科技创新与法律前沿系列文章之五 如何处理敏感个人信息,你学会了吗?
2021-09-30 14:39:00 作者:周亮、张宇峰
一、引文
2021年8月20日,《中华人民共和国个人信息保护法》(以下简称《个保法》)正式发布。《个保法》强化了对敏感个人信息的保护,设置了特殊的处理规则。对于科技企业而言,应当如何认定及处理敏感个人信息,从而规避合规风险,请见我们以下分析。
二、什么是敏感个人信息?
根据《个保法》第二十八条规定,金融账户、生物识别、行踪轨迹、医疗健康、不满十四周岁未成年人的个人信息都属于敏感个人信息范围。
随着数字化进程的加速,越来越多的行业开始需要处理敏感个人信息。例如,指纹和人脸信息等个人生物信息被许多App运营者应用于识别和认证自然人的身份。该等信息就属于《个保法》定义中的生物识别信息,需要受到App运营者的特殊保护。
三、如何处理敏感个人信息?
根据《个保法》的相关规定,企业在处理用户的敏感个人信息时,应做到以下几点:
1额外的告知义务
依据《个保法》第三十条的要求,在处理敏感个人信息时,个人信息主体应当知悉处理敏感个人信息的必要性以及对其个人的影响。这意味着企业在不同阶段、不同软件收集用户敏感个人信息时,都需要预先告知用户被收集的信息种类、使用目的、保存期限、限制等等。
比如,某银行App在《个保法》颁布后,修改了隐私政策,细化各功能所需要收集的信息种类及限制信息。该银行在隐私政策关于用户注册后提供的手机号码、身份信息的条款后,增加了对使用方式、目的的解释,并对无法使用的部分功能做出了提示和明确列举;在用户提供指纹信息的条款后,明确表示了银行将只接收对该类生物识别信息的验证结果,而不收集用户指纹信息。
2单独同意条款的设置
“单独同意”是指企业在处理敏感个人信息时,必须就其处理目的、行为、方式、后果等单独向用户告知并取得同意。“单独同意”要求企业单独获取该类需要特别告知的同意,独立于其他普遍的同意,且不能将其隐匿在其他个人信息授权同意的条款中。在《个保法》颁布前,许多企业通过用户一次性统一授权的方式取得个人同意。《个保法》生效后,该种授权方式则会存在合规风险。
目前法律法规未对企业应当如何获取用户的“单独同意”做出明确的解释。实践中,有三种处理方式:
(1)制作单独的《个人信息授权同意书》,要求用户签署,取得用户单独的明确同意;比如某电商巨头在其提供人脸分析服务时,准备了单独的《人脸识别服务协议》,并要求用户签署;
(2)通过单独的“告知同意界面”的交互设计(如单独的弹框)等方式取得个人单独同意;
比如,国内某知名手机生产商向其用户提供手机维修的“上门服务”。由于该厂商提供“上门服务”需要获取用户的敏感个人信息(如手机GPS定位信息),因此,在其隐私声明中,对于“上门服务”板块的具体信息收集和使用规则,出具了单独的隐私声明进行解释,并需要用户进行单独的同意;
(3)在隐私政策中,单独设置敏感个人信息的章节。比如许多大型手机生产商或软件设计工作室在向用户提供其隐私政策时,都专门针对未成年人个人信息等的收集使用制订了较为详细的单独说明条款,并在其后紧跟用户同意勾选项。
3处理敏感个人信息的必要性
除上述两项要求外,《个保法》还规定企业处理敏感个人信息,应具有特定的目的和充分的必要性,即所处理的敏感个人信息,是保障企业所提供的基本服务正常运行所必需的个人信息,缺少该信息则无法实现基本服务。
由此可见,根据企业所提供的服务不同,其所需要处理的敏感个人信息也相应不同,具体的范围则可参照2021年3月12日出台的《常见类型移动互联网应用程序必要个人信息范围规定》(“《必要个人信息范围规定》”)。根据《必要个人信息范围规定》,对于地图导航类App,所能处理的敏感个人信息则包括位置信息、出发地、到达地等行踪轨迹;而对于投资理财类App,所能处理的敏感个人信息则包括资金账户、银行卡号码或支付账单等金融账户信息。而如果一个投资理财类App,收集用户的行踪轨迹等敏感个人信息,则显然不符合《个保法》规定的必要性原则,存在合规风险。
事实上,国家互联网信息办公室在2021年6月11日就已发布了《关于Keep等129款App违法违规收集使用个人信息情况的通报》,对App违反必要原则、收集与其提供的服务无关的个人信息等情况进行通报处罚。因此,企业应当重视必要性原则,避免收集处理与所提供的服务无关的敏感个人信息。
4事前的风险评估
根据《个保法》第55条规定,企业处理敏感个人信息的,应当事前进行个人信息保护影响评估。个人信息评估本质上属于风险评估,由于处理敏感个人信息可能对用户的权益带来高度风险,对此类处理进行风险评估可以帮助企业采用适当的安全措施,确保企业在个人信息保护方面的合规状态。
目前我国尚未针对个人信息安全影响评估制定单独的法律法规,许多原则性的规定也散见于各个法律法规和文件中,而国家市场监督管理总局、国家标准化管理委员会则于2020年11月19日发布《个人信息安全影响评估指南》(GB/T 39335-2020,“《指南》”)。《指南》虽不具备强制性法律效力,但作为首部针对个人信息安全影响评估制定的推荐性国家标准,在各项评估流程方面都作了细化的规定。因此,企业在个人信息保护影响评估方面,应参照《指南》执行。
四、结语
《个保法》的出台强化了对敏感个人信息的保护,也对科技企业的数据合规提出了更大的挑战。科技企业在处理敏感个人信息时,应充分履行额外的告知义务和单独同意义务,秉持充分性原则,并做好事前的风险评估,以满足合规要求,避免风险。
特别声明:
以上内容属于作者个人观点,不代表其所在机构立场,亦不应当被视为出具任何形式的法律意见或建议。
