個人信息采集與處理須合法合規

文|劉曉春 張澤鈺

隨著“互聯網+”和大數據產業模式的發展，無論線上還是線下的商品貿易、服務提供，都不可避免要采集和處理大量包含個人信息的數據，并成為精準營銷、商業決策、優化服務乃至促進機器深度學習的基礎性資源。隨著個人信息泄露事件在國內外接二連三地爆發，個人信息保護和合規的問題也成為企業重點關注的領域，不僅對互聯網企業極其重要，對傳統企業同樣敲響了警鐘。對于這一新興的領域，企業需要緊跟監管步伐，積極調動資源，建立并完善個人信息保護機制。

制定并完善隱私政策

個人信息保護合規的第一步，就是要制定對內和對外的符合法定要求的規則和政策，通常也被稱為“隱私政策”。整體來看，各大網絡服務提供商的隱私政策都包含以下內容：信息的收集與使用、信息的分享（跨境轉移、第三方共享、第三方廣告及網站）、用戶對信息的訪問與控制、技術與安全、未成年人或者兒童的特別條款。除此以外，一些涉及或可能涉及用戶敏感信息的網絡平臺或網絡服務經營商還對個人敏感信息進行了特別規定，包括對敏感信息進行定義并對敏感信息的收集、使用和管理進行單獨規定并特別強調。

個人敏感信息通常是指一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。對于個人信息、個人敏感信息的陳述和列舉，不必拘泥于具體內容和表達，而是要盡量貼合特定網絡服務的具體內容，包括網絡服務經營者主要涉及的產品或服務內容。例如，網絡交友平臺要尤其注意對客戶的擇偶標準、性取向等問題進行保護。

在制定政策框架及具體內容時，應當從用戶的視角切入，盡可能采取普通用戶可以明確理解的方式進行規定。國家網信辦、工信部、公安部等部委在對于典型的互聯網企業隱私政策進行抽查時，也特別強調了隱私政策的可讀性。

個人信息的收集與利用

首先，企業在制定個人信息政策時必須制定用戶個人信息收集、使用規則，并在其經營或者服務場所、網站等予以公布。其次，個人信息使用和收集的基本合法性基礎是個人同意機制，即對于用戶個人信息的收集和使用需要經用戶同意；應當明確告知用戶收集、使用信息的目的、方式和范圍；不得收集其提供服務所必需以外的用戶個人信息或者將信息用于提供服務之外的目的，不得以欺騙、誤導或者強迫等方式或者違反法律、行政法規以及雙方的約定收集、使用信息；用戶終止使用電信服務或者互聯網信息服務后，應當停止對用戶個人信息的收集和使用，并為用戶提供注銷號碼或者賬號的服務。

例如，騰訊隱私政策在提到“我們可能收集的信息時”進行了進一步分類之后再具體規定，共分為三類：您提供的信息、其他方分享的您的信息、我們獲取的您的信息（包括日志信息和位置信息）。新浪微博個人信息保護政策提到了一些會涉及到信息收集的具體情況，“在你注冊微博賬號時、在你使用微博提供的位置定位服務時、在你使用微博搜索服務時、在你使用微博提供的身份認證服務時、當你在微博中使用第三方提供的服務時等”以及最后，該政策提到，“基于對你信息的有效保護并且在你同意的基礎上，我們會對收集到的你的信息進行去標簽化處理，以保護你的信息安全。在此希望你了解并接受在不透露你個人信息的前提下，微博有權對你的信息進行分析并予以商業化的利用。”

綜上所述，建議企業在規定信息收集及使用的條款時，一定要明確提出個人同意機制的適用范圍及但書條款（即何種情況下不需要取得用戶的個人同意），明確告知用戶個人信息收集或使用的目的、方式和范圍，強調企業對信息的收集和使用都是基于服務的提供，而不會以提供服務以外的目的作出上述行為。關于具體內容的列舉及說明，建議結合特定產品或服務的具體操作流程，研究其可能涉及的個人信息的項目或環節，對此開展進一步規定。

個人信息的對外分享

個人信息對外分享的情形可能包括：用戶向第三方進行信息分享、個人信息的跨境流通、個人信息分享的其他情況。

第三方平臺分享是網絡平臺服務中最常遇到的情況之一，是指用戶從原平臺跳轉到其他平臺并在該平臺上分享相關信息的行為，通常情況下，平臺跳轉的同時會由第三方（也就是用戶將要跳轉到的平臺）收集用戶的部分基本個人信息或用戶信息（包括但不限于個人昵稱、個人頭像等項目）。針對此類問題的方案可以參照前文“個人信息的收集及使用”的內容進行制定。與此同時，也需要在“信息分享”一章中明確列舉此類信息分享的形式，提示并告知網絡服務用戶由此可能造成的風險及后果。

例如，騰訊隱私政策在“隱私政策的適用例外”一章中提到“該等第三方社交媒體或其他服務可能由相關的第三方或我們運營。您使用該等第三方的社交媒體服務或其他服務（包括您向該等第三方提供的任何個人信息），須受該第三方的服務條款及隱私政策（而非《通用服務條款》或本《隱私政策》）約束，您需要仔細閱讀其條款?！毙吕宋⒉﹤€人信息政策中規定：“當你在微博中使用第三方提供的服務時，微博視為你允許第三方收集你的訂單信息、支付信息等，如果你拒絕第三方在提供服務時收集此類信息，將可能會導致你無法在微博中使用第三方服務。”

但是，有些隱私政策的表述有可能試圖進行一攬子同意，比如“如我們或我們的關聯公司與任何上述第三方分享您的個人信息，我們將努力確保該等第三方在使用您的個人信息時遵守本《隱私政策》及我們要求其遵守的其他適當的保密和安全措施?！边@類條款盡管有助于提高效率，但是有可能面臨合法性的審查。根據現有法律框架及實務經驗，個人同意機制依舊是個人信息保護領域中最為重要的基礎之一。

關于個人信息的跨境流動，《網絡安全法》的相關條文針對重要數據強調了兩個問題，一方面網絡服務提供者在服務過程中收集的個人信息應當在境內儲存，另一方面，如果需要出境，則必須進行安全評估。目前，關于數據跨境流動尚未出臺具體政策。但是在向境外提供數據時依然應當注意合規的問題。

如果網絡產品或服務涉及或可能涉及個人數據出境的問題，則需要注意兩方面的內容：第一，對個人信息出境的可能情境進行列舉，并根據有關法律文件的規定充分說明有關情況，征得用戶同意。第二，強調會根據國家有關法律的規定，對個人信息及數據的安全進行安全評估，保障用戶個人信息的安全，此時可以選擇把安全評估的一些重點內容公布出來，既能更好地體現網絡服務提供商的專業態度，也更有可能讓用戶信任服務商的產品。

其他情形包括合并、收購、資產轉讓或類似的交易中的數據分享，以及廣告精準投放情況下的數據分享。在這些領域，依舊應當遵守個人信息收集及使用的最基本原則即個人同意，網絡服務提供者應當充分說明有關情況及后果，獲得用戶的同意。近期關于大數據“殺熟”的爭論，其核心并不在于實現價格歧視的算法本身是否正當，而是在于是否充分保障了消費者的知情權。

保障個人對其信息的訪問和控制權

《網絡安全法》第四十三條進一步明確了用戶控制個人信息的情境：“個人發現網絡運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的，有權要求網絡運營者刪除其個人信息；發現網絡運營者收集、存儲的其個人信息有錯誤的，有權要求網絡運營者予以更正。網絡運營者應當采取措施予以刪除或者更正。”這主要對用戶提出刪除或更正其個人信息的具體情況進行了列舉。

建議企業在制定個人信息政策時積極回應上述條款，明確用戶可以更正、刪除自己相關個人信息的具體情境，并可以與服務的具體內容相關聯。主管機關在執法抽查過程中也要求服務商提供“一站式”的操作方式，方便用戶在授權之后依然可以自主管理、刪除自己的個人信息。