隐私政策ABC(下)——制定隐私政策应该看什么?
导 语
在2017年《网络安全法》(“《网安法》”)出台后,个人信息保护的立法呈现井喷的态势,已发布的法规和标准数量众多、立法者众多,各规定之间的层级、效力比较复杂,这给各公司的个人信息保护合规体系的建立带来了难度和挑战。继《隐私政策ABC(上)——制定隐私政策应该听谁的?》中系统性地梳理介绍在隐私政策领域活跃的立法者和有关组织之后,本下篇将对已发布有关隐私政策的各类文件的效力层级进行梳理,并根据最新动态展望未来的立法趋势。
1
必须遵守——强制性规定
在准备制定隐私政策时,公司首先应该遵循的是法律设立的顶层原则,然后再依据具体规则逐一落实。
1.1 原则性规定——法律或等效于法律的文件
(1)“一法一决定”:
考虑到其适用范围的广泛性,可以认为《关于加强网络信息保护的决定》(“《信息保护决定》”)和《网安法》中关于隐私政策的规定对于所有公司均具备约束力。“一法一决定”中均明确规定了收集、使用个人信息应该遵循合法、正当、必要的原则,隐私政策中需要明确收集、使用信息的目的、方式和范围,并且隐私政策需要公示。前述原则性规定可以说是隐私政策制定的基石,其他的行业立法以及具体规则中关于隐私政策的详细规范均是在此基础上展开的。
(2)行业立法:
除“一法一决定”以外,公司还需要遵循本公司所在行业单行立法的原则。《消费者权益保护法》中确立的原则和《网安法》基本一致,在此不再赘述;除此以外,《电子商务法》中还规定,隐私政策中应明示用户信息查询、更正、删除以及用户注销的方式、程序,相应地,电商业者在其隐私政策中就需要明确体现前述内容。
1.2 具体规则——行政法规、部门规章和规范性文件
在上述法律规定的基础上,不同行业主管部门在其出台文件中,对合法、正当、必要的原则进行了不同程度的细化阐释,有些还更加明确地规定了隐私政策中应当包括的内容和制定发布要求——这些规定对于行业内的经营者具备强制约束力。
(1)电信和互联网:
《电信和互联网用户个人信息保护规定》要求隐私政策中需要包括查询、更正信息的渠道以及拒绝提供信息的后果等事项,在部门规章层面明确了个人信息主体的查询权、更正权和知情权。
(2)快递业:
根据《寄递服务用户个人信息安全管理规定》,快递企业需要公示信息安全投诉处理机制,公布有效联系方式。此外,根据《YZ/T 0147-2015 寄递服务用户个人信息保护指南》的规定(尽管这是一个推荐性行业标准,但根据前述部门规章的规定,这一标准实际上具备强制执行力),隐私政策中还应该包括寄递用户信息的保管期限以及用户提供个人信息不详或错误可能导致的后果。
(3)网约车:
根据《网络预约出租汽车经营服务管理暂行办法》的规定,隐私政策应该以显著方式发布,网约车平台收集个人信息不得超出网约车业务所需的必要范畴。
(4)对于儿童的特别保护:
根据《未成年人网络保护条例》,收集、使用未成年人的个人信息需要制定专门的收集、使用规则,《儿童个人信息网络保护规定》还对隐私政策中关于儿童个人信息收集补充了更为具体的要求,包括明示存储信息、安全保障措施、拒绝后果、投诉举报方式、更正删除方法等,从各方面对儿童个人信息的保护进行了规范。
(5)App:
市监总局、中央网信办于2019年3月13日发布的《关于开展App安全认证工作的公告》中决定开展App安全认证工作,根据《移动互联网应用程序(App)安全认证实施规则》第2条,《个人信息安全规范(GB/T 35273—2017)》(“《安全规范》”)将作为认证实施的依据,因此,对于需要通过App安全认证的经营者而言,《安全规范》这一推荐性国家标准实际上具备强制适用效力,相应地,其中关于隐私政策的各项规定(详见下文第2.2部分)也成为了必须要遵循的内容。
(6)金融机构及银行:
根据《中国人民银行金融消费者权益保护实施办法》规定,隐私政策中应该明确向他人转移个人信息的范围、具体情形和后果,根据《银行业金融机构数据治理指引》的规定,银行业金融机构收集、使用数据涉及个人信息的,应当符合相应的国家标准;因此,对于银行业金融机构而言,《安全规范》以及其他的关于个人信息保护的推荐性国标均具备强制适用效力,相应地,其中关于隐私政策的各项规定也成为了必须要遵循的内容。
除前述法律要求以外,值得注意的是,隐私政策本质上属于公司与个人信息主体之间关于个人信息的收集和使用的合同性约定,因此隐私政策对于公司和个人信息主体双方均应该具备约束力;但是,鉴于隐私政策系公司单方制定的格式条款,根据《合同法》的规定,在对隐私政策有多种解释时,应当采纳对公司较为不利的解释,并且隐私政策中不符合法律、行政法规、部门规章的部分,应当是无效条款,如果具体规则和《网安法》中的原则性规定存有冲突,根据上位法优于下位法的原则,也应当以原则性规定为准。因此,在制定隐私政策时,公司应该格外注意其中措辞的明确,以避免出现歧义从而导致对公司不利的解释。
2
参照执行——
各类标准、指导性文件和自律文件
2.1 《网安法》出台前的指导性文件和标准
在《网安法》出台之前,就已经有若干规范对于隐私政策进行了规制,例如,在2012年11月出台的《信息安全技术 公共及商用服务信息系统个人信息保护指南》中已经明确了公开告知原则(即隐私政策要“明确、易懂和适宜的方式”告知),但该份文件只是一个不具备强制约束力的指导性技术文件,由于缺少上位法律的原因,实践中的适用范围并不广,仅通过引用的方式被纳入某些行业(例如移动智能终端行业)的标准中。
除此以外,还有一些推荐性的国家标准,对特定类别的个人信息处理进行了规制,例如,《GB/T 32921-2016 信息安全技术 信息技术产品供应方行为安全准则》中规定,信息技术产品的供应方在收集和处理用户信息时应该明确提供隐私政策(其中也对隐私政策应当包括的内容进行了比较详尽的规定,因内容与下文介绍的《安全规范》基本一致,因此不再赘述)。
2.2 网安法出台后的国家标准——《个人信息安全规范》
《安全规范》是与隐私政策的制定最为相关的标准文件,也是在国家标准层面对个人信息保护进行规范的纲领性文件。根据《安全规范》的规定,作为一个大原则,个人信息控制者应当遵循“公开透明”原则,即以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等,并接受外部监督。在《安全规范》的第5.6条对隐私政策的内容进行了详细的逐项规定(包括个人的查询权、更正权、撤销权、删除权,设立投诉机制、内容应显著、清晰易懂等),且提供了隐私政策模板(附录D)。
如上一节所述,尽管《安全规范》本身只属于推荐性的国标,并不具备强制性的执行力,但某些行业(例如银行业)已经通过部门规章或规范性文件的方式使《安全规范》事实上具备了行业内的强制适用效力,前文中提及的对于隐私政策内容的要求事实上也均在《安全规范》中有所体现(例如,诸多部门规章中规定的查询权、更正权即在《安全规范》第5.6(a)(6)、(8)条中进行规定)。
除此以外,根据我们观察,在实践中《安全规范》也被监管机构作为执法的重要参考文件,因此,在制定隐私政策时,我们建议公司最好将《安全规范》当做“最佳实践”加以遵守,而非仅仅是参考性的标准。
2.3 行业标准和自律性文件
除上文所述的行业立法和国家标准外,许多行业标准、指导性技术文件或行业自律性文件也就个人信息保护的特定事项进行了进一步明确——这些文件本身不具备法律上的强制约束力,但考虑到文件发布的主体或特定背景,文件内容可能会被作为执法机关的重要参考,因此其中的规定也值得相关行业经营者关注。以下是一些比较重要的自律性文件的介绍:
(1)App:
对于App运营者而言,需要重点关注的自律性文件有《App违法违规收集使用个人信息自评估指南》(“《自评估指南》”)和《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》(“《必要信息规范》”)。《自评估指南》中对隐私政策的文本要求和发布方式做了非常详实的规定,考虑到发布机构(App治理工作组)的权威性,我们高度建议App的运营者在制定隐私政策时遵守《自评估指南》的相应要求;此外,《必要信息规范》也对隐私政策中规定的“必要”信息的范围以列举的方式进行了界定,这份文件的发布方全国信息安全标准化技术委员会是一系列相关国家标准(例如《安全规范》)的制定方,因此其发布的技术文件对于App运营者而言有重要的指导意义。
(2)互联网服务:
我们建议互联网服务提供者在制定隐私政策时,除遵循《安全规范》的指南外,也可以重点参考《互联网个人信息安全保护指南》,这一文件的内容与《安全规范》大致相同,但在个人信息主体授权同意的例外方面,相较于《安全规范》有部分限缩。
(3)支付清算:
中国支付清算协会是中国支付清算服务行业自律组织,因此其发布的指引性文件也对会员单位具备一定指导意义,尽管《个人信息保护技术指引》发布于《网安法》颁布前,但其中规定的个人信息采集需要遵循的最小化原则、告知原则等也与《网安法》确立的原则性规定保持一致,此外,这一文件也通过概括引用的方式将与个人信息有关的标准规范自动纳入适用范畴,因此,在制定隐私政策时,《安全规范》对于支付清算协会的会员单位可能具有更高的参考效力。
3
走向何方——
从正在进行的立法中观察隐私政策有关规范的发展趋势
个人信息保护的立法仍然处在蓬勃发展的进程中,在顶层法律层面,各界呼吁已久的《个人信息保护法》已经列入本届人大常委会立法规划,已经三读的《民法典》分则也对个人信息保护要求进行了明确规范——其内容基本与《网安法》的要求一致,但无疑将对个人信息的保护上升到了一个更高的层级。与此同时,实操层面的具体规则和标准也在不断进行立法扩充和完善,考虑到顶层法律距离正式出台尚需要一定时间,以下是在近期值得关注的实操规则立法动态:
3.1 《数据安全管理办法(征求意见稿)》(“《数据办法》”):
就内容而言,《数据办法》中与隐私政策有关的部分并没有新的规定,基本上与《安全规范》中的要求保持一致,但鉴于《数据办法》法律效力为部门规章层级,并且规定网络运营者应当参照国家标准,加强对个人信息的保护,从中体现的监管思路是《安全规范》等相关推荐性国家标准很可能在未来将具备强制的适用效力。
3.2 新版《个人信息安全规范(征求意见稿)》:
2019年10月24日发布的新版《个人信息安全规范(征求意见稿)》对隐私政策的发布方式(例如要求逐一送达)、内容进行了更为细致的规定,相应增强了实操性。
3.3 新版《信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)》:
2019年10月25日发布的新版《信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)》对App收集个人信息的行为(特别是哪些属于“必要”信息)进行了明确,就隐私政策方面来看,内容与《必要信息规范》大体一致,但将文件的效力从行业自律文件上升到了国家标准的层面,结合上文《数据办法》中的相关条款,这一推荐性国家标准未来也有可能具备强制适用效力,相应地,对App运营者的约束力也将相应上升。
考虑到个人信息保护是一个较为新兴的监管领域,在近年来个人信息案件频发的大背景下,可以预见在未来还会有更多的相关具体规范出台、落地,以上所述的立法动态也可以看出监管力度呈逐渐加强、收紧的态势,例如,原本属于指导性技术文件的《必要信息规范》将升格为国家标准,《数据办法》以部门规章的形式落实《安全规范》中的各项要求——各层级规范的效力上升也发出了立法从严的信号,因此,从业者对相关立法动态保持密切关注是十分有必要的,我们也将持续对相关立法动态及执法动态保持密切关注和追踪。
The End
作者简介
李瑞 律师
北京办公室 合伙人
业务领域:收购兼并, 合规/政府监管, 反垄断与竞争法
邹燚 律师
北京办公室 公司部
作者往期文章推荐:
《〈外商投资法〉审议通过!中外合资经营企业法人治理结构亟待变革》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。