《网数条例》下隐私政策的撰写要求——国标GB/T44588-2024之问答式解读
2024-12-18
2024年9月29日,国家市场监督管理总局和国家标准化管理委员会发布了推荐性国家标准GB/T44588-2024《数据安全技术互联网平台及产品服务个人信息处理规则》(以下简称“《隐私政策国标》”),自2025年4月1日起实施。
第一部分一般性问题
答:一方面,随着《网数条例》的重磅出台,业内急需大量更为精细的配套文件,以规范个人信息处理工作,《隐私政策国标》的发布精准填补了这一空白,成为该条例出台后率先问世的、聚焦个人信息保护的国家标准。《网数条例》提出了“个人信息处理规则应当集中公开展示、易于访问并置于醒目位置”,《隐私政策国标》在此基础上进一步深化,将抽象的要求拆解细化,为其实践提供了明确指引。无论是通过双清单保障用户知情权,还是为用户畅通账号注销通道以保障其“数字退出权”,亦或是规范自动化决策流程以防范算法滥用,《隐私政策国标》均作出了详细的回应。《隐私政策国标》紧密贴合《网数条例》核心亮点,稳稳担当起重要配套国标的重任,为互联网企业合规运营筑牢根基。
另一方面,《隐私政策国标》并非闭门造车,起草团队深入研究国内外前沿经验成果,创新性地提出一套涵盖互联网平台及产品服务隐私政策全流程的准则框架。该国标涵盖了基本要求,明确隐私政策底线基准;梳理了编制程序,为企业实操提供清晰指引;敲定了规则内容,确保条款严谨合规;规范了发布形式,确保信息传达清晰易懂;同时还完善了争议解决机制,为后续纠纷处置备好预案。该国标内容详实全面,表述深入浅出,摒弃了晦涩术语,即便是初涉个人信息保护领域、专业储备有限的从业者,也能依据该国标迅速入门,掌握编制隐私政策的关键要点,从而大幅降低企业试错成本与合规风险,助力行业良性发展。
(三)问:企业不遵守《隐私政策国标》要求的后果是什么?
答:第一,《隐私政策国标》仅为推荐性国家标准而非强制性国家标准。这意味着在法律框架层面,企业倘若未能契合该国标要求,并不会即刻面临严厉的法律追责。
其三,从更深层次分析,落实《隐私政策国标》对于企业有着诸多隐性好处。保障个人信息主体权利,是企业履行社会责任的重要表现。当个人信息主体切实感受到自身隐私被妥善保护时,投诉、举报和诉讼等对立性问题的发生率将大幅下降。企业无需将大量资源投入到复杂的争议解决中,而能够专注于核心业务的拓展,确保经营活动的有序推进。
(四)问:除了《隐私政策国标》,在编制隐私政策时还有哪些国标可供参考?
答:除了《隐私政策国标》,在编制隐私政策时还可以参考以下国标:
●GB/T35273-2020《信息安全技术个人信息安全规范》;
●GB/T41391-2022《信息安全技术移动互联网应用程序(App)收集个人信息基本要求》;
●GB/T42574-2023《信息安全技术个人信息处理中告知和同意的实施指南》。
第二部分程序性问题
(五)问:法务合规人员在起草隐私政策时需要产品研发人员提供哪些信息?
答:《隐私政策国标》指出,应针对不同的业务功能,描述个人信息处理情况(如建立分别的个人信息处理情况描述表)。描述表内容包括:处理的个人信息种类、目的或必要性、方式(如用户填写、系统权限调用、第三方获取等)、保存方式(如本地保存、后台保存、使用云服务等)、保存期限、流转需求、所涉及系统和部门(或人员)、适配的安全措施等情况。
在实践中,很多企业已经将隐私政策起草工作模板化、自动化,产品研发人员填写描述表后,系统将自动生成对应的隐私政策,法务合规人员只需对隐私政策进行审核即可。
(六)问:隐私政策应放置于App的什么位置?
答:设置首页。《隐私政策国标》要求,应在App的设置首页提供隐私政策的一键访问功能。我们理解,这一要求并非取代了监管部门前期提出的“进入App主界面后不多于4次点击等操作”的要求,而是与之并存:如果隐私政策放置于App的设置首页,但是进入App主界面后需多于4次点击等操作才能到达此位置,也是违规的。
我们注意到,大量App将其隐私政策放置于“隐私管理”“关于我们”等设置的二级页面中,我们建议这些App的运营者及时对此进行调整。
▲合规示例一
(七)问:是否一定要开发隐私政策下载功能?
答:不一定。《隐私政策国标》要求,个人信息处理规则应提供机器可读的格式或链接(如可拷贝或下载的文本),以便于个人信息主体获取。
我们注意到,部分App的隐私政策既不能拷贝也不能下载,甚至也没有提供访问链接,给用户行使权利造成了极大的阻碍,我们建议这些App的运营者及时对此进行调整。
▲合规示例二
(八)隐私政策更新后,是否一定要通过弹窗方式通知用户?
答:不一定。《隐私政策国标》指出,通常情况下,通知个人信息主体的方式包括但不限于:
●个人信息主体使用信息系统时直接向个人信息主体推送通知;
●向个人信息主体发送邮件、短信等。
需要补充说明的是,并非只要隐私政策发生更新就一定要通知用户。GB/T42574-2023《信息安全技术个人信息处理中告知和同意的实施指南》指出,个人信息保护政策发生变化,但不涉及处理活动等发生变更的,可不进行再次告知,以免对个人带来打扰。
▲合规示例三
(九)问:隐私政策更新后,能否仅在通知中提供更新后的隐私政策链接?
答:不能。《隐私政策国标》指出,通知个人信息主体时应以显著方式向其主动展示更新的内容、更新的理由。
我们注意到,大量App在隐私政策更新后,仅在通知中提供更新后的隐私政策链接,面对动辄上万字的隐私政策,个人信息主体无法快速了解隐私政策有何更新。有的隐私政策既不能被拷贝也不能被下载,导致个人信息主体甚至无法自行对比新旧版本的隐私政策,基本架空了个人信息主体的知情权和决定权。我们建议这些App的运营者及时对此进行调整。
▲合规示例四
(十)问:应向个人信息主体提供多久前的隐私政策历史版本?
答:《隐私政策国标》要求,个人信息处理者应在个人信息处理规则中提供链接,以使个人信息主体能够查阅过去24个月内曾正式发布的个人信息处理规则的历史版本。
▲合规示例五
第三部分内容性问题
(十一)问:隐私政策应至少包括哪些内容?
答:《隐私政策国标》指出,隐私政策的内容应至少包括:
●个人信息处理者和个人信息处理规则适用范围;
●摘要;
●个人信息的处理规则,具体包括个人信息的收集使用规则、安全保护规则和跨境流动规则(如涉及);
●个人信息主体的权利保障规则;
●个人信息处理规则的更新规则;
●个人信息处理规则的反馈、投诉和争议解决规则。
(十二)问:隐私政策摘要应至少包括哪些内容?
答:《隐私政策国标》指出,隐私政策摘要的内容应至少包括:
●所提供的业务功能和所收集的个人信息的种类。如所收集的个人信息种类较多,可在摘要中通过个人点击链接的形式跳转至个人信息处理规则特定章节;
●个人选择或关闭特定业务功能的权利和操作方式;
●个人选择或拒绝提供非必要个人信息的权利和操作方式。
(十三)问:“个人信息收集清单”应至少包括哪些内容?
答:《隐私政策国标》指出,收集使用个人信息规则应包括:
●分别列出各业务功能所收集的必要个人信息种类和非必要个人信息种类、目的或必要性、方式(如用户填写、系统权限调用、第三方获取等),并以“个人信息收集清单”的形式统一集中展示;
●在“个人信息收集清单”中列明个人信息被处理的方式,以及拒绝对个人信息的处理可能对产品或服务使用的影响。
尽管两者存在差异,但并非完全孤立。为提高管理效率和保持信息一致性,企业完全可以基于相同的框架设计和管理这两类清单,在收集活动完成后,通过动态更新机制将实际收集的信息同步纳入“已收集个人信息清单”。这种框架设计不仅能满足法规的差异化要求,还能进一步增强个人信息管理的全面性和时效性。
(十四)问:“个人信息对外提供清单”应至少包括哪些内容?
答:《隐私政策国标》指出,“个人信息对外提供清单”应包括:
●对外提供的个人信息种类和原因;
●个人信息的接收方身份(作者注:包括名称或者姓名、联系方式);
●接收方使用个人信息的目的;
●个人信息对外提供过程中的安全措施;
●对外提供个人信息是否对个人信息主体带来风险。
(十五)问:在隐私政策中披露个人信息存储地域应精确到何种颗粒度?
答:《隐私政策国标》指出,对于境内存储地域,通常为省级行政区域;对于境外存储地域,通常为国家或地区,且需要单独列出或重点标识。
(十六)问:关于自动化决策,《隐私政策国标》有何创新性内容?
本文作者:
本文由德恒律师事务所律师原创,仅代表作者本人观点,不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。