(本文授权威科先行法律信息库独家在线发布)
《网络安全法》出台实施后,引起了社会各界的广泛关注。特别是在2017年7月26日,中央网信办、工信部、公安部、国家标准委等四部门联合召开“个人信息保护提升行动”启动暨专家工作组成立会议,启动隐私条款专项工作。此次专项工作中,四部门针对包括淘宝、支付宝、高德地图、滴滴、航旅纵横等在内的十款网络产品和服务的隐私条款进行了评审,并于2017年9月24日公布了评审结果。
值得注意的是,上述十款网络产品和服务的隐私条款均在评审期间发生了较大的修订和变化。本文正是笔者在阅读分析了前述十款网络产品和服务的隐私条款之后,尤其是结合部分隐私条款修订前后的对比,总结的关于隐私条款起草的若干建议和思考,供其他提供网络产品和服务的企业参考。
一、隐私条款应当包括的内容
1. 起草隐私条款主要应当参照的法律依据、指南、标准等规范性文件或指导性文件包括:
a)《网络安全法》
b)《电信和互联网用户个人信息保护规定》
c)《消费者权益保护法》
d)《网络交易管理办法》
e)《网络交易平台合同格式条款规范指引》
f)《信息安全技术 公共及商用服务信息系统个人信息保护指南》
g)《信息安全技术 移动智能终端个人信息保护技术要求》(即将实施)
h)《电信和互联网服务用户个人信息保护定义及分类》
i)《电信和互联网服务用户个人信息保护分级指南》
j)《电信和互联网服务用户个人信息保护技术要求 移动应用商店》
k)《电信和互联网服务用户个人信息保护技术要求 电子商务服务》等等
此外,由中国科学技术法学会、北京大学互联网法律中心联合制定的《互联网企业个人信息保护测评标准》亦值得关注。
2. 隐私条款的主要框架。我们建议隐私条款应当含有以下内容:
a) 隐私条款的“注册/继续使用即接受”的声明。但需要注意的是,该声明并不能完全免除由于格式条款问题以及未经用户明示同意(“明示同意”通常指以弹窗形式的告知及要求用户确认同意方可继续使用服务的选项设置)而带来的法律风险。关于格式条款问题和明示同意问题,我们在后文中还会述及。
b) 隐私条款中的各概念定义。为确保隐私条款能够得到准确的理解和使用,我们建议对隐私条款中出现的重要概念进行释明。例如“个人信息”、“个人敏感信息”、“隐私条款的重大变更”等等。此外,在定义释明中,应当结合产品或服务的特点、流程来进行,切忌直接照搬其他产品、服务隐私条款中的定义。比如,电子商务平台对于“个人敏感信息”的定义与旅游OTA平台对于“个人敏感信息”的定义肯定存在很大差异。
c) 关于个人信息的收集。该部分内容应重点结合产品或者服务的流程,分别说明在各个环节(例如注册、浏览商品、下单购买等等)中,有哪些用户个人信息将被收集,收集的方式是什么?(用户填写?系统自动收集?是否持续收集等等)收集的目的是什么?(法律要求?产品或服务的本身需要?改进产品或服务的需要?了解客户潜在需求,提供进一步增值服务需要等等)
d) 关于个人信息的加工、使用。该部分内容应重点结合产品或者服务本身,说明关于收集的前述个人信息,其加工、使用的方式、范围、目的。目前大多数网络产品、服务的隐私条款中,没有将个人信息的收集规则和加工、使用规则分开表述,我们认为是不妥的。因为,虽然收集个人信息和加工、使用个人信息在目的上可能是一致的,但是在范围和方式上存在区别。
e) 关于Cookie或同类技术的使用。Cookie或同类技术能够大幅提高网络产品和服务的用户体验,也是提供部分产品或服务的必要前提。但是在非个人终端上或不安全网络中使用带有Cookie或同类技术的网络产品或服务,也是个人信息面临重大风险的主要肇因。因此,我们建议在隐私条款起草时,专门对于Cookie或同类技术的具体使用方法和原则,结合产品和服务进行说明,同时告知用户可以通过清除Cookie等信息以及由此可能带来的后果(例如造成部分服务无法正常使用)。
f) 关于个人信息的共享、转让和公开披露。从一般原则来说,产品或服务提供方收集的个人信息不得共享、转让和随意披露,因此本条实际是相对于一般原则的例外和豁免。如何对于本条进行全面而又谦抑的阐述和规定,对于产品或服务提供方而言意义重大。如果在隐私条款这一部分的内容中,明显免除了产品或服务提供方的责任、义务,或者加重了用户的义务、成本,又或排除用户主要权利,且不能证明以合理方式提请用户注意,将导致该部分内容的无效(展开分析可以参见本文第三点)。
g) 关于个人信息的保存。我们建议在本条中说明个人信息保存的期限、地域、是否以及在何种情形下会发生跨境传输。
h) 关于个人信息的保护。我们建议在本条中详述产品或服务提供方针对个人信息保护所建立的各项制度规则、所采用的技术和方法、发生安全事件时的应急处理机制、针对用户的重要安全提示等内容。
i) 关于特殊人群的个人信息处理。针对用户中的特殊人群,例如未成年人,我们建议专门列明和突出在其个人信息收集、使用和保护措施上的特殊性和更高要求。
j) 用户对其个人信息的管理。我们建议在本条中,结合产品或服务的具体情况,对用户如何在具体环节中以及从后台整体上管理自己的个人信息进行详细的操作说明,包括查询访问、更正、撤回授权或同意、变更授权或同意的范围、删除、注销账户、改变系统自动决策等隐私功能设置的具体方法和操作路径。同时对于用户无法通过自行操作完成或者需要先核实个人身份真实性的个人信息管理,应当列明备用通道(类似于自助服务与人工服务的关系)和使用备用通道的注意事项(包括联系方式、回复周期、对不合理的反复使用备用通道的可能收费提示等,但需要注意的是,收费提示有构成无效格式条款的风险)。
k) 关于隐私条款的更新与修订。我们将在本文的第四点中对此进行展开说明。
l) 联系方式。我们建议在隐私条款中,应当留下实际有效的联络方式,用以接受用户针对隐私条款的反馈、投诉或举报。在《电信和互联网用户个人信息保护规定》中,其第十二条也明确规定:“电信业务经营者、互联网信息服务提供者应当建立用户投诉处理机制,公布有效的联系方式,接受与用户个人信息保护有关的投诉,并自接到投诉之日起十五日内答复投诉人。”
m) 产品或服务提供方认为必要的其他内容。
总而言之,不同的网络产品和服务都有自己的差异性和特点,我们不建议企业简单照搬其他成熟企业的隐私条款,而是应当通过仔细分析自身产品或服务的特点,结合自身的业务流程、产品或服务的使用步骤来起草符合自身需求和用户需求的隐私条款。
二、隐私条款应当区分公司整体隐私条款和具体产品或服务的隐私条款
对于大型互联网企业,其旗下可能存在多个网络产品或服务。我们建议,在起草隐私条款时,应当分别起草公司整体的隐私条款和具体产品或服务的隐私条款。同时在具体产品或服务的隐私条款中,建议明确本条款与公司整体隐私条款的关系和冲突适用规则。按照“特别法优先于一般法”的普遍原则,通常具体产品或服务的隐私条款应当优先于公司整体隐私条款。
但是对于无法归入到某一具体产品或者服务的用户个人信息,例如基于门户网站注册和浏览所产生的用户个人信息,或者基于尚未制定专门隐私条款的新产品、新服务所产生的用户个人信息,公司整体的隐私条款可以进行兜底适用。
三、如何看待隐私条款中的格式条款问题
隐私条款和网络中的用户注册协议一样,都是由产品或服务提供方单方面制定的格式条款。根据合同法第三十九条和第四十条的相关规定,隐私条款中如果出现免除产品或服务提供方责任、加重用户责任、排除用户主要权利的内容,且未采取合理的方式提请用户注意免除或者限制其责任的,该部分内容将被认定为无效。那么,采用标红、加粗、加下划线提示等方式来进行显著突出,能否被认定为以合理方式提请用户注意呢?
从目前的司法实践来看,大量被法院认定为无效的网络格式条款都是网络购物中的管辖条款,原因是该管辖条款明显增加了用户的起诉成本(此类管辖格式条款均指定平台所在地或者卖方所在地为争议管辖地)。即使格式条款的制作者对于管辖条款采取了标红、加粗、加下划线提示等显著突出方式,但是在部分地区法院的管辖裁定中,依然认为“管辖条款夹在大量繁琐资讯中,使用户难以注意到该格式条款的具体内容,故不能认定网络产品或服务的提供方已经采取了合理方式提请用户注意”。因此,如果参照上述法院的裁判观点,隐私条款中即使采用标红、加粗、加下划线提示等方式,对免除产品或服务提供方责任、加重用户责任、排除用户主要权利的内容进行显著突出,也仍有很大可能被认定为无效的格式条款。
因此,我们建议,一方面要尽量避免在隐私条款中出现免除产品或服务提供方责任、加重用户责任、排除用户主要权利的内容,回避使用“免责”、“不承担责任”等敏感字眼;另一方面,对于确实有可能免除产品或服务提供方责任、加重用户责任、排除用户主要权利的内容,应当采用不止于标红、加粗、加下划线提示的简单提示方式,而是利用技术手段设计出既不过分影响用户体验,又可以证明用户确实阅读和同意了上述内容的方式。例如,银行目前对于此类格式条款采取的抄写、阅读并录音录像等方式是为法院所认可的提示方式。互联网企业可以在其提供的网络产品和服务中对此进行借鉴,充分发挥其创新创造能力来解决此技术问题。
四、隐私条款需要进行修订时的处理方式
在使用网络产品或服务的过程中,用户对隐私条款点击“同意”的行为本质上就是和网络产品或服务提供方签署电子合同的过程。因此,如果一方要修改合同,就必须征得对方同意,并且双方须就修改后的内容重新达成一致方可生效。
目前,大多数网络产品或服务提供方的做法是在条款中规定,网络产品或服务提供方有权对隐私条款进行随时调整、修改和更新,且用户同意适用修订后的条款。这样的修订权条款也是网络环境下十分常见的条款安排。
但是,网络环境下隐私条款的变动也很容易引发争议,用户会以没有明确告知、提示用户相关条款内容,未征得用户同意为由,起诉网络产品或服务提供方侵犯用户知情权、选择权,主张条款无效。因此,如何用恰当的方式尽到告知义务,并且征得用户同意就成为网络产品或服务提供方合法行使修订权,并且确保不时更新的条款能够有效适用的关键。
我们认为,在就隐私条款进行修订,尤其是做出实质性修改时,应当遵循《网络安全法》、《电信和互联网用户个人信息保护规定》等相关法律和《信息安全技术公共及商用服务信息系统个人信息保护指南》、《互联网企业个人信息保护测评标准》等指导性文件所确立的“知情同意原则”。“知情同意原则”具体来说包括:
1. 网络产品或服务提供方的明示告知义务
《互联网企业个人信息保护测评标准》第7条规定,互联网企业应根据规范性法律文件和企业实践及时更新其个人信息保护政策。互联网企业实质性(是指互联网企业对其在个人信息保护政策中承诺的、与个人信息处理有关的用户权利或互联网企业义务的减少)修改其个人信息保护政策,应以显著方式告知用户修改的内容,并告知用户不接受的后果及相应的解决机制。互联网企业非实质性修改其个人信息保护政策,应以适当方式告知用户修改的内容。该标准针对修改内容不同,规定了不同的告知标准和方式。
但是,国家相关法律法规并没有规定或区分告知修改的方式,只是要求网络产品或服务提供方应当以明确、易懂和适宜的方式向用户告知隐私条款中的内容。实践中的做法一般是在网站显著位置公布、弹窗提示、发送电子邮件等方式。我们认为,判断告知是否合理、恰当、明确的标准是相对的,在发生纠纷时法院也有较大的裁量权,网络产品或服务提供方须证明尽到了合理的告知义务。
从我们查找的案例来看,法院在认定网络产品或服务提供方的合理告知义务时往往会综合考量多方面因素,例如提示内容的字体大小、在网页中的位置、甚至网页整体设计风格是否使得相关内容易于辨识并足以起到提醒用户的作用,或者相关内容的展现过程、方式是否给予了用户充分的选择权等。但司法实践中对于网络产品或服务提供方如何才算尽到合理的告知义务依然存在较大争议和不确定性,即使对于同类型案件,由于网络产品服务设计不同,法院的认定结果也可能完全相反。因此,在隐私条款修订的告知环节设计上,企业应当更为审慎。
2. 用户个人同意原则
除了就修改隐私条款事项对用户进行公示告知之外,知情同意原则的另一个内容就是修订隐私条款应当取得用户同意。而针对隐私条款变动,用户同意可以进一步分为明示同意和默示同意两种不同的知情同意模式。其中,明示同意是指用户以其积极、肯定的意思表示认可互联网企业处理个人信息的行为,例如用户必须点击同意修改后条款才能继续使用产品服务就是典型的明示同意。默示同意是指用户在被告知的基础上,以其自愿继续使用服务的行为认可互联网企业处理其个人信息,上述修订权条款的安排就是常见的默示同意。
默示同意在大多数网络协议的场景中是足够的,但依据国家标准化指导性技术文件等的要求,以下几种情形应当征得用户明示同意:
a) 根据《信息安全技术公共及商用服务信息系统个人信息保护指南》,收集个人敏感信息,要征得个人主体明示同意。敏感信息是指一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息。各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。例如个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。
b) 根据《互联网企业个人信息保护测评标准》,收集、加工、使用、转移等处理个人信息的行为超出告知的目的、方式、范围,应以合理形式告知用户并获得用户的明示同意,但以下情形除外(1)法律法规特别规定,如维护公共安全、紧急避险等;(2)基于学术研究或社会公共利益目的;(3)行政机关依据法律作出的强制行为;(4)司法机关依据法律作出的决定、裁定或判决。
c) 根据《互联网企业个人信息保护测评标准》,处理未成年人个人信息时,应征得其监护人的明示同意,或一旦明知其为未成年人,在未征得监护人明示同意时停止处理其个人信息。
d) 根据《信息安全技术移动智能终端个人信息保护技术要求》,收集涉及个人敏感信息和身份特征的个人信息数据时应采用明示同意的告知许可方式。与前述第a)种情形相比,移动智能终端的个人信息保护要求中增加了“身份特征信息”。
上述文件虽然并不是具有强制效力的法律文件,但在企业规范个人信息保护,制定个人信息保护相关政策时具有重要的指导作用,司法实践中法院也可能会参考该等标准化技术文件来判断网络产品或服务提供方是否尽到相关义务。
因此,我们建议,网络产品或服务提供方在修订隐私条款时,应以发送邮件、网站公告、APP内通知等合理方式公布修改后的条款内容,而一旦涉及个人敏感信息、身份特征信息、未成年人个人信息处理等重要条款变动,或者隐私条款发生其他重大变更的,还应以弹窗等显著方式向用户提示,并且要求用户点击同意后方可继续使用。此外,为方便用户了解对比修订前后的隐私条款,我们建议网络产品或服务提供方同时提供修订前的隐私条款版本,甚至提供修订对照表以方便用户阅读。
结语
隐私条款起草对于网络产品或服务的提供方而言,是一项意义重大的工作。可以预见,中国政府对个人信息保护的力度将不断加强,重大个人信息安全事件对一家企业来说可谓生死攸关。因此我们建议,网络产品或服务提供方应当从隐私条款的制作开始,全面建立企业的个人信息保护安全体系。
