上篇:标准应用 |GB/T 35273中“个人信息保护政策”相关条款技术解析(上)对App“个人信息保护政策”需包括哪些内容进行了解析和举例说明。在此基础上,本篇将依据《GB/T 35273》的b)-f),对App个人信息保护政策的发布、展示形式进行详细解读。
条款解析
|
5.5 个人信息保护政策 |
||
|
a) |
应制定个人信息保护政策,内容包括但不限于1)-8)条的要求; |
条款解析:App应制定个人信息保护政策,且个人信息保护政策应覆盖1)-8)条的内容。 |
|
b) |
个人信息保护政策所告知的信息应真实、准确、完整; |
条款解析:个人信息保护政策中声明的所有内容应真实、准确,与App实际情况相一致;且应保证内容完整,覆盖所要求的所有内容。 |
|
c) |
个人信息保护政策的内容应清晰易懂,符合通用的语言习惯,使用标准化的数字、图示等,避免使用有歧义的语言; |
条款解析:App在制定个人信息保护政策时,应该尽可能使用简洁、准确、易懂的语言,避免使用专业术语和有歧义的语言。 |
|
d) |
个人信息保护政策应公开发布且易于访问,例如,在网站主页、移动互联网应用程序安装页、附录C中的交互界面或设计等显著位置设置链接; |
条款解析: 1、App首次运行时应通过弹窗等明显方式提示用户阅读个人信息保护政策; 2、在登录/注册页面(若有),应提供个人信息保护政策的有效链接; 3、进入App主功能界面后,应可让用户在4次点击操作内访问到个人信息保护政策。 |
|
e) |
个人信息保护政策应逐一送达个人信息主体。当成本过高或有显著困难时,可以公告的形式发布; |
条款解析:当App不存在用户交互界面时,此种情况下,App运营者应在其官方网站公开发布个人信息保护政策。 |
|
f) |
在a)所载事项发生变化时,应及时更新个人信息保护政策并重新告知个人信息主体; |
条款解析:个人信息保护政策所载事项发生变化时,应及时更新个人信息保护政策,并将变更部分通过App弹窗、客户端内消息通知等方式通知用户,并重新取得用户的同意。 |
注1:组织会习惯性将个人信息保护政策命名为“隐私政策”或其他名称,其内容宜与个人信息保护政策内容保持一致。
合规思路
b)个人信息保护政策所告知的信息应真实、准确、完整
App运营者在制定个人信息保护政策时,不但内容上需覆盖5.5 a)的要求,还需保证个人信息保护政策中提供的信息及声明的规则均真实、准确。
至少满足以下要求:(1)App运营者的名称、联系方式真实有效;(2)App的业务功能以及各业务功能分别收集的个人信息类型与个人信息保护政策中所告知的一致;(3)共享、转让、公开披露个人信息的目的、涉及的个人信息类型、接收方身份等与个人信息保护政策中所告知的一致;(4)个人信息的存储期限、超期处理方式以及App具备的安全保护措施真实有效;(5)告知的用户权利和实现机制,如查询、更正、删除、注销账户、撤回授权同意、获取个人信息副本等的途径或方式真实有效。(6)对个人信息安全防护措施的告知真实、准确、完整。
c)个人信息保护政策的内容应清晰易懂,符合通用的语言习惯,使用标准化的数字、图示等,避免使用有歧义的语言
目前大多数App由于业务功能复杂、收集个人信息的场景较多,普遍存在个人信息保护政策冗长繁琐、专业术语较多的问题,导致用户难以快速理解个人信息被收集的用途和目的。为此,App运营者在制定个人信息保护政策时需注意以下几点:
●提供简体中文版的个人信息保护政策;
●字体大小合理,颜色清晰,段落排版易于阅读;
●语言通顺且易于理解,不得存在概念混淆、逻辑混乱、冗长繁琐等情况;
●不得存在错别字,造成理解上的歧义。
d)个人信息保护政策应公开发布且易于访问,例如,在网站主页、移动互联网应用程序安装页、附录C中的交互界面或设计等显著位置设置链接
个人信息保护政策应公开发布且易于访问,至少体现在以下三个场景:
●首次运行时,应通过弹窗等明显方式提示用户阅读个人信息保护政策等收集使用规则,并提供表示“拒绝/不同意”的选项;
●在登录/注册页面(若有),应提供个人信息保护政策的有效链接,可通过设置复选框控件等方式征求用户授权同意,用户需先勾选同意个人信息保护政策才可进行下一步(如注册、登录、获取验证码等)操作;
●在App内“设置”、“用户中心”、“关于我们”等固定路径展示个人信息保护政策链接。且用户在进入App主界面后,访问到个人信息保护政策的点击操作不能多于4次。
e)个人信息保护政策应逐一送达个人信息主体。当成本过高或有显著困难时,可以公告的形式发布
App需保证用户可在上述的3个场景中访问到个人信息保护政策。但如果存在成本过高或者有显著困难的情况,例如当App不存在用户交互界面时,App运营者应在其官方网站公开发布个人信息保护政策。
f)在a)所载事项发生变化时,应及时更新个人信息保护政策并重新告知个人信息主体
根据《GB/T 35273》和《个人信息保护法》等相关法律法规要求,个人信息保护政策中声明的事项发生变化时,App需及时更新个人信息保护政策内容,并向用户告知变更。App可采用如下处理方式:(1)个人信息保护政策中标注更新日期。当声明的事项发生变化时,及时更新个人信息保护政策,并更新日期;(2)通过App内的弹窗、推送、公告等明显方式,提示用户阅读更新后的个人信息保护政策;(3)向用户告知个人信息保护政策的更新内容,并就更新的内容重新取得用户的同意。
|
|
|
图:合规示例
结语
除本文解析的《GB/T 35273》外,还存在许多标准、法规对个人信息保护政策的具体内容及发布形式的合规作出要求,如:
网信办《App违法违规收集使用个人信息行为认定方法》(191号文)中规定了众多不合规行为的认定方法,如:未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等;
工信部《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》(164号文)中说明“违规收集个人信息”将重点整治APP、SDK未告知用户收集个人信息的目的、方式、范围且未经用户同意,私自收集用户个人信息的行为。
《个人信息保护法》中要求处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(一)个人信息处理者的名称或者姓名和联系方式;(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(三)个人行使本法规定权利的方式和程序;(四)法律、行政法规规定应当告知的其他事项。
GB/T 41391-2022《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》中要求:应向用户明示App基本业务功能、扩展业务功能和必要个人信息范围,并显著区分必要和非必要个人信息;因法律法规规定收集个人信息,应明示依据的法律法规具体规定;App若收集不满14周岁未成年人个人信息,应制定专门的个人信息处理规则;
《信息安全技术 互联网平台及产品服务隐私协议要求》(征求意见稿)中要求隐私协议应至少包括适用范围、摘要、收集使用个人信息规则、保障个人信息安全的规则、保障个人信息主体权利的规则、个人信息跨境流动的规则、隐私协议更新的规则等,并提供个人信息处理者的联系方式;
随着大家对App隐私合规的愈加重视,各标准、发文对个人信息收集使用规则的要求越来越细致,以至于个人信息保护政策文本越来越长,不易于用户阅读。对此现象,在近期的标准、发文中已存在相关要求,通过设立“核心内容”、“摘要”去解决此问题。如:
工业和信息化部关于开展信息通信服务感知提升行动的通知(292号文)中要求:优化隐私政策和权限调用展示方式。互联网企业应以简洁、清晰、易懂的方式,向用户提供APP产品隐私政策摘要。
GB/T 41391-2022《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》中要求:应采用显著方式(如弹窗、图文、动画等)向用户告知个人信息保护政策的核心内容(如所提供的基本业务功能、必要个人信息等),提示用户阅读个人信息保护政策,并取得用户明示同意;
《信息安全技术 互联网平台及产品服务隐私协议要求》(征求意见稿)中要求:隐私协议的摘要可以至于完整隐私协议开始的部分,或以单独文件展示,隐私协议的摘要通常包括:a)个人信息主体常用业务功能收集的个人信息种类;b)向第三方提供个人信息的主要场景;c)个人信息主体行使权利的主要途径;d)个人信息主体投诉举报的主要渠道;e)其他需要个人信息主体关注的事项。
作为App个人信息收集使用规则的“展示窗口”,个人信息保护政策已然成为满足监管要求的必备要件。App运营者应对个人信息保护政策给予足够重视,建立完善的个人信息安全管理体系,明确参与编制的责任部门或责任人,以及人员职责分工,为体系建设和个人信息保护政策编制提供足够的资源保障,做到定期审查、及时更新。“千里之行,始于足下”,App隐私合规也非一日之功,广大App运营者还是要尽早行动起来。
(本文作者:北京梆梆安全科技有限公司 杨桃、吴飏)
扩展阅读:
上篇:标准应用 |GB/T 35273中“个人信息保护政策”相关条款技术解析(上)
原文始发于微信公众号(CCIA数据安全工作委员会):标准应用 |GB/T 35273中“个人信息保护政策”相关条款技术解析(下)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论