统权限、信息类型等几个维度的问题，如果以业务功能的类型作为标准进行区分，则在App上对基本业务功能和拓展功能进行划分将会非常之难；如果以系统权限作为标准进行区分，则在多个业务功能都需要相同权限时，如果用户已经对权限的使用做出授权，且可以随时在操作系统中关闭，则没有必要在新增业务功能中对已授权的权限进行二次授权。

概言之，鉴于国内网络应用的平台化、综合性等特点，宜采取“划定红线”或“给出负面清单”等形式对于“一揽子同意”现象给出指引，防止强制、过度收集的同时也保障用户在使用中的控制权和流畅度。

笔者针对一揽子授权问题提供建议：第一，网络应用在首次下载使用时应对敏感权限进行规范，避免一开始就要求提供App所有业务功能所需要的信息和权限。第二，根据用户自主触发业务的场景给出对应的业务必要信息集和敏感权限集，保证触发业务时额外获取敏感信息的，必须取得用户的明示同意。同意形式不一定限于弹窗，包括主动填写、场景内即时提示等。第三，如果业务功能没有超出原有的权限和信息授权范围，只要保证由用户主动开启业务功能和自主关闭系统权限即可，不需要再次使用弹窗等形式征得用户的明示同意。

三、注重法规落实鼓励企业最佳实践

尽管提升整个行业的隐私保护水平仍然任重道远，但是，很多大型互联网公司对于用户的隐私保护工作高度重视，并不满足于一般的法律要求，而是在合规的基础上积极探索企业的最佳实践，包括在公司组织架构上设立诸如“信息安全决策层、信息安全管理层、信息安全执行层”等信息安全保障体系等。

企业创新完全可以不限于产品和商业模式的创新，还可以体现在用户隐私保护方面，这也是本次专项行动目标中所要实现“惩罚违规、激励优秀”的题中之义。因此，鼓励企业结合自己产品的实际情况和具体场景去探索隐私保护的具体模式，不失为正向激励的监管举措。

已经出现的优秀实践，可成为同行学习和借鉴的模范：第一，隐私条款的展示形式，可通过包括小视频、站内图标引导、具体场景中的即时提示等形式提供；第二，主动区分基本功能和拓展功能，保障用户在使用拓展功能时提供额外个人敏感信息的二次授权；第三，尽可能为用户在线行使权利提供便利，例如，更正、删除、解除绑定、注销等；第四，落实有关设计保护隐私（Privacy by Design）和默认保护隐私（Privacy by Default）的产品设计，例如，在电商平台上对用户电话进行脱敏和上线虚拟号等功能的默认保护；第五，保障用户的注销权利，通过《注销协议》等明确提示用户相应的注销流程和条件。

四、加强沟通宣导弥合认知鸿沟与误解

在提升网络服务提供者的隐私保护水平的同时，加强监管部门、行业协会、媒体、企业、专业人士和社会公众就隐私保护问题的沟通与交流同样重要。针对目前少数媒体和公众对于个人信息保护和企业隐私政策中存在的误读和误解，包括对隐私条款中的术语、技术处理操作和行业惯例等不理解的情况，例如，有用户认为隐私政策是霸王条款，不同意则无法使用功能，事实上，其更多是向用户的告知和承诺，主要用于落实合规和自我约束。因此，监管机构和行业组织宜通过普法、普及网络知识等形式对公众进行解读和宣导，企业也应当积极探索与媒体和公众的对话机制，弥合专业知识和公众认知之间的鸿沟，提升全行业个人信息保护的整体水平，避免误解和短板损伤公众信任。

（本文刊登于《中国信息安全》杂志2019年第3期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。