前言

近日一款名為“ZAO”的手機APP在朋友圈刷屏，使用該款軟件，用戶通過上傳自拍照，就可以把多部經典影視劇主角的臉替換成自己的臉。但很快，“ZAO”的隱私政策的相關條款引發了網友爭議。根據其隱私政策（據我們的最新核實， ZAO已對其隱私政策進行修改并刪除相關爭議內容），用戶上傳相關內容即意味著同意授予“ZAO”及其關聯公司以及“ZAO”的用戶在“全球范圍內完全免費、不可撤銷、永久、可轉授權和可再許可的權利，包括但不限于可以對用戶內容進行全部或部分的修改與編輯”。除此霸王條款外，網友還爆出“ZAO”的用戶無法直接刪除已經上傳的照片、無法注銷自己的賬號等情形。

而就在一個多月前，App專項治理工作組[1]（“工作組”）發布公告稱，其近期對用戶數量大、與民眾生活密切相關的部分App的隱私政策和個人信息收集使用情況進行了評估并發現，40款App在個人信息收集使用方面存在諸多問題，例如未經用戶允許即收集信息、過度收集信息、用戶注銷后不及時刪除個人信息，以及APP未公開有效聯系方式等。這40款APP涉及金融借貸、閱讀、新聞閱讀、社交等多個領域，其中包括“扇貝單詞”、“同花順”、“起點讀書”等知名APP。

近年來，隨著互聯網的應用和普及，個人信息[2]被大量采集和使用，而與之相關的過度采集和濫用等問題也日趨嚴重。然而在立法層面，《個人信息保護法》卻遲遲未出臺，與個人信息保護相關的規定僅散見于《中華人民共和國網絡安全法》（“網絡安全法”）、《中華人民共和國刑法》（“刑法”）、《全國人民代表大會常務委員會關于加強網絡信息保護的決定》（“加強網絡信息保護的決定”），以及《電信和互聯網用戶個人信息保護規定》（“個人信息保護規定”）等法律法規中，此外還有諸如國家標準《信息安全技術個人信息安全規范》（GB/T 35273—2017）（下稱“個人信息國標”）等規范性文件。本文擬從現行有效的與個人信息保護相關的法律法規出發，結合楊春寶律師團隊為眾多客戶提供個人信息保護相關的法律服務的實際工作經驗，就企業在制訂對內/對外的個人信息保護規則（下稱“個人信息規則”或“隱私政策”）時應關注的核心要點進行介紹，以期對廣大企業在日常的生產經營活動中正確處理（包括收集、保存、使用和刪除等）個人信息提供有益參考。

一、對外——企業如何制訂針對用戶/消費者的隱私政策

前不久，國家網信辦公布的《數據安全管理辦法（征求意見稿）》（下稱“數據安全意見稿”）就對此進行了明確規定。根據該意見稿，個人信息收集、使用規則應當包括：網絡運營者信息（網絡運營者基本信息，及其主要負責人、數據安全責任人的姓名及聯系方式），收集、使用個人信息的具體規則（收集和使用的目的/種類/數量/頻度/方式/范圍等，信息保存地點、期限及到期后的處理方式，向他人提供信息的規則和信息安全保護策略），以及個人信息主體的權利（撤銷同意，查詢、更正、刪除個人信息的途徑和方法，投訴、舉報渠道和方法等）。

雖然數據安全意見稿并未正式生效，但楊春寶律師團隊認為，該文件對規范企業收集、使用用戶/消費者個人信息的行為具有一定的指導意義，因此強烈建議廣大企業參考該意見稿制訂、修改相關隱私政策，并在后續的商務實踐中嚴格遵守。

以下我們將結合相關法律法規以及我們的服務經驗介紹個人信息收集、使用和刪除的具體規則：

1、個人信息的收集

誠然，不同企業的隱私政策因其所處行業和實際經營情況的不同而有所區別，不過楊春寶律師團隊認為，關于個人信息的收集所應遵循的主要原則應當是趨同的，而其中最重要的兩項原則即經權利人同意原則和最小化原則。

關于經權利人同意原則。根據個人信息保護規定，企業在收集用戶/消費者個人信息前，務必公示需要收集的個人信息的種類、范圍等，并經其同意。未經公示并經消費者同意的，企業不得收集用戶的相關個人信息。此外，根據個人信息國標的要求，收集個人敏感信息[3]時，應當獲得用戶的明示同意[4]。

關于最小化原則。根據個人信息國標第5.5條規定，所謂最小化原則是指企業所收集的用戶/消費者的個人信息應與實現產品或服務的業務功能有直接關聯，且收集的頻率和數量應當是實現產品或服務的業務功能所必需的最低頻率和最小數量。簡而言之，企業收集個人信息時必須以實現其產品或者服務的功能為限，不得超出必要的限度收集個人信息。然而在商務實踐中，企業通過APP過度索權，明顯超出APP的業務功能范圍收集用戶/消費者個人信息的現象層出不窮，例如：用戶在下載某些APP后，經常會被索取手機通訊錄、錄音視頻功能等權限，而事實上，該等APP在為用戶提供產品或服務的過程中，并不需要用到這些功能和/或信息，這種行為顯然嚴重違反了最小化原則。本次被工作組點名的40款APP中，大約有三分之一的APP存在違反最小化原則的現象，尤其是金融貸款類的APP，大多會強行收集用戶通訊錄中的信息。

2、個人信息的保存、使用和處理

個人信息的使用與處理必須建立在保證信息安全的基礎上。根據網絡安全法相關規定，企業應當采取技術措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。此外，根據個人信息保護規定，電信業務經營者、互聯網信息服務提供者應當采取相關措施防止用戶個人信息泄露、毀損、篡改或者丟失。而個人信息國標要求企業在收集用戶信息后采用一定的技術手段進行去標識化[5]保存，以此來保障收集到的信息不被泄露。因此我們建議企業應當在隱私政策中明確告知用戶/消費者，企業保存其個人信息的具體方式以及保障其個人信息安全的具體措施。

根據個人信息國標的相關規定，企業在使用個人信息時，不得超出與收集個人信息時所聲稱的目的具有直接或合理關聯的范圍。因業務需要，確需超出上述范圍使用個人信息的，應再次征得用戶明示同意。此次“ZAO”APP的隱私條款之所以會引發巨大爭議，原因便是在于相關條款明顯違反相關法律法規對于個人信息使用的限定。根據“ZAO”修改前的隱私政策，一旦用戶點擊同意該隱私政策，“ZAO”的即運營企業可對用戶上傳的數據和信息進行再編輯和使用而無需再次征得用戶同意，這一要求顯然與個人信息國標的規定相悖。

此前，“ZAO”還在其隱私政策中規定，用戶上傳的個人信息除“ZAO”APP平臺運營方享有使用的權利外，其關聯公司也享有同樣的權利。而根據個人信息國標，企業在轉移、共享收集到的個人敏感信息前，應當告知用戶轉移的對象，并征得用戶明示同意。“ZAO”的關聯公司為獨立主體，而“ZAO”的用戶上傳至平臺的信息大多為個人照片，一旦遭到泄露，將很可能導致個人受到歧視（如用戶的外貌遭到帶有侮辱性的評頭論足）或危及個人財產安全（考慮到部分支付工具支持刷臉，用戶照片可能會被不法分子利用），因此我們理解，該等信息當屬于個人敏感信息范疇，因此“ZAO”在向其關聯公司轉移或共享用戶個人敏感信息時理應征得用戶同意，因此“ZAO”修改前的隱私政策相關內容顯然違反了個人信息國標。事實上我們注意到很多企業在制訂隱私政策時亦會像“ZAO”APP那樣加入一些“霸王條款”，強烈建議該等企業嚴格依法行事，切勿為了貪圖信息處理的便利性而剝奪用戶應享有的涉及其個人信息的相關權益，以免受到相關行政處罰和/或招致用戶的民事索賠。

企業除了要避免前述“霸王條款”外，還應當注意大數據技術對于個人信息使用和處理的影響。隨著大數據技術的發展，企業在收集用戶/消費者的個人信息后，不只是簡單利用這些個人信息向用戶/消費者提供產品和服務，更會對這些個人信息進行加工、處理，通過處理后得到該用戶/消費者的用戶畫像[6]，而后基于用戶畫像向用戶推送相關新聞信息、廣告等。如果征得用戶/消費者的同意，并且僅是出于為用戶/消費者提供更優質的產品和服務的目的進行推送的，當然無可厚非。然而，在實踐中，一些企業卻利用用戶畫像侵犯用戶/消費者的合法權益，例如最近幾年頻繁爆出的“大數據殺熟”[7]就是典型的企業利用用戶畫像侵犯消費者權益的現象。雖然近年來網信辦多次約談了利用“大數據殺熟”的網絡平臺經營者，但是實踐中仍存在違法利用大數據等加工處理個人信息的行為，例如去年五月爆出的攜程大數據殺熟事件，有用戶稱在攜程APP上預訂酒店，使用不同的攜程賬號搜索同一家酒店同一房型顯示的價格并不相同，在沒有任何優惠的情況下，同一時間作為老用戶的賬號顯示酒店預訂價格為208元，而新用戶賬號顯示的價格僅為198元，兩個賬號價格存在較大差異。針對此類現象，數據安全意見稿作出了一定的規制，即：企業通過互聯網等利用用戶畫像推送新聞信息、商業廣告等（下稱“定向推送”），應當以明顯方式標明“定向推送”字樣，同時還應該給予用戶選擇權，消費者可以選擇定向推送的數據信息，也可以選擇非定向推送的數據信息。關于定向推送，今年生效的《中華人民共和國電子商務法》中也明確規定，在根據消費者的興趣愛好、消費習慣等特征向其提供商品或者服務的搜索結果時，企業應當同時向該消費者提供不針對其個人特征的選項。因此，我們建議企業在隱私政策中列明使用和處理用戶/消費者個人信息的具體方式，而對于定向推送等服務，企業應當告知用戶/消費者選擇非定向推送信息的渠道和方式，以避免被認定為存在“大數據殺熟”或其它利用用戶畫像侵犯消費者合法權益的行為。

3、個人信息出境

對于跨國公司而言，將收集到的某些個人信息傳送到國外的子公司或者母公司進行存儲或者處理是慣常操作，而該行為必須遵循涉及個人信息出境[8]的法律法規。網絡安全法對關鍵信息[9]出境作出了較為原則性的規定，即要求關鍵信息的運營者在中國境內運營的過程中收集和產生的個人信息和重要數據應當在境內存儲。而今年6月國家網信辦出臺的《個人信息出境安全評估辦法（征求意見稿）》（下稱“安全評估辦法”）對個人信息出境問題進行了擴展和進一步明確。該辦法規定，如網絡運營者向境外提供在中國境內運營的過程中收集的個人信息，應當向所在地省級網信部門申報并進行安全評估。經安全評估認定個人信息出境可能影響國家安全、損害公共利益，或者難以有效保障個人信息安全的，不得出境。與此同時，網絡運營者應當建立個人信息出境記錄并且至少保存5年。雖然該辦法尚未正式頒布生效，但是對于涉及個人信息出境的跨國公司而言仍有較強的參考意義，我們建議其在隱私政策中明示用戶/消費者個人信息出境的目的等信息，并承諾將嚴格依法行事。

4、個人信息的更正與刪除

根據網絡安全法的相關規定，對于用戶/消費者而言，如發現企業收集的其個人信息存在錯誤，其有權要求企業進行更正（即更正權）。而刪除權，也被稱為“被遺忘權”，該權利最早在2012年歐盟的相關個人信息法案中被提出，其權利基礎在于企業并無權永久使用其收集的用戶/消費者的個人信息。我國法律法規中雖沒有“被遺忘權”的相關規定，但是根據個人信息國標以及公安部等部門發布的《互聯網個人信息安全保護指南》等相關規定，個人信息應在實現目的所必需的最短時間內保存，而超過保存時限之后應刪除個人信息。如本文前言部分所述，“ZAO”APP此前的隱私政策限制用戶直接刪除其上傳的圖片，這一行為事實上侵犯了用戶的刪除權，應予以糾正。同時根據網絡安全法的相關規定，如企業違反法律法規或者與用戶的約定收集個人信息，用戶有權要求企業即刻刪除收集到的個人信息。因此，我們強烈建議企業應當在隱私政策中列明用戶/消費者享有更正權、刪除權等權利，并且告知用戶/消費者行使該等權利的具體渠道及步驟。   

5、兒童信息的特殊保護

除前述關于隱私政策的普適原則和內容外，企業在收集用戶/消費者的個人信息時還應當特別關注對兒童[10]的特殊保護。國家網信辦在2019年8月22日公布了《兒童個人信息網絡保護規定》（下稱“兒童信息保護規定”）。根據該規定，企業在收集兒童個人信息時，應當遵循更加嚴格的程序，例如：在收集、使用兒童個人信息時，應當以顯著、清晰的方式告知兒童監護人且征得其明示同意；兒童或者其監護人要求企業刪除其收集、存儲、使用的兒童個人信息的，企業應當及時采取措施予以刪除。

兒童信息保護規定將于2019年10月1日起正式生效，因此我們強烈建議企業（尤其是主要面向兒童提供產品服務的企業，例如一些益智類電子游戲的經營者等）在制訂隱私政策時應當將該規定的相關內容納入其中，并在收集、使用兒童個人信息時加以嚴格遵守。

二、對內——企業如何制訂員工隱私政策

在商業實踐中，企業為日常經營和內部管理之目的，往往需要不時收集/使用員工的相關個人信息，有時還要根據業務需要將該等信息提供給合作方。而在進行員工個人信息收集、處理的過程中，存在信息過度收集、信息不當泄露（因企業自身或合作方的原因）或遭受黑客攻擊等各種潛在風險。因此，如何制訂一份合法有效且具備可操作性的員工隱私政策，對廣大企業而言至關重要。我們理解，企業為其外部用戶/消費者制訂的個人信息規則所遵循的原則和應注意的關鍵點應同樣適用于其內部員工隱私政策，此外，考慮到企業所收集的員工信息在內容上可能會比企業所收集的外部用戶/消費者的信息更為具體和私密（如員工信息可能涉及婚姻狀況、近親屬信息等），員工隱私政策應當更強化信息保護方面的措施。

楊春寶律師團隊的一外資客戶在日常經營活動中經常需要將員工派駐至委托方（俗稱“甲方”）處提供服務，因此需應甲方要求向其提供該等員工的包括姓名、聯系方式、學歷和工作經歷等在內的相關個人信息。該客戶系一家英國上市公司，因此，于2018年5月正式實施的被稱為“史上最嚴格的隱私和安全法”的歐盟《通用數據保護條例》（General Data Protection Regulation，下稱“GDPR”）直接適用于該客戶（如英國在未來正式退出歐盟，GDPR的規定將被寫入英國的《2018數據保護法》）。根據GDPR，個人數據只屬于本人，不屬于其他任何人，個人擁有了解其個人數據被如何處理、訪問，要求更正不正確的個人數據，要求刪除個人數據，抗議個人數據被用于營銷，在特定情況下要求限制個人數據處理等多項權利。違反GDPR將被處以高達全球收入的4％或2000萬歐元的罰款，以較高者為準，GDPR同時支持數據主體尋求損害賠償。因此，盡管該客戶的英國總部擁有非常完善的員工隱私政策，其在中國境內的業務公司在員工個人信息保護方面也必須符合中國的法律法規和國家標準的要求。為了最大限度降低該客戶在中國境內處理員工個人信息的相關風險，我們及時為其制訂了《員工隱私政策》并涵蓋以下主要內容：

第一，員工個人信息的收集。該部分內容與本文前述企業制訂對外隱私政策時所需要注意的事項大致相同，即應遵循經權利人同意和最小化原則等要點，同時應將隱私政策作為公司的重要規章制度，在員工入職時讓其對隱私政策的紙質或電子文檔進行簽收。此外，我們還提請客戶注意，在員工入職時如需收集其近親屬的相關信息，應征得其近親屬的同意，并將客戶收集該等信息的目的和客戶的聯系方式告知該等近親屬。

第二，員工個人信息的保存。在這方面，我們針對客戶公司對員工的信息保存設置了相關條款，建議客戶應在必要時建立獨立的數據庫，存儲員工個人信息。如需對員工個人信息進行訪問、管理、維護，則應設置嚴格的內部審批流程。此外，隱私政策在涵蓋員工查詢和更正其個人信息的權利的同時，也明確了員工在離職時享有的被遺忘權，即有權要求客戶永久性刪除其收集到的離職員工的相關信息。

第三，員工個人信息的披露與使用。這部分主要涉及客戶在商業往來中，對外提供員工個人信息時應遵循的原則。我們建議客戶如確有必要向甲方披露員工個人信息時，必須經公司管理層的嚴格批準，以防止員工個人信息被濫用。并且，在向甲方披露員工個人信息時，務必與甲方簽訂保密條款，保證所披露的員工個人信息不被泄露。與此同時，我們還建議客戶應當對該等披露活動進行完整的記錄，包括披露的目的、披露的信息種類等。當然，對于為了公共安全或者應有權機關強制性要求進行披露的，可不經相關員工同意，但應在依法進行披露的同時，書面告知相關員工。

結語

如前文所述,“ZAO”APP在網友的一片質疑聲中對其用戶隱私政策進行了修訂，刪除了違法違規的相關內容。而工作組也在公告中要求本次涉嫌違規的40款App的運營者應當及時聯系工作組并對其隱私政策的相關內容進行整改，否則工作組將建議相關部門予以處置。而對于企業而言，如未能制訂出一套合法合規且行之有效的員工隱私政策，將存在因侵犯員工個人信息而招致索賠的潛在法律風險。因此，楊春寶律師團隊建議廣大企業（特別是網絡平臺和APP運營者等）及時制訂或完善對內和對外的隱私政策并向用戶/消費者/員工及時公布，并在今后的日常運營中，嚴格遵守適用法律法規和隱私政策，依法收集、使用、保管、刪除個人信息，以避免因相關違法違規行為而招致民事賠償，被處以行政處罰甚至追究刑事責任。（華東政法大學研究生徐冬冬對本文亦有貢獻）