最优秀的中国互联网法律律师事务所之一

对用户知情同意规则的中国式探索——兼论国标《个人信息安全规范》

严少敏   2018-02-01 17:23

编者按:

随着国家标准《个人信息安全规范》(GB/T 35273-2017)的正式发布【国家标准《个人信息安全规范》全文】,社会各界对该标准的关注在逐渐升温。本公号将陆续邀请一些参与到该标准制定,或者在其工作中实际运用过该标准的朋友撰写文章,请他们和大家分享对该标准的看法。
本文作者是京东法律研究院秘书长严少敏女士,她直接参加了网信办等四部门指导开展的首批十家企业隐私条款专项行动【注:对于四部门开展的隐私条款专项工作,请见本公号文章隐私条款的多角色平衡和创新】,并将《个人信息安全规范》的要求落实在京东商城APP上。以下是她对规范标准和京东实践的思考。


核心功能 or 附加功能?

——用户知情同意规则的中国式探索兼论国标《个人信息安全规范》

 

京东法律研究院 严少敏
 
安全与效率的平衡是规则制定者追求的最高境界。大数据时代个人信息的收集、使用和流转的多元性和复杂性,使用户对其个人信息其面临着“失控”的威胁,传统的用户知情同意架构(notice-and-consent framework)受到挑战。如何防止个人信息保护规则的复杂性阻碍数据流转和创新,又能切实有效的提高隐私保护的效率,是个人信息保护规则制定者须亟待解决的问题。
 

2017年12月29日发布,将于2018年5月1日起施行的国家标准GB/T 35273-2017 《信息安全技术 个人信息安全规范》(以下称“《个人信息安全规范》”)在用户知情同意规则方面给出了较系统的解答。本文仅从网络产品与服务的核心功能与附加功能的维度,介绍该标准在上述问题上的探索。
用户知情同意的困境
《网络安全法》第41条关于用户知情同意的规则要求网络运营者收集、使用个人信息,应当遵循“合法、正当、必要原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”但对于 “正当、必要”的界定和用户知情同意的具体方式未做具体要求。

对于网络运营者来说,让用户注册时在线签订隐私政策文本是获取用户知情同意方式中投入最小的,最高效的方式。这种方式看上去既公开,又能够一次性获得用户授权,至多会人质疑是格式条款,却难说违反《网络安全法》规定。但这种一次性获得概括性授权的“一揽子协议”导致用户不接受产品或服务的隐私政策时,则完全无法使用该产品或服务,进而造成用户习惯性的忽略隐私政策的具体内容,使用户个人信息保护权利形同虚设。随着公众个人私权和自由意识的不断提高,这种 “一揽子协议”往往会被视为“绑架用户”,给企业造成不良的公众影响。

与之相对应的理想状态是“Privacy by Design”。网络运营者收集和使用个人信息应在各个环节向个人信息主体逐一明示收集、使用信息的目的、方式和范围,经被收集者同意后方可收集和使用,并均须取得个人信息主体的明示同意,且用户同意与否并不影响其在不提供个人信息时仍能使用的网络产品或服务的功能。然而,个人信息种类的多样性和数据利用方式的复杂性使针对每个用户个体提供定制化的产品和服务暂时还是“乌托邦”式的理想。
中国的务实探索
针对用户知情同意的困境,《个人信息安全规范》给出的创新性解决方案是,根据个人信息收集和使用的必要性不同,将网络产品与服务的功能分为核心业务功能和附加业务功能。

鉴于附加功能的非必要性,为满足网络产品与服务的附加功能收集和使用的个人信息的知情同意规则,相对于核心功能要更加严格。该标准第5.5条规定:“通过主动提供或自动采集方式收集个人敏感信息前,应1)向个人信息主体告知所提供产品或服务的核心业务功能及所必需收集的个人敏感信息,并明确告知拒绝提供或拒绝同意将带来的影响。应允许个人信息主体选择是否提供或同意自动采集; 2) 产品或服务如提供其他附加功能,需要收集个人敏感信息时,收集前应向个人信息主体逐一说明个人敏感信息为完成何种附加功能所必需,并允许个人信息主体逐项选择是否提供或同意自动采集个人敏感信息。当个人信息主体拒绝时,可不提供相应的附加功能,但不应以此为理由停止提供核心业务功能,并应保障相应的服务质量。”

也就是说,只有用户主动使用产品或服务的附加功能,且使用该功能须收集和使用用户个人信息时,才会触发“Privacy by Design”的开关。

网络运营者仍然可在用户首次使用或注册时与用户签订统一的《隐私政策》,完成用户使用的是产品或服务的核心功能时收集和使用个人敏感信息的授权。当然前提是隐私政策文本中约定了合理的产品或服务的核心功能和附加功能。应当说明的是,为完整、清晰、详细地展示产品和服务关于个人信息处理行为的全貌,隐私政策文本需要同时囊括核心功能和附加功能收集、使用个人信息的规则,用户点击同意其实并不意味着一揽子对核心功能、附加功能提供了一次性的授权同意。相反,附加功能的使用还需要用户主动触发,例如主动点击同意,或主动填写相关的个人信息。所以,不宜将此情形中产品和服务要求点击同意隐私政策视为“绑架用户”。毕竟附加功能的开启及所需要的个人信息,用户在实际使用中还是能够行使选择权的。

针对什么功能是核心功能,什么功能是附加功能这一问题,普遍认可的理解是核心功能是满足用户注册产品或服务的基本需求的功能,而除此之外,为提升用户体验而设计的功能则是附加功能。但到底应当如何界定用户的基本需求和与提升用户体验的需求呢?针对不同的产品和服务需要有不同的定义,而且随着新技术和商业模式的发展,产品和服务的核心功能与附加功能也在不断变化。笔者认为,须按照行业通行惯例和普通公众对某项功能收集个人信息的方式和用途的接受程度来确定该功能是否是核心功能。

以B2C电商为例,其核心功能简单的说是实现网上购物所必须的功能,包括用户注册、商品信息展示下单、支付、交付产品或服务功能、客服与售后功能以及保障交易安全所必须的功能等。需要稍加探讨的是搜索和个性化推荐功能是否属于B2C电商的核心功能?这两个功能看似与线上购物没有必然联系。但与传统线下店铺不同的是,线上B2C商城拥有海量的店铺和商品信息,搜索功能可以缩小用户可能需要的商品的范围,但除非是精确搜索某个商品或某个店铺,搜索答案下的商品清单仍然非常冗长,用户挑选商品仍然不方便。个性化推荐可以帮助用户在大量的商品信息中更便捷地发现自己可能更感兴趣的商品。同时个性化推荐功能在新零售模式下最重要的功能是满足了用户“逛”的需求,因为不是所有人在逛商场前都有明确的购物目的,因此搜索和个性化推荐的功能已基本成为各大B2C电商的标配功能;从用户的反馈看,只要电商仅是自己收集,并仅是电商自己使用用户浏览信息、购物记录等个人信息用于搜索和个性化推荐功能,普通用户是可以接受的。因此,搜索和个性化推荐功能也应当被认定为B2C电商的核心功能。

确定核心功能后,B2C电商的附加功能就好理解了,那些仅是为了使用户购物更便捷或更有乐趣的功能则是附加功能。如基于摄像头(相机)的附加功能,用户不开启摄像头或者不上传照片并不影响用户购物;如基于通讯录信息的附加功能,收集用户的通讯录信息以方便用户在购物时不再手动输入通讯录中联系人的信息(比如用户可以直接为通讯录中的电话号码充值),但用户不开启此功能,仍然可以输入手机号码给手机充值。
“核心功能与附加功能”的中国式实践
按照《个人信息安全规范》,区分核心功能与附加功能的方式,有效获得用户知情同意的操作如下:

一、在隐私政策文本中分别明确告知用户,产品或服务的所有核心功能与附加功能,及其收集个人信息的内容及目的和用途。(参见《京东隐私政策》第一条(一))

二、在隐私政策文本中明确告知用户拒绝提供或拒绝同意将带来的影响。拒绝核心功能收集和使用个人信息的影响可以是无法注册成为网络或产品的用户,并无法享受所有服务;拒绝附加功能收集和使用个人信息,则不会影响用户正常使用产品或服务的核心功能。(参见《京东隐私政策》第一条(二))

三、在用户首次使用或开启附加功能时,在APP内使用“增强式告知”的方式向再次用户告知附加功能相关的隐私条款。增强式告知是指注册账号、安装程序、首次使用时向用户展示的关于个人信息的提示(非隐私政策文本)且在“增强式告知”过程中,允许用户根据不同附加业务功能选择同意相应的个人信息(或个人敏感信息)是否允许被收集。(参见下图)

四、针对产品的附加功能,在产品或服务的功能面板中,允许用户可在线即时撤回对个人信息(或个人敏感信息)处理的同意或关闭收集个人信息的权限。(参见下图)