《网络平台收入个人信息的规定.docx》由会员分享,可在线阅读,更多相关《网络平台收入个人信息的规定.docx(3页珍藏版)》请在优知文库上搜索。
1、网络平台收入个人信息的规定根据个人信息保护法确立的“最小必要+知情同意”原则,网络平台处理用户个人信息需要在充分、明确告知平台处理用户信息的内容后取得用户的同意,并在完成网络平台业务的必要范围内,以最小影响收集用户个人信息。而在网络平台业务开展过程中,平台往往在用户注册环节通过用户协议的方式获取处理用户个人信息的授权。具体到注册环节,平台需在注册协议中充分履行告知义务,确保用户对其个人信息的处理内容充分知情,并采取有效方式获取用户同意,避免陷入违规陷阱。网络平台收集用户个人信息合规要求(一)显著告知根据个人信息保护法第17条,个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、
2、准确、完整地向个人告知有关个人信息处理者和信息处理的相关事项,包括个人信息处理主体和联系方式、个人信息处理目的、方式、种类、保存期限,以及个人行使权利的方式和程序等。通过制定个人信息处理规则的方式告知的,该处理规则应当在用户阅读注册协议时予以公开,并便于查阅和保存。实践中,网络平台通常可以采取诸如用户协议强制阅读30秒、重要条款突出显示、多次确认的方式保证自身履行了显著告知的义务。(二)取得同意除个人信息保护法规定的法定情形外,本法第23条要求个人信息处理者获取用户个人信息需取得个人在充分知情的前提下的自愿同意。若涉及到向第三方个人信息处理者(如网络平台之间的信息合作共享)提供个人信息,则应当
3、取得个人的“单独同意”,接收方变更原先的处理目的、处理方式的,应当重新取得个人同意。网络平台在收集用户个人信息前,应当公示需要收集的个人信息的种类、范围等,并经其同意。此外,根据国家标准信息安全技术个人信息安全规范(以下简称国标)的要求,收集个人敏感信息(包括个人身份信息和个人财产信息)时,应当获得用户的明示同意。在平台行业中,网络平台收集的个人用户信息往往由于我国网络空间实名制的要求,其收集的个人信息显然属于个人敏感信息。而所谓“明示同意”,即网络平台在获取用户授权收集个人信息时,不得采取“默示”方式。在司法实践中,也存在一定数量的因网络平台用户协议注册页面自动勾选“已阅读”“同意”选项而被
4、认定为非法获取公民个人信息的案例。因此网络平台在设置用户注册协议时,应重点关注协议阅读的充分性和用户同意的有效性,避免用户同意环节存在意思表示瑕疵。(三)最小必要落实该原则,分三点内容:1 .最小影响。即处理个人信息应当具有明确的、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。2 .最小范围。网络平台收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。根据网络安全法第41条规定,网络运营者不得收集与其提供的服务无关的个人信息,也即网络平台不得收集与其提供的网络平台服务无关的信息。3 .最短时间。除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目
5、的所必要的最短时间。具体到网络平台,实践中常见平台应在用户注销账户后询问用户是否保留注册信息,并在得到否定答复后立即删除,并且保证已删除信息在技术上不可恢复。除上述原则性内容判断方式外,针对该最小必要原则,可依据常见类型移动互联网应用程序必要个人信息范围规定(国信办秘字(2021)14号)列举的常见类型APP予以对照,或可参考国标中对收集个人信息的最小必要的释明予以判断,以确保处理个人信息符合该原则。根据国标第5.2条规定,所谓最小化原则,是指企业所收集的用户的个人信息应与实现产品或服务的业务功能有直接关联,且收集的频率和数量应当是实现产品或服务的业务功能所必需的最低频率和最小数量。简而言之,
6、企业收集个人信息时必须以实现其产品或者服务的功能为限,不得超出必要的限度收集个人信息。例如,用户在下载某些APP后,经常被索取手机通讯录、录音视频功能等权限,事实上,该等APP在为用户提供产品或服务的过程中,并不需要用到这些功能和/或信息,这种行为显然严重违反了最小必要原则。网络平台手机用户个人信息合规指引笔者统计了国家互联网信息办公室发布的关于输入法等33款APP违法违规收集使用个人信息情况的通报、浙江省APP违法违规收集使用个人信息专项治理工作组发布关于萌拍拍等57款App违法违规收集使用个人信息情况的通报,并结合App违法违规收集使用个人信息行为认定方法App违法违规收集使用个人信息自评
7、估指南、国标等相关规定,对网络平台收集个人信息提供5个平台合规指引标准:1.平台应当告知用户个人信息提供后存在的安全风险以及不提供的影响,建立个人信息主体询问、投诉、举报的渠道和机制。之所以告知安全风险,是为了用户在充分明知的基础上作出授权,既是平台获取公民个人信息的必要要求,也是平台一定程度上免除自身责任的保障。由于个人信息保护法规定了个人信息处理者不得因为个人不同意处理其个人信息为由拒绝为其提供产品或服务,所以网络平台应当告知用户其可以在不完全提供平台索要的个人信息的基础上提供服务,并且向其告知那些个人信息是平台提供核心服务所必要的,不提供无法为其正常提供服务,哪些个人信息是能够增加服务质
8、量的,不提供可能影响其正常使用平台功能。至于建立个人信息主体询问、投诉、举报的渠道和机制,则是为用户保隙其个人信息权益提供合理的救济途径,包括知情权、删除权等。上述措施一定程度上能够增加平台的信用,一旦出现侵犯公民个人信息权益的情况发生,平台可以以尽到合规义务为由减轻自身的责任。2 .用户协议首次运行设置明显提示,收集规则便于访问和阅读,强制阅读,不得采取默认勾选、下拉隐藏、多层嵌套的方式。该条措施既是为了进一步保障公民对平台处理其个人信息是明知且同意的,避免用户在未能有效阅读授权条款的情况下授权平台处理其个人信息,也是平台减少自身违规风险的重要措施。实践中,诸多个人信息处理者被违规的重要原因
9、之一就是用户在自身权益受损后指责平台未能尽到告知义务,声称自己没有授权过平台处理其个人信息。故平台可以通过上述方式,尤其是强制阅读的方式,在争议产生后有效证明自身尽到了告知义务,并且证明用户是在充分了解授权内容后作出授权平台处理其个人信息的决定。3 .明示收集个人信息的目的、方式和范围,一一列出,变化时通知并取得单独、二次同意。平台应保证信息同步提醒,简洁明确,申请权限时或申请之前,应明确逐条告知用户,申请和使用某权限的目的、方式和范围,并不得在未获得用户授权的前提下,将权限对应的数据对外提供。本条是个人信息保护法的明确规定。但实践中,平台往往忽略的是对外提供个人信息时未能有效获取用户的二次同
10、意,这既是平台合规意识欠缺导致的,也是出于商业效率的考量。故笔者在此处要强调的是,虽然二次同意必定有损于商业效率,但平台为保证自身的合规性,必须在对外提供个人信息时获得用户即时的二次授权。4 .经用户同意收集使用其个人信息,平台应保证用户明示同意、授权同意、在用户同意范围内、更改时需同意、用户可撤回同意、不得诱导用户同意。此处强调的是平台应当转变过去处理用户个人信息时的态度,不得将用户授权看作是开展服务的累赘或者处理其个人信息的“尚方宝剑”。平台应当在处理用户个人信息时反复确认和保证其一切处理行为均在用户许可和开展服务必要的范围内,认清自己的地位和服务身份,牢记其中风险,时刻审视自身的处理行为是否会对用户产生不利影响或是背离了用户授权的本意。5 .与现有业务功能无关因而用户不同意提供个人信息的情况下,平台非必要不得拒绝提供业务功能、不得超出业务实际功能需要、不得以业务功能无关的理由强制要求用户提供,平台申请权限时必须有明确、合理的业务功能和使用场景,不应申请与应用业务功能无关的其他权限。本条是为了强调平台处理用户个人信息应当遵寻“最小必要”原则,时刻提醒自己处理用户个人信息时,即便是取得用户授权,仍然存在极高的法律风险。这其中的风险不仅是用户可能对其提出异议,而且涉及到个人信息保护法对个人信息处理者做出的明确限制。
免费区 