资讯洞见
自《网络安全法》和《个人信息安全规范》(以下简称“《规范》”)实施以来,中国的监管机构加大了对收集和使用个人信息方面不规范做法的打击力度。2018年11月,中国消费者协会发布了一份报告(以下简称“中国消费者协会报告”),报告指出了中国各类手机应用程序中存在的一些常见的不当做法,包括通过笼统或捆绑式同意过度收集包括地理位置、移动电话号码和联系人列表等个人信息,以及隐私政策不合规等。
为打击此类不当做法,中国全国信息安全标准化技术委员会(以下简称“TC260”)于2019年2月发布了《规范》的修订草案征求意见稿(以下简称“《规范》修订草案”),赋予了个人信息控制者更严格的义务。 根据TC260在2019年4月22日的第一次工作会议上的讨论,《规范》修订草案已在公开征求意见后被修订,但最终版本尚未正式发布。 本文重点介绍了《规范》修订草案中一些可能对您在中国的业务产生影响的重要变更。 虽然采用《规范》/《规范》修订草案并非强制性要求,但我们强烈建议遵守相关规定,因为监管者在采取执法行动时会参考《规范》/《规范》修订草案,故应将其视为最佳实践。
以目的为导向的个人信息收集
为了解决“笼统同意或捆绑式同意”的问题,《规范》修订草案禁止个人信息控制者强迫个人信息主体同意捆绑式服务和功能。个人信息控制者需要清楚指明所提供的业务功能,并将其划分为“核心业务功能”或“扩展业务功能”,并告知个人信息主体为实现每个功能所收集的信息类型。
核心业务功能和扩展业务功能的概念并非首次出现。 根据《规范》的规定,在收集个人敏感信息时,个人信息控制者需要指出这些个人信息将被收集或用于执行核心业务功能还是扩展业务功能。其意义在于确保个人信息控制者收集的个人信息不超过必要范围。若某项敏感个人信息的收集仅为执行扩展业务功能而非核心业务功能,而个人信息主体实际上并不需要该扩展业务功能,则个人信息主体可以选择退出此类功能而不必提供相关的敏感个人信息。
《规范》修订草案旨在将区分核心业务功能和扩展业务功能的要求扩大到不仅包括个人敏感信息收集,而是所有类型的个人信息收集。对于与核心业务功能相关的个人信息处理,个人信息控制者可以获取一键式同意,但是,对于扩展业务功能,个人信息主体必须就每个扩展的功能分别给予同意。 如果个人信息主体拒绝就扩展功能给予同意,个人信息控制者不得向个人信息主体重复发送同意请求,并且不能拒绝提供核心业务功能,或者提供不合格的核心业务功能。
《规范》修订草案提出了一些有助于确定一项业务功能是核心业务功能还是扩展业务功能的考虑因素,如个人信息主体基于产品/服务的名称、描述和类别以及产品/服务的推广方式的合理期望等。核心业务功能是指个人信息控制者提供的主要功能或服务,而扩展业务功能通常被理解为核心业务功能以外的任何功能。例如,对于搜索引擎,搜索将被视为核心业务功能。如果企业还提供支付服务以支持其搜索功能,则该支付服务将被视为扩展业务功能。为了更清楚地说明,《规范》修订草案的最新修改中还列出了一系列非详尽的业务功能示例,如地图、导航、打车、即时通讯、社交媒体、新闻及资讯、在线购物、快递和交通票务等与移动应用程序更相关的功能和其他以电子方式进行的活动。
用户的同意应在初始配置或安装应用程序,或由个人信息主体设置用户帐户之前征得,并需要以填写表格、点击或勾选方框等主动行为来表明同意。个人信息主体控制者还必须提供用户友好的机制,以便个人信息主体主体部分或完全取消订阅。
需要注意的是,根据《规范》的规定,如果个人信息主体的处理是与个人信息主体主体签订或履行合同所必需的,则可免于征求同意。这与欧洲的相关法律规定是一致的。虽然《规范》修订草案增加了“遵守法律义务”作为征得同意的豁免情形,但《规范》修订草案最初曾删除了合同履行作为征得同意的豁免情形,突出了中国个人信息保护制度基于同意的性质。然而,修订版重新加上合同履行作为征得同意的豁免,但特别排除了隐私政策,因此个人信息控制者不得仅以其隐私政策作为合约协议从而在没有取得同意的情况下收集个人信息。
个性化展示和定向广告
即使不在《规范》的监管范围以内,提供个性化的内容展示,如新闻提要、搜索结果或定向广告,一直受到监管机构的严格审查。《规范》修订草案要求个人信息控制者将材料显著标记为“个性化展示”或“定向传送”,为个人信息主体提供一种简单的机制,以便其选择退出通过个性化推荐传送的新闻或其他信息。同时,《规范》修订草案建议个人信息控制者建立便于个人信息主体管理其接收定向广告偏好的机制。一旦个人信息主体选择退出,个人信息控制者应删除或隐去其个人信息。
隐私政策
根据中国消费者协会报告,近一半被审查的移动应用程序在其隐私政策方面存在问题,包括:
为了解决这些常见问题,《规范》修订草案特别要求:
其他重大变化
结论
对《规范》的拟修订显然符合中国持续不断地加强其个人信息保护制度的趋势,特别针对近期执法行动中发现的不规范行为。在缺乏全面的个人信息保护法的情况下,最新版本的《规范》修订草案将成为中国监管机构的要求的重要指南,并可能成为自2018年以来便在立法议程的个人信息保护法的蓝图。