8月20日,《个人信息保护法》由第十三届全国人民代表大会常务委员会第三十次会议通过,自2021年11月1日起施行。
纵观《个人信息保护法》近二十年的立法路程,互联网高速发展,大数据时代到来,伴随着高频、高速、高密度的数据交流传输,作为原材料的个人信息滥用问题相伴而至。
对个人信息保护的立法呼声越来越高,急需一部专门法律定分止争。《个人信息保护法》千呼万唤始出来。
南方财经全媒体集团合规科技研究院长期关注个人信息保护议题,持续跟踪报道立法进程、监管动态、公众呼声。借《个人信息保护法》落地之际,推出解读报告《个人信息保护法合规启示报告》。
该报告受中国社会科学院法学研究所副研究员、中国法学会网络与信息法学研究会副秘书长周辉指导。
数据可携带权为的是强化个人对于个人信息的控制权,促进数据自由流动,激发互联网领域的创新活力,破除大平台的数据垄断。
随着公众对个人信息保护的重视,个人数据逐渐流向安全高地,赋予个人的“可携带权”是否会让个人更倾向于大平台,使得促进竞争的愿景落空。
其次,对于中小企业而言,为落实“可携带权”,人员管理配置、数据接口等技术升级以及个人数据转出后带来的损失等,将增加合规成本,加重企业负担。这对企业来说只是短暂的阵痛,还是会在大浪淘沙中出局?
我们是否做好了数据可携落地的充分准备?这是法律出台后仍要面临的现实拷问。
《个人信息保护法》第四十五条规定,”个人请求将其个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径”,明确赋予了个人可携权。
中国人民大学法学院教授石佳友此前就曾呼吁立法明确个人信息可携带权,他告诉21世纪经济报道记者,赋予个人可携带权,可以强化信息主体对个人信息的利用和控制,承认信息本身的价值,促进信息流通与共享。
可携带权借鉴的是欧盟《通用数据保护条例》(GDPR)对数据可携带权的设立。彼时,欧盟创设这一制度,为的是实现个人信息的自决权,并通过用户发起的数据流动促进企业间相互竞争。
“数据的共享与流通对企业而言利益冲突太大了,但如果给个人赋权,增加可携带权,企业就无话可说了。”北京尚隐科技有限公司CEO张仁卓分析称。
不少专家认为,数据可携带权的引入,一定程度上可以使得数据在不同经营者之间的流动,促进经营者公平竞争,解决数据平台的数据垄断问题。
对外经济贸易大学数字经济与法律创新研究中心执行许可直言,欧盟可携带权的做法,非但没有促进竞争,反而让如脸书、谷歌等大型企业形成联盟,联盟内的企业数据格式统一,可互转移,但如果用户想将数据转至其他平台,则因无法兼容的接口而落空,最终加剧垄断。
浙江垦丁律师事务所合伙人李晋沅从另一个角度表达了担忧。他认为,现实中,数据安全保护的技术高低让作为数据主体的消费者“用脚投票”。
“在风险较大,且对接收数据企业的技术和安全保障能力缺乏认知的情况下,数据主体转移个人信息的意愿会被明显地抑制,可能更愿意将自己的个人信息储存在那些比较知名、自己相对信得过的大公司系统里,使得数据自由流通成为一种美好的幻想。”李晋沅告诉21世纪经济报道记者。
欧盟的数据可携带权“失利”,在许可看来,与其规定的可携带权的客体范围密不可分。
GDPR及欧盟制定的《数据可携带指南》规定了个人数据涵盖的范围。一部分是数据主体主动提供的数据,如填写的个人资料信息,姓名、性别、年龄、家庭住址等;另一部分则是数据控制者通过观测数据主体在使用某些服务而记录的个人数据,如某人的搜索历史记录、交通数据、位置数据以及可穿戴设备跟踪的心跳数据等。但不包括个人用户的精准画像、信用评级、人物影响力等通过对上述两种数据进行后续分析推断得到的衍生数据,也不包括匿名或不涉及数据主体的数据。
许可表示,欧盟将可携带权的客体定为机器可读的个人数据,就必然会面临各企业数据不兼容的阻碍。而该项权利的执行又非常克制,当个人行使数据的可携带权时,如果企业间原本的数据接口不兼容,GDPR并不会要求企业额外花费高额的成本,设立与第三方进行数据交换的渠道,则数据的转移并未成功实现。
《个人信息保护法》对于数据可携带权的规定还比较笼统。关于数据可携带权适用的数据范围尚不明确。并且,数据可携带权下传输的数据形式不明确。需要未来具体细化的标准规范出台。
华东政法大学教授、互联网法治研究院院长、数据法律研究中心主任高富平认为,个人“可携带”的只限于用户在登录注册APP时提供的信息,企业基于对个人的观察形成的信息并不能包括罗列在内。不能给消费者过多干预市场自然竞争的权利。”
许可也表示,在中国数据与信息两分法的背景下,若可携带权转移的是个人信息,能够满足各方的利益期待。该信息仅限于个人提供的、不包括企业后续加工处理的信息。
他解释称,一方面,可携带权可得到实质的落地,保证了个人对其信息的自决权;另一方面,对于企业而言,传输数据所要付出的合规成本远超过转移信息。前者需要设立新的接口,后者则只需落实个人信息的查询复制权。
但是,张仁卓认为,对数据可携带权的理解,要从数据流动和释放数据价值的角度来考虑。可携带权对打破数据领域的垄断以及数据孤岛局面极其重要。如果,过于限制个人信息的范围,那实践中的意义将大打折扣。
目前《个人信息法》可携带权内容写得较为原则,设置了“符合国家网信部门规定条件”的前提,后续有待网信部门出台实施细则。
对企业来讲,需对可携带权带来的影响研判,及时作出反应。比如,其带来的数据安全风险。
“数据携带权的规定使得个人数据的传输和转移变得十分频繁,为恶意攻击提供难得的机会,尤其是当多个服务提供商都可以访问用户的个人数据时,很难保证他们都在技术和用户认证方面做得完善。”李晋沅认为,当一些数据接收者的技术能力有限或对数据主体的认证力度不够时,黑客、数据黑产、数据灰产等恶意攻击者利用虚假身份盗取个人数据、以数据或注入错误代码的方式来进行违法犯罪活动的可能性显著提高。
许可建议,可携带权在不同行业、不同类型、不同场景下采取不同方案。比如应极为审慎对待金融信息,只能向在法律上明确规定、获得认证或达到标准的企业转移。
个人在未知情况下“用脚投票”给大企业的概率大,中小企业自身收集的个人信息很可能被转移到其他公司手里,用户忠诚度和信任度都难以确定,中小企业投身于数据的收集分析以及产品的创新意愿将降低。李晋沅建议,未来应该有更多的配套法律法规,以消解可携带权可能对社会创新和公平竞争带来的负面影响。
许可认为,为了防范个人信息在各大企业间转移而不对小企业开放,应严格地将可携带权的主要应用场景限制在大企业向小企业开放的场景中,大企业间不属于可携带权的对象。
石佳友则持乐观态度,认为可携带权给了个人筛选企业的权利,有利于数据流动与竞争,从而提高市场整体的信息安全保障水平。
一直以来,企业作为个人信息采集主体,在权利天平中占据绝对高地。《个人信息保护法》明确了在个人信息处理活动中个人的各项权利,包括知情权、决定权、限制权、拒绝权、查阅、复制权、可携权、更正、补充权、删除权。个人的权利地位得到很大的转变,一改企业强势、个人弱势的局面,企业处理个人信息的逻辑需进行调整,面临巨大的合规压力。
既然个人享有一系列个人信息权利,也意味着平台负有协同配合个人权利行使的义务。只要进行个人信息收集的企业都必须知道他们拥有哪些个人信息、存储在何处、如何处理这些信息,以及与谁共享这些信息等,并需要根据用户个人需求,灵活和准确地响应数据主体访问查询、同意、更正、删除、数据迁移等要求。
以简单的查询功能为例,用户看似简单的诉求,传导到企业端需要进行极为庞杂的运作。RSA大会2018年的沙盒创新冠军BigID最早只解决一个问题,对数据进行检索归类,指出信息是属于哪个实体,简单讲就是告诉企业用户收集的个人信息在哪里,目前该公司已估值10亿美元。
市场端也给出了佐证。国际隐私专家协会(IAPP)发布的《隐私技术购买及部署情况报告》展示了欧盟《通用数据保护条例》(GDPR)等法规生效后,哪些产品正在被使用,哪些隐私技术被纳入了购买预算。位居榜首的是数据映射和数据流,占24%。个人数据发现是计划购买中第二高的类别,占23%。可以看到,了解组织拥有什么数据、数据位于何处、数据如何流动以及数据与谁相关,是在企业中创建隐私合规框架并帮助组织遵守法规(如GDPR)的基础。
根据《福布斯》报告,GDPR让美国财富500强企业多花费了78亿美元合规成本,普华永道给出更明确的合规成本估计:68%的公司预计将花费100万到1000万美元。
《个人信息保护法》第二十三条要求:如果企业向第三方提供其处理的个人信息,应向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。
三审过程中,不少委员提到这一规定不利于数据流动。对于企业而言,向第三方转移个人信息必须通知个人并取得单独同意,法律的合规成本较高,操作层面实现难度大。
信息删除权是指个人一定条件下能够针对信息处理者提出删除某些个人数据的权利。信息删除权能加强保护个人隐私、防范风险,并且作为调整个人与信息处理者力量差异的砝码,消弭双方之间不平等。
《个人信息保护法》明确赋予了个人删除权利,扩大了个人行使删除权的情形。对信息处理者课以更严格的义务,信息处理者应当主动或者根据个人的请求删除,将相应个人信息的删除定位为经营者应当主动履行的义务。
北京尚隐科技有限公司CEO张仁卓告诉21世纪经济报道记者,《个人信息保护法》和《数据安全法》落地后,为响应法律,企业合规成本必然增加,部分业务需进行较大调整。人员、管理制度与流程构建,由此产生的效率下降、业务重构、管理系统的构建以及运维成本等,将成为企业无可回避的支出。
南财合规科技研究院合规建议:《个人信息保护法》落地后,企业需建立完善的删除实现机制。
目前信息处理者对响应个人删除权仍存在不足,删除权是企业支撑个人行权的难点之一。
在个人自行操作删除个人信息的情形下,企业应当阐明个人信息删除权的实现机制,展示具体示例来辅助个人操作。进一步完善隐私政策及呈现方式,对涉个人信息删除权的内容根据重要性对字体、格式、注释等作出调整,后台设置显著、明晰的流程指导、服务个人行使删除权。
完善风险评估。个人信息的删除涉及场景多,除了个人自身以外,可能涉及其他利益主体。企业需仔细研判其中的法律风险,设计合理的评估机制,在信息处理各流程中识别风险,积极响应。
个人申请删除个人信息后,企业数据处理的合法性基础不复存在。如删除难以实现,运营商是否继续存储全部或部分个人信息、是否匿名化处理继续存储的信息及其安全保障程度、彻底删除个人信息的期限和程序等,均需做出后续处置说明。
算法是数字平台处理海量个人数据、绘制个人画像、精准定价与个性化推送的“生产工具”,已经成为平台运行的核心动力。
北京科技大学文法学院副教授张凌寒撰文称,随着十余年平台经济的高速发展,算法自动化决策的滥用与伦理缺失的累积危害已经进入了显现期。
《个人信息保护法》从一审稿到成文,在不断强化对自动化决策的规制,回应了社会关切。
《个人信息保护法》要求“不得对个人在交易价格等交易条件上实行不合理的差别待遇”,或指向近年来备受关注的“大数据杀熟”。利用算法进行“不合理的差别待遇”被法律禁止,信息处理者义务增强。
此前,我国已从反垄断的制度框架下对歧视性定价问题进行了规范。《反垄断法》第十七条规定,禁止具有市场支配地位的经营者没有正当理由对条件相同的交易相对人在交易价格等交易条件上实行差别待遇。
《个人信息保护法》增加了“大数据杀熟”条款,进一步丰富了对歧视性定价问题的规制路径。中国信通院互联网法律研究中心高级研究员杨婕表示,按照《个人信息保护法》的规定,无论个人信息处理者是否具有市场支配地位,只要个人信息处理者利用个人信息进行自动化决策,对个人在交易价格等交易条件上实行不合理的差别待遇,就是法律所禁止的行为。
一审稿中要求“个人认为自动化决策对其权益造成重大影响的,有权要求个人信息处理者予以说明”。“个人认为”依赖于个人对算法的警惕与自主意识,不同人的认知差可能会导致该条款的约束性不足。此后二审稿删除“个人认为”这一表述,把责任主体转移到了信息处理者身上。
《个人信息保护法》还明确,在决策对个人权益造成重大影响时赋予个人主体拒绝权,“向个人提供便捷的拒绝方式”。不仅赋予个人主体拒绝权,并且需提供“便捷”的拒绝方式,对信息处理者有较强的制约。
《个人信息保护法》将平台算法治理时点前移,治理手段升级,相关义务增加,初步确立了算法问责制的基本框架。算法透明和算法公平,不仅是道德层面的要求,亦是法律义务。
目前,基于算法自动化推荐而提供个性化信息内容服务已然逐渐成为各类App“标配”,为了更多样化地满足各类用户的使用需求,追求定制化、独特性的移动互联网应用,必须依赖于“用户画像”等类似技术实现数据驱动与用户增长,培养流量黏性。
企业需进一步完善自己的隐私政策,告知个人信息的收集会被用于用户画像和个性化展示,并征得用户的同意,充分保障用户知情权。在正式进行自动化决策前,应当就自动化决策的透明和公平性做好充分说明。
随着用户自主控制权提升,《个人信息保护法》要求信息处理者需提供“便捷”的拒绝方式,这也意味着企业需优化相关设置,包括提供直观的关闭和退出选项、在用户选择退出后对相关个人信息进行删除、提供相应的投诉机制。
企业进行自动化决策,需遵循目的明确和最小化处理原则。2021年3月正式出台的《常见类型移动互联网应用程序必要个人信息范围规定》,个性化推荐所依赖的“设备信息、广告标识符”等并未作为必要个人信息类型予以规定,“最小化处理原则”是自动化决策的重要原则,企业应遵循该原则进行信息处理。
个人信息保护法第五十八条首次从法律层面明确提出加强超大型互联网平台个人信息保护义务的要求,强调个人信息治理要多方参与,增加独立第三方的制约,同时要有更高的透明度,以强化对超级平台的监督。
第五十二条的要求一定情况下同样适用于超大型互联网平台。处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。应当公开个人信息保护负责人的联系方式,并将其姓名、联系方式等上报。
在个人信息保护法二审稿时,“重要互联网平台服务”被表述为“基础性互联网平台服务”。当时,学界引入“守门人”概念,作为理解“基础性互联网平台服务”的参考。
21世纪经济报道此前报道,中国人民大学法学院教授张新宝曾表示,将“守门人”界定为“控制关键环节,有资源赋予其他个人信息处理者处理个人信息能力的互联网运营者”,主要包括应用程序的分发平台,比如苹果、谷歌、华为、腾讯、百度等;提供系统权限供APP调度的操作系统,比如苹果的iOS、谷歌、安卓、华为鸿蒙系统等;以及搭载小程序的大型APP,省略用户下载、安装、注册、卸载APP的过程,实现即点即用。
2021年8月,国务院公布《关键信息基础设施安全保护条例》,作为《网络安全法》的重要配套法规,对关键信息基础设施范围认定、运营者责任义务等规定。
由于关键信息基础设施,包括公共通信和信息服务等重要行业和领域的网络设施、信息系统,而大型互联网平台用户规模普遍在亿级以上,掌握海量个人信息和重要数据,一旦遭到破坏或者丧失功能、发生数据泄露,危害程度不亚于传统行业,有可能被纳入关键信息基础设施的范围。
当前,数据和流量成为网络市场竞争的关键要素,大型互联网平台及平台内普通经营者都可能通过滥用个人信息不当获利。从实践情况来看,平台实施的限制行为隐蔽性强,给监管执法增加了难度。
基于这些现状,相较个人信息保护法草案二审稿,个人信息保护法增加了大型互联网企业制定有关个人信息保护的平台规则时,应当遵循公开、公平、公正的原则对待平台内经营者。为进一步压实平台的主体责任,还增加了明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务。
成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督,是为了应对大型互联网平台拥有的海量数据,以及民众在使用产品和服务、维权过程中所面对的数据壁垒和业务不透明情况所设定的。
外部人员组成的独立机构,突出外部和独立,更能保证客观公正。北京师范大学网络法治国际中心执行主任吴沈括认为,将有助于提高企业在产品和服务的设计过程中对于各方利益诉求的事先考虑及平衡。对于消费者而言,外部监督的存在对用户权益的维护,尤其是在维权渠道的畅通性有更好助力。
如何保持外部机构的独立性,还待进一步明确。政府后续或颁布相应规定,对参与该独立机构外部成员的任职资格、义务规范和法律责任等作出要求。清华大学法学院副院长、教授程啸曾向21世纪经济报道记者表示,“独立机构”类似于上市公司设立独立董事。
个人信息保护社会责任报告,同样是法律层面首次明确提出的要求。通过定期发布报告对外披露信息,提高中立性和透明度,使平台及机构均接受更广泛的外部社会监督,避免个人信息在平台算法的“黑匣子”中仍存在被不当采集和不当利用的可能性。
与之相类似的企业探索,为部分企业如腾讯、蚂蚁金服、中兴、华为云等发布过的《隐私保护白皮书》。国外也有谷歌、苹果等科技公司发布《透明度报告》。
2020年《网络安全审查办法》通过后,“滴滴出行”APP2021年7月被启动网络安全审查应被下架,此后出台的《网络安全审查办法(修订草案征求意见稿)》将数据处理活动纳入网络安全审查范围。
尽管个人数据的取得、加工、分析已经成为互联网驱动企业获得竞争优势的关键,但作为超大型平台,其网络、数据安全已经涉及到了国家安全领域,将直接关系到业务发展乃至企业生存,不能忽视存在的网络安全隐患和管理漏洞而去片面重视追求经济效益,未来通过违规收集用户个人信息以此进行“大数据分析”“千人千面”等间接牟利行为不可取。
设置专门安全管理机构。重新审查企业内部治理结构、规章制度、人员管理等方面存在的问题,制定可行的合规管理规范,健全合规风险防范报告机制。超大型平台除须履行个人信息保护法的合规义务外,还应注意《关键信息基础设施安全保护条例》等法规项下的合规义务。对专门安全管理机构负责人和关键岗位人员进行安全背景审查,以此确立问责制度合规框架。实践中,曾有不少企业因未确定网络安全负责人而被工信部和公安机关处罚。
设置个人信息保护负责人如首席数据官、隐私官等专有岗位,建立公开的联系方式,并将其姓名、联系方式等上报监管部门。当前,已有头部企业搭建个人信息保护合规体系。中兴通讯已建立合规管理委员会并设置专职数据保护官,蚂蚁金服设立首席隐私官并成立隐私保护办公室,小米成立信息安全与隐私委员会统筹集团的信息安全与隐私保护工作。
定期发布个人信息保护社会责任报告,内容可以包括公司在个人信息保护顶层设计上的安全战略、合规体系、安全措施、处理安全事件情况等;在合规共建层面,可以聚焦客户、供应商、合作伙伴,同时提升用户参与度,如对用户的普法教育、用户权益主张的响应情况等;在社会实践助力层面,介绍相关安全研究应用、参与立法讨论、举办个人信息保护活动等。
超大型平台大部分可被纳入关键信息基础设施,其供应链曾被网信办重点关注。由于涉及网络产品和服务从无到有再到废弃的整个生命周期,不仅包含传统的生产、仓储、销售、交付等供应链环节,还延伸到产品的设计、开发、集成等生命周期,以及交付后的安装、运维等过程。特别是在供应链全球化和市场全球化的背景下,供应商和客户分布于世界不同的国家,企业还将注意落实国外相关法律法规的要求。
由于超大型平台控制个人信息处理的关键环节,为其他企业提供个人信息的处理通道、空间、技术等资源。应发挥资源优势,对平台内制定个人信息保护标准的准入规范,拒绝不达标的企业使用其服务,同时利用必要的技术手段进行监督,建立相关的投诉机制和投诉受理处置机制。在净化行业信息安全的同时,促进企业自身的良性发展。
个人信息保护法对处理敏感个人信息作出更严格限制,在定义、处理规则、事前影响评估、制定专门的个人信息保护规则、标准等方面进行规定。
人脸信息作为生物识别信息属于敏感个人信息,除敏感个人信息专节规制之外,第二十六条进一步强调在公共场所安装图像采集、个人身份识别设备的要求,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。只能用于维护公共安全的目的,取得个人单独同意的除外。
人脸识别正在迎来强监管时代。4月,信安标委就国家标准《信息安全技术人脸识别数据安全要求》征求意见;7月,最高人民法院发布《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,提出7种处理人脸信息构成侵害人格权益的情形,为相关民事案件的审判提供裁判指引。
人脸信息的采集目的、范围、场所、处理方式、个人同意原则等具体内容正逐步完善,对人脸信息控制者提出了明确且严格的要求。
国家对人脸信息的重视程度不仅从个人信息保护出发,还在于人脸信息属于数据信息,是优化公共服务的数据支撑,具有公共资源属性。保护人脸识别信息,一定程度上是保护网络安全以及国家整体安全。
近年来,医疗个人信息和隐私保护的法律规范,见于侵权责任法、精神卫生法、传染病防治法、网络安全法、《国家健康医疗大数据标准、安全和服务管理办法(试行)》《人口健康信息管理办法(试行)》《人类遗传资源管理条例》等法律法规中,特别对医疗健康信息的跨境传输进行更严格的规制。国家标准层面,2020年12月,信安标委发布《信息安全技术 健康医疗信息安全指南》,针对常见医疗健康应用场景提出安全措施建议。
对于医疗健康行业,在已有法律法规上,注重健康医疗企业的信息化建设,保障网络安全及数据保护,例如国家健康医疗主管部门制定明确的信息安全等级保护工作意见。立法趋势更关注互联网医疗的合规管理,以及与电子商务、广告营销、商保医保等不同渗透场景的规范化管理。
未成年人的个人信息保护一直是全球个人信息保护的重点之一。2019年10月出台的《儿童个人信息网络保护规定》,2020年10月二次修订后的未成年人保护法新增了“网络保护”章节和个人信息保护条款,凸显我国的高度重视。
个人信息保护法第三十一条将不满14周岁未成年人的个人信息作为敏感个人信息,要求个人信息处理者对此制定专门的个人信息处理规则。这一规定同样见于2021年7月出台的《深圳经济特区数据条例》及2020年10月施行的《信息安全技术个人信息安全规范》中。这也符合GDPR第三十八条中关于儿童因为不了解个人数据相关风险、后果、权利和保障措施,因而需要特殊保护的规定。
金融账户也作为敏感个人信息被明确严格保护,同时,个人信息保护法规定个人信息处理者违反本法规定处理个人信息、侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。考虑到金融领域个人处理具有高度的复杂性、专业性,且涉及主体众多,因此个人信息中涉及金融数据收集、存储、确权、使用、转让、处置、清算产生的纠纷,可由金融法院这类专门法院集中管辖。
当前,人脸信息受到多部法律法规及监管部门的规制,后续,国家层面也将出台针对人脸识别、人工智能等新技术、新应用而制定专门的个人信息保护规则、标准。企业需积极应对相关主管部门对人脸识别技术应用有关的规范出台情况,及时调整自身处理人脸识别信息的制度规范。
例如在小区物业的人脸识别上,杭州、四川等地方相继修订发布物业管理条例草案,拟将“不得强制业主通过指纹、人脸识别等生物信息方式使用共用设施设备”纳入条例。此类立法动向值得智慧安防、智慧社区业务的企业重点关注。
相较于地方性立法,最高人民法院2021年7月出台的《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》已经直接规定物业不得将人脸识别作为进出小区的唯一方式,需要特别关注。
浙江宁波20家房企被罚203万则释放监管讯号——即便设置了采集人脸信息的提示标识,但未经消费者同意仍不能免罚。
特别注意针对APP处理人脸信息时,需取得用户的单独同意。APP可能需要依据使用功能设置多个用户同意界面,在使用人脸信息页面由用户逐一勾选同意。这一规定将倒逼APP产品功能设计,合规管理海量用户的同意范围。如何精细化管理收集的信息,对企业也是较大挑战。
从多起人脸识别的案例来看,对企业在信息收集场景下的合规设计提出了更高的要求,强制索取及捆绑索权问题也需高度重视并完善改进。不得要求用户同意处理其人脸信息才提供产品或者服务,除非处理人脸信息属于提供产品或者服务所必需;不得以授权捆绑、强迫或变相强迫等方式要求用户同意处理其人脸信息。
当前,从医疗行业看来,不同法律法规界定差异显著,部分采取囊括式的界定方式,涵盖医疗行业经营过程中可能涉及的相关数据,如“健康医疗大数据”与“人口健康信息”,体现国家对医疗行业数据整体的监管态势。从信息安全监管出发,与个人信息、网络安全、信息安全等相关的法律法规中,医疗健康信息或数据同样保护严格。
开展医疗数据的商业合作中,涉及医疗健康信息的流转,应确认数据提供方收集、共享相关个人信息的合法合规性,或是否已进行充分的脱敏处理。企业利用患者个人信息进行人工智能算法训练时,同样应注意是否已获得充分的患者知情同意或已进行充分的脱敏处理。
企业应建立儿童或未成年个人信息专门的个人信息处理规则,设置专门的儿童个人信息保护负责人。明确应用主要面向儿童的年龄段以及所属的常规应用类别,并且发出准确声明。特别说明监护人应履行的监护职责,对征得监护人的同意后收集和使用儿童个人信息制定规范;在收集信息的评估风险阶段,必须考虑对儿童产生任何影响的可能性和严重程度;在信息存储时,将相应儿童个人信息分割独立存储。
由于年龄的特殊性,对于面向全年龄段用户的产品及服务建议设置儿童模式,在儿童身心健康发展及权益保障上有更多考量。
英国的《适龄设计法规》(Age Appropriate Design Code,AADC)提到限制使用“轻推技术”。“轻推技术”指刻意引导或鼓励用户在决策时遵循设计者首选路径而采用的策略,例如设计者希望获得用户授权的场合,其通常把同意授权的选项做得更为显眼。这可能导致儿童被鼓励允许平台获取比他们自愿提供更多的个人数据,或引导儿童在个性化隐私设置时选择较少的隐私增强选项。
如果应用中投放广告,必须对广告产品及服务、营销手段及呈现方式上进行重点评估,可以在儿童模式下提供一键关闭广告的选择。