网络法律评论(第17卷)
上QQ阅读APP看书,第一时间看更新

中心报告

互联网企业个人信息保护测评标准

中国科学技术法学会、北京大学互联网法律中心

内容摘要:在2014年3月15日即消费者权益保护日到来之际,中国科学技术法学会、北京大学互联网法律中心联合发布《互联网企业个人信息保护测评标准》。这是我国互联网领域首部由独立第三方学术机构倡议的个人信息保护测评行业标准,严格遵循了我国现行法律法规中规定的个人信息保护准则,是在充分考量消费者个人权益保障与互联网产业发展的基础上制定的。该《标准》以知情同意原则、合法必要原则、目的明确原则、个人控制原则、信息质量原则、安全责任原则为基本原则,制订了包括知情同意、收集、加工、使用、转移、个人控制、政策修改、安全责任、特殊领域的个人信息在内的指标体系。

关键词:个人信息 隐私权 互联网 测评标准

Review Standard of Personal Data Protection for Internet Companies

Abstract:CLAST and Institute for Internet Law, Peking University jointly issued the Review Standard of Personal Data Protection for Internet Companies on Consumer Protection Day, March 15th, 2014. It is the first industrial review standard of personal data protection that proposed by independent academic institutions. The Standard strictly complied with the personal data protection criteria in existing statutes and regulations. Requirement of consumers' personal rights protection and internet industry development condition have been fully considered during the formulation of the Standard. The fundamental principles of the Standard are informed consent principle, legal and necessary principle, objective definite principle, individuals controllable principle, information integrate principle, safety responsible principle. The standard system is formed by 9 norms which are norm of informed and consent, norm of information collection, norm of information process, norm of information use, norm of information transfer, norm of individuals' control, norm of policy change, norm of safety responsibility, and norm of personal data in special areas.

Key words:personal data; privacy rights; internet; review standard

一、宗旨

本标准的制定是为了贯彻《全国人民代表大会常务委员会关于加强网络信息保护的决定》《消费者权益保护法》《电信和互联网用户个人信息保护规定》《网络交易管理办法》等与个人信息保护相关的规范性法律文件,维护用户合法权益并规范互联网企业的个人信息处理行为,以实现产业良性发展中个人信息保护与利用的平衡。

测评标准通过对互联网企业义务的具体规定,致力于在现有规范性法律文件的基础上,建立有效的用户个人信息保护实践机制,一方面推动互联网企业构建合规的个人信息保护机制,另一方面实现用户在个人信息方面合法权益的保障。

二、依据

本标准依据《全国人民代表大会常务委员会关于加强网络信息保护的决定》《消费者权益保护法》《电信和互联网用户个人信息保护规定》《网络交易管理办法》,参照OECD《关于保护隐私和个人数据跨国流通的指导原则》、APEC《隐私保护纲领》《公共及商用系统个人信息保护指南》等国内外个人信息保护领域相关文件,结合我国互联网产业发展现状制定。

三、定义

标准所涉及的术语定义如下:

1. 互联网企业

互联网企业是指利用信息网络向用户提供技术服务或内容服务的过程中处理个人信息的组织实体。“信息网络”包括以计算机、电视机、固定电话机、移动电话机等电子设备为终端的计算机互联网、广播电视网、固定通信网、移动通信网等信息网络,以及向公众开放的局域网络。

2. 初始方、关联方、第三方

初始方是指在提供技术服务或内容服务过程中直接向用户收集个人信息的互联网企业。

关联方是指与特定初始方有控制关系,且其个人信息保护政策与初始方不存在实质性差异的互联网企业。“控制”是指有权以股权决定一个互联网企业的财务和经营政策,并能据以从该互联网企业的经营活动中获取利益。

第三方是指未直接向用户收集个人信息,但从初始方或关联方处获取个人信息的组织实体或自然人。

3. 用户

用户是指使用互联网企业提供的服务并可通过个人信息识别的自然人。本标准中所称的“未成年人”是指未满18周岁的限制民事能力人或无民事行为能力人。

4. 个人信息

个人信息是指能够切实可行地单独或通过与其他信息结合识别特定用户身份的信息或信息集合,如姓名、出生日期、身份证件号码、住址、电话号码、账号、密码等。

本标准不适用于经不可逆的匿名化或去身份化处理,使信息或信息集合无法合理识别特定用户身份的信息。

5. 处理

处理是指互联网企业对用户个人信息的收集、加工、使用、转移行为,其中:

收集是指获取并保存个人信息的行为。

加工是指将收集的个人信息进行自动化系统操作以满足使用、转移需要的行为。

使用是指利用个人信息提供技术服务或信息服务,依据个人信息作出决策,以及向公众公开或向特定群体披露个人信息的行为。

转移是指将个人信息传输给关联方或第三方的行为。

6. 同意、明示同意、默示同意

同意是指用户以其积极、肯定的意思表示,或以其自愿使用服务的行为,表达对互联网企业处理其个人信息的认可。其中:

明示同意是指用户以其积极、肯定的意思表示认可互联网企业处理其个人信息。

默示同意是指用户以其自愿使用服务的行为认可互联网企业处理其个人信息。

除经特别说明,本标准中的同意指默示同意。

7. 实质性修改

实质性修改是指互联网企业对其在个人信息保护政策中承诺的、与个人信息处理有关的用户权利或互联网企业义务的减少。

四、基本原则

1. 知情同意原则

除法律规定的情形外,互联网企业应充分告知用户有关个人信息处理的重要事项,并在告知的基础上获得用户的明示同意或默示同意。

2. 合法必要原则

互联网企业处理个人信息的方式应符合法律规定,并仅处理为实现正当商业目的和提供网络服务所必需的个人信息。

3. 目的明确原则

互联网企业处理个人信息应具有合法、正当、明确的目的,不得超出目的范围处理个人信息。

4. 个人控制原则

用户有权查询个人信息,有权对其个人信息进行修改、完善、补充。

5. 信息质量原则

互联网企业应为用户查询、更正其个人信息提供必要渠道,以保障个人信息的准确、完整、及时。

6. 安全责任原则

互联网企业应采取必要的管理措施和技术手段,保护个人信息安全,防止未经授权检索、公开、丢失、泄露、损毁和篡改个人信息。

五、指标体系

1. 知情同意

1.1 互联网企业在收集个人信息前应以个人信息保护政策如实告知用户个人信息处理相关事项,包括但不限于:

a)收集个人信息的目的、方式、范围;

b)加工、使用、转移个人信息的目的、方式、范围;

c)互联网企业的名称、地址、联系方式和用户投诉机制;

d)用户查询、修改个人信息的渠道;

e)用户拒绝提供个人信息可能出现的后果;

f)企业个人信息安全管理制度和个人信息安全保护措施。

1.2 互联网企业应在网站、软件或服务的适当位置公开其个人信息保护政策,并以适当方式提醒用户注意相关政策并告知不同意个人信息保护政策的可能后果。

在互联网企业履行其告知义务后,用户开始或持续使用技术服务或内容服务的行为视为同意互联网企业处理其个人信息。

2. 收集

2.1 互联网企业收集个人信息应有合法、正当、明确的目的,不得超出目的范围收集个人信息。

2.2 互联网企业应明确告知收集个人信息的手段,并确保相关手段合法、正当。

2.3 互联网企业应明确告知收集个人信息的种类,并仅收集为实现正当商业目的和提供网络服务所必需的个人信息。

2.4 除有以下特殊情况,互联网企业收集个人信息的行为超出告知的目的、方式、范围,应以合理形式告知用户并获得用户的明示同意:

a)法律法规特别规定,如维护公共安全、紧急避险等;

b)行政机关依据法律作出的强制行为;

c)司法机关依据法律作出的决定、裁定或判决。

3. 加工

3.1 互联网企业应在收集前告知的目的和范围内加工个人信息,并采取必要的措施和手段保障个人信息在加工过程中的安全。

3.2 除有以下特殊情况,互联网企业超出收集时所告知的目的和范围加工个人信息,应以合理形式告知用户并获得用户的明示同意:

a)法律法规特别规定,如维护公共安全、紧急避险等;

b)行政机关依据法律作出的强制行为;

c)司法机关依据法律作出的决定、裁定或判决。

4. 使用

4.1 互联网企业应在收集前告知的目的和范围内使用个人信息,并采取必要的措施和手段保障个人信息在使用过程中的安全。

4.2 除有以下特殊情况,互联网企业超出收集时所明确告知的目的和范围使用个人信息,应以合理形式告知用户并获得用户的明示同意:

a)法律法规特别规定,如维护公共安全、紧急避险等;

b)行政机关依据法律作出的强制行为;

c)司法机关依据法律作出的决定、裁定或判决。

5. 转移

5.1 互联网企业向关联方转移个人信息,应列举关联方具体情况并告知用户关联方处理个人信息的情况。

5.2 除有以下特殊情况,互联网企业向第三方转移个人信息,应告知用户并征得用户的明示同意:

a)法律法规特别规定,如维护公共安全、紧急避险等;

b)行政机关依据法律作出的强制行为;

c)司法机关依据法律作出的决定、裁定或判决。

6. 个人控制

6.1 互联网企业应为用户提供独立操作机制,实现用户对个人信息的控制。

6.2 互联网企业应为用户提供个人信息查询、修改的渠道。

6.3 互联网企业应为用户提供注销账号或号码的渠道。

7. 政策修改

7.1 互联网企业应根据规范性法律文件和企业实践及时更新其个人信息保护政策。

7.2 互联网企业实质性修改其个人信息保护政策,应以显著方式告知用户修改的内容,并告知用户不接受的后果及相应的解决机制。

7.3 互联网企业非实质性修改其个人信息保护政策,应以适当方式告知用户修改的内容。

8. 安全责任

8.1 互联网企业应建立个人信息管理责任制度,落实个人信息管理责任,加强个人信息安全管理,规范个人信息处理活动。

8.2 互联网企业应采取必要的技术措施和手段保护个人信息安全,包括但不限于:

a)建立完善的内部合规管理部门,设立并任命首席隐私官或相关管理人员;

b)采用法律强制或业界通行的技术手段对用户个人信息进行加密;

c)采取法律强制或业界通行的技术手段对用户个人信息进行匿名化或去身份化处理,并使处理后的信息不可逆及不能用于识别个人身份;

d)在提供服务过程中,以技术手段保证用户对他人未经授权实施的个人信息侵害行为采取防御行为。

9. 特殊领域的个人信息

9.1 互联网企业应规定未成年人个人信息处理的特殊措施,如仅在征得其监护人的明示同意前提下处理其个人信息,或一旦明知其为未成年人,在未征得监护人明示同意时停止处理其个人信息。

9.2 互联网企业处理用户精确地理位置信息,应对用户作出明确告知,并在第一次收集用户精确地理位置信息前,以合理方式对用户作出即时通知及征得用户的明示同意,并为用户提供终止处理其精准地理位置信息的选择机制。

精确地理位置信息是指通过用户所使用的设备获取的,用于及时识别或描述用户在某一特定时间点误差小于1公里的实际物理位置的信息。

六、实现机制

1. 机构测评

本测评标准的发布机构将组建测评机构,测评机构由相关领域的政产学研各界人士组成。

测评机构将以标准为依据主动对本标准适用范围内的互联网企业进行测评,测评对象为互联网企业设置的个人信息保护政策以及与个人信息保护相关的实践做法,包括服务或软件设置、典型步骤等。测评机构将以定期或不定期报告的方式发布测评结果。

测评机构将适时发布标准标识使用标准,符合标准的互联网企业可以在网站或服务的适当位置显示相关标识。

2. 企业参与

互联网企业可以以本标准为依据对其个人保护政策及实践做法进行比照,及时调整政策文本及实践做法。除主动调整外,互联网企业可委托测评机构对政策文本及实践做法进行测评,根据测评结果及时调整政策文本及实践做法。

3. 用户监督

互联网用户可以以本标准为依据对互联网企业的个人信息保护政策及实践做法进行测评。用户可通过测评机构适时推出的网站反馈测评结果。

七、附件

本测评标准基本规定的释义和制定依据将在附件中作出进一步解释和说明。

本标准以国家数字版权研究基地发布的版权自助协议(Self-Help Copyright License Agreement,SCLA)发布,许可条件为:

[仅保留署名权] 许可人仅保留表明作者身份、在作品上署名的权利。被许可人依照本协议规定取得演绎权许可的,必须在演绎作品上标明原作品的作者。许可人放弃对其作品享有的所有财产性权利。