摘要:在此前的元宇宙合規報告中(見原創| 元宇宙合規報告(八)數據合規),針對個人信息收集、處理、對外傳輸和提供方面的強監管,颯姐團隊主要討論了個人信息收集及傳輸過程的合規要點,今日文章我們來關注元宇宙項目中容易被項目方忽視的另一個維度——如何保障個人信息相關權利的實現。去年11月生效的《 …
在此前的元宇宙合規報告中(見原創| 元宇宙合規報告(八)數據合規),針對個人信息收集、處理、對外傳輸和提供方面的強監管,颯姐團隊主要討論了個人信息收集及傳輸過程的合規要點,今日文章我們來關注元宇宙項目中容易被項目方忽視的另一個維度——如何保障個人信息相關權利的實現。
去年11月生效的《個人信息保護法》第四章專門規定了“個人在個人信息處理活動中的權利”,包括個人的查閱權、複製權、轉移權,更正權、補充權等權利,第15條規定了撤回同意權。不過,根據我們對幾個已落地的元宇宙應用項目隱私協議/個人信息保護政策的觀察,運營企業對於上述權利的保護並不充分,違法風險較高,為此,今日文章圍繞企業如何實現個人信息權利的落地展開討論,以供各位讀者參考。 1.個人信息查詢權
元宇宙項目的用戶有權向項目運營方即個人信息處理者請求查閱由其處理的個人信息,這既是《個人信息保護法》第7條要求個人信息處理者處理個人信息公開透明原則的體現,也是第44條個人信息知情權的內容。具體來說,《個人信息保護法》第45條第1、2款規定了查詢權,“個人有權向個人信息處理者查閱、複製其個人信息;有本法第十八條第一款、第三十五條規定情形的除外。個人請求查閱、複製其個人信息的,個人信息處理者應當及時提供。”不過我們注意到,許多包括元宇宙項目在內的應用程序並未提供用戶查詢運營者收集個人信息的入口,違反了前述規定。
根據《信息安全技術個人信息安全規範》8.1條,個人信息控制者應當向個人提供查詢下列信息的方法:a)其所持有的關於該主體的個人信息或個人信息的類型;b)上述個人信息的來源、所用於的目的;c)已經獲得上述個人信息的第三方身份或類型。鑑於此,為保障用戶個人信息查詢權,元宇宙項目運營者在應用程序中可增加獨立的查詢入口,具體來說,在查詢頁面,查詢的內容可包括但不限於已獲取的個人信息種類和內容、獲取的時間、處理的主體及目的、保存的期限等項目。如個人信息的處理涉及第三方,應同時將個人信息的轉移鏈條清晰顯示。
2.個人信息複製權和轉移權
這兩項權利規定在《個人信息保護法》第45條,複製權的保障比較簡單,可在前述查詢頁面設置複製按鈕、提供複製功能便可實現。
轉移權是查閱權和復制權的延伸,《個人信息保護法》第45條第3款規定“ 個人請求將個人信息轉移至其指定的個人信息處理者,符合國家網信部門規定條件的,個人信息處理者應當提供轉移的途徑。”這裡值得注意的是,對於提供的個人信息的形式,《<中華人民共和國個人信息保護法>釋義》一書考察了考察立法目的、規範結構等基礎上認為,個人信息處理者只需向個人提供“電子化、人類可讀的個人信息副本,而並非結構化的、機器可讀的數據”,這並未給收集、處理用戶個人信息的元宇宙項目運營者增加額外成本。
因此,為滿足“提供可轉移途徑”這一合規要求,運營者可以考慮提供“導出”功能,例如,個人運動監控的應用場景,對於個人運動、健康信息的轉移,經營者可為用戶提供記錄在產品端的數據類型(如用戶主動上傳的個人信息,及產品記錄的個人信息及其它數據如活動數據、睡眠數據、運動軌蹟等),同時提供所需導出的起止日期。
3.個人信息更正權、補充權
另一項容易被忽視的權利是更正、補充權。 《個人信息保護法》第46條規定,“個人發現其個人信息不准確或者不完整的,有權請求個人信息處理者更正、補充。個人請求更正、補充其個人信息的,個人信息處理者應當對其個人信息予以核實,並及時更正、補充”。此外,更早頒布的《網絡安全法》第43條也對網絡運營者保障個人信息更正權提出了要求。
在元宇宙應用場景中,個人在元宇宙空間中的活動可能具有較高的連續性,相應地,運營方處理個人信息也就具有持續性,時間維度應當被充分考慮,個人信息處理者應及時響應用戶的請求,更新個人信息。
在響應渠道設置上,元宇宙項目運營者可直接在個人信息查詢入口項下,在查詢界面設置編輯按鈕,使用戶可直接編輯自己授權給運營者的個人信息,對不准確、不完整的個人信息作出更正和補充,同時注意在後台保存用戶更正、修改記錄的痕跡,實現留痕以備自證清白的不時之需。或者,設置郵件通道、提供個人信息保護專員的聯繫方式、在線客服、人工客服等方式。
4.個人信息撤回同意權
《信息安全技術個人信息安全規範》第8.4條即規定個人信息主體撤回授權同意的權利,《個人信息保護法》第15條在法律層面明確了個人信息主體撤回同意權,“基於個人同意處理個人信息的,個人有權撤回其同意。個人信息處理者應當提供便捷的撤回同意的方式。個人撤回同意,不影響撤回前基於個人同意已進行的個人信息處理活動的效力。”即對於基於個人同意處理個人信息的場景下(根據《個人信息保護法》第14條,通常不涉及他人權益保護和社會公共利益),個人可以行使撤回權,法律後果是個人信息處理者應當主動刪除(《個人信息保護法》第47條)。今年元旦生效的《深圳經濟特區數據條例》第23條要求,處理個人數據應當採用易獲取的方式提供自然人撤回其同意的途徑,不得利用服務協議或者技術等手段對自然人撤回同意進行不合理限製或者附加不合理條件。
從我們觀察的元宇宙項目app來看,可能因落地成本較高,儘管《個人信息保護法》生效已過百天,企業在保障撤回同意權實現方面落實得併不好,鮮有應用程序設置撤回同意路徑。我們認為,企業應新設“撤回同意”功能。在產品界面增加撤回同意入口,或者提供郵箱、客戶電話等方式。在確認用戶撤回個人信息符合《個人信息保護法》第15條的要求,撤回主體是個人信息主體並出於真實意願時,元宇宙項目運營方應當及時刪除其存儲的相應個人信息,並將刪除結果同步用戶。
以上就是今天的分享,感謝讀者!歡迎交流!