隐私保护与数据安全合规(十)
前言
笔者准备从渗透测试转向数据安全,本文算是自己学习的笔记产出,如果有任何偏差和遗漏,欢迎各位大佬的指正。
接上篇文章,接下来要分享的是落地中第三步的具体做法。
第三步:确保企业处理个人信息的行为符合《个人信息保护法》的基本原则和一般规则,及是否遵守无场景差异的、普适性要求。
基本原则
合法、正当、必要、诚信。
- 《个人信息保护法》第五条规定:处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
- 该规定比《网络安全法》第四十一条(网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意)多了关于不诚信行为的负面清单,即不得通过误导、欺诈、胁迫等方式处理个人信息。这也是之前遇到过多次此类不诚信行为之后的经验所为。
“最小必要”原则
- 《个人信息保护法》第六条规定:处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
- 处理个人信息应当采取对个人权益影响最小的方式——个人信息处理的“目的”决定“方式”,而不是为了便利或额外利益选择更具侵入性的方式。
- App验证用户身份时,强烈要求用户上传身份证正反面,增加身份信息泄露风险,其实只需要获取手机号,通过验证码进行收集即可。
- 企业统计员工考勤时,要求员工开启手机定位并上传轨迹,侵入了员工私人时间的行踪隐私,超出了考勤目的的必要影响范围,只需要通过办公区域的打卡机记录即可。
- 收集范围应当限于实现处理目的的最小范围——个人信息的收集范围与处理目的必需严格对应,不存在“先收集,后找用途”的情况。
- 2021年5月1日起施行了《常见类型移动互联网应用程序必要个人信息范围规定》,里面规定了三十九类常见App的必要个人信息范围,下面就举几个例子。
App 类型处理目的必要收集范围(最小范围)禁止收集的无关信息(超出范围)地图导航类提供定位导航服务位置信息、出发地、到达地用户通讯录、短信记录、手机相册网络约车类匹配车辆与乘客、完成订单注册手机号、乘车人位置 / 行踪、支付信息乘客的职业、收入、家庭住址(非接单 / 履约必需)问诊挂号类在线咨询、预约挂号手机号、患者姓名 / 证件号(挂号用)、病情描述(问诊用)家庭成员健康信息 - 保存期限应当为实现处理目的所必要的最短时间——个人信息的保存期限由处理目的的存续时间决定,目的消失,信息应该随之“退场”。
- 场景 1:外卖平台保存订单信息
- 处理目的:完成订单履约(送餐、售后维权)、税务备案(按税法要求保存)
- 合理保存期限:订单完成后,若用户无售后纠纷,保存至当年税务备案结束(通常为次年 5 月个税汇算后),之后应删除用户的收货地址、联系电话等信息;
- 不合理做法:订单完成 3 年后仍保存用户完整收货地址和手机号(目的已消失,继续保存无合法依据)。
- 场景 2:企业招聘保存求职者简历
- 处理目的:筛选候选人、通知面试、办理入职(若录用);
- 合理保存期限:未录用者的简历,在招聘流程结束后 1 个月内删除(或匿名化,如删除姓名、手机号);录用者的简历,保存至劳动合同终止后 1 年(满足劳动纠纷举证需求);
- 不合理做法:无论是否录用,均长期存储求职者简历,甚至用于其他招聘或对外分享(超出 “招聘” 目的的必要期限)。
- 场景 3:政务平台保存用户办事材料
- 处理目的:办理社保 / 医保等政务服务、归档备案;
- 合理保存期限:按《档案法》要求,保存至规定年限后(如 10 年),对涉及个人身份的信息进行 “匿名化处理”(去除姓名、身份证号等可识别信息);
- 不合理做法:用户办事完成后,无期限保存完整材料,且未采取加密措施(增加长期存储的安全风险)。
- 场景 1:外卖平台保存订单信息
“公开透明”原则
《个人信息保护法》第七条:处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。
“信息准确”原则
《个人信息保护法》第八条:处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。
“主体责任”原则
《个人信息保护法》第九条:个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。
一般规则——告知同意
告知同意的发展历程
2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》构建了“告知同意”规范体系的起点。
2017年《网络安全法》是明确“告知同意”基本内容的里程碑法律。
2020年《民法典》代表“告知同意”进入民事基本法。
2021年《个人信息保护法》构建了丰富、全面的“告知”规则与“同意”规则。
核心的处理规则:具备合法性基础。
“告知”规则——充分的告知
对告知方式的要求
- 告知应当发生在处理个人信息之前,避免在已经收集或对外提供个人信息等处理活动后,用户才后知后觉。
- 处理者应当以显著方式和清晰易懂的语言进行告知。通过制定个人信息处理规则的方式告知的,处理规则应当公开,并且便于查阅和保存。
一般性的告知内容
《个人信息保护法》第十七条:个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:
(一)个人信息处理者的名称或者姓名和联系方式;
(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
(三)个人行使本法规定权利的方式和程序;
(四)法律、行政法规规定应当告知的其他事项。
这些一般性告知内容多采用“集成式”告知方式,一般在隐私政策文本中集中告知,这也说明隐私政策的核心作用是履行“告知”义务,而不是获得“一揽子”同意。
增强性的告知内容——在场景触发时进行单独、另行、增强式的告知,如弹窗提示、当页增加提示文案、另行跳转页面等。
- 《个人信息保护法》第十七条:前款规定事项发生变更的,应当将变更部分告知个人。
- 《个人信息保护法》第二十二条:个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
- 这里告知义务的主体是原来获取个人信息而因合并、分立、解散、被宣告破产等原因需要将个人信息转移出去的主体。
- 《个人信息保护法》第二十三条:个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
- 这里的接收方是一个个人信息处理者,而不是受托处理者。
- 《个人信息保护法》第三十条:个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。
- 《个人信息保护法》第三十九条:个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。
- 《个人信息保护法》第五十二条:处理个人信息达到国家网信部门规定数量(100万以上的个人信息)的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。
告知义务的豁免
- 《个人信息保护法》第十八条规定:个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项。紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知。
- 前者的告知义务减免是“实质要件”的减免,能够免除的告知义务的法律依据只能是“法律和行政法规”,而不能是低位阶的规范性文件。
- 后者的告知义务减免是“形式要件”的减免,处理者无需遵守必须”在处理个人信息前“的告知时间要求,而是可以事后告知。比如搜寻失踪人员而查询其行踪轨迹,救治神志不清的重症病人查询其身份证或医疗记录。
获取“同意”——有效的同意
《个人信息保护法》第十三条:符合下列情形之一的,个人信息处理者方可处理个人信息:
(一)取得个人的同意;
(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
(三)为履行法定职责或者法定义务所必需;
(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
(七)法律、行政法规规定的其他情形。
依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。
“同意”的通用要求
原则性要求
《个人信息保护》第十四条:基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。
变更场景下的要求
- 《个人信息保护法》第十四条:个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
- 《个人信息保护法》第二十二条:个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
关于撤回与拒绝的要求
- 《个人信息保护法》第十五条:基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。
- 《个人信息保护法》第十六条:个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
- 《个人信息保护法》第四十七条:有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:(三)个人撤回同意;
处理儿童个人信息
《个人信息保护法》第三十一条:个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。
“同意”的增强要求:“单独同意”的场景
构成有效的“单独同意”的增强要求
- 告知义务的强化。处理者应当通过增强式告知或即时提示的方式,针对需要单独同意的事项予以专门、充分的告知。
- 同意事项的颗粒度小。“单独同意”的核心要义是该等同意所针对的个人信息处理活动应针对具体且独立的目的或业务功能,不应与其他不相关的目的或业务相捆绑或混同在其他同意事项中,尤其不应该一揽子取得个人的同意。
- 同意动作的主动性强。个人信息处理者尤其应该确认以明示同意的方式来取得个人的单独同意,而不得以默认同意或者间接推定同意的方式做出,以确保个人做出单独同意的意思表示是清晰、明确和毫无歧义的。
单独同意的适用情形
- 向其他个人信息处理者提供其处理的个人信息。
- 《个人信息保护法》第二十三条:个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
- 公开其处理的个人信息
- 《个人信息保护法》第二十五条:个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。
- 将公共场所收集的个人图像/身份特征信息用于非公共安全之目的。
- 《个人信息保护法》第二十六条:在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
- 处理敏感个人信息。
- 《个人信息保护法》第二十九条:处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
- 向境外提供个人信息
- 《个人信息保护法》第三十九条:个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。
具体落地时需要注意的实操要点
- 在产品设计过程中,注意识别和拆分“单独同意”所对应的具体功能和处理场景,打破对不同功能的捆绑同意、打破通过隐私政策获得一揽子同意的做法。
- 场景化提供“单独同意”的功能或控制面板设置,而不是一刀切地在不同场景下都进行逐一“勾选同意”。
- 避免过多、高频、连续的“单独同意”,甚至故意造成用户的“同意”疲惫、自主注意力下降,甚至是“同意”负担。