数据使用合规,但平台仍有改进空间
泰和泰律师事务所律师杜双,专攻互联网及数据合规业务,在接受经济观察网采访时表示,平台依据用户数据制作年度报告的做法是符合现行法律规定的。
他通过实例说明平台的合规举措:当年度报告首次启动时,平台会通过弹窗等显著方式提醒用户阅读隐私政策及个人信息收集使用规则,用户若未勾选同意,则无法查看年度报告;隐私政策中,平台通常会详细阐释个人信息的收集与使用规则;同时,平台承诺不会向第三方披露用户信息,并在用户截图、保存或转发时提供易于识别的提示,以降低隐私泄露风险。
杜双建议,在授权 " 个人信息 " 时,用户应特别关注协议中的三个关键点:
一是数据采集的时间范围:部分平台在用户首次授权后会持续采集数据,除非用户主动要求停止采集并删除所有相关数据。
二是数据采集的类型:尤其是与个人生物信息、健康信息相关的数据,如面部、声音、指纹、基因特征,以及体检、诊疗记录、病史等,这些信息的保护尤为重要。例如,目前暂无互联网医疗类的公司发布相应的年度报告。
三是数据处理的承诺:用户需关注平台是否承诺对采集的数据进行匿名化和脱敏处理,以确保无法直接识别个体用户。
2021 年 11 月,《中华人民共和国个人信息保护法》(下称《个保法》)正式施行,这是保障用户个人信息最重要的法律之一。
君合律所曾对比《个保法》与《个人信息保护法(草案二次审议稿)》的变化,其中两个重点修改内容分别为:
《个保法》重申收集个人信息 " 应当限于实现处理目的的最小范围 ",并增加了 " 不得过度收集个人信息 " 的规定,进一步完善了个人信息处理规则;
此外,《个保法》将 " 基础性互联网平台服务 " 修改为 " 重要互联网平台服务 ",这一规定也体现了监管机关重视对互联网巨头或重点互联网企业的监管和引导。
杜双认为,《个保法》的出台促使平台更加重视个人信息使用的合规性。他观察到,许多公司为此设立了专门的部门和人员来负责数据处理。在数据处理中,匿名化和脱敏处理是两个至关重要的环节。此外,许多平台也重新审查并优化了信息收集同意流程,并引入了单独同意机制,比如年度报告的数据需要再次授权。
然而,他也指出平台在保护用户个人信息方面仍有改进空间。
一方面,《个保法》明确了处理个人信息的 " 最小必要原则 ",即对个人权益产生的影响最小、仅限于满足处理目的的最小范围,不得过度收集个人信息。但在实际操作中,平台的隐私政策往往采用 " 一揽子 " 同意模式,而不是针对超出最小范围的特定个人信息处理单独获得同意,导致用户不同意就无法使用基本服务。以年度报告采集的信息为例,用户无法选择具体授权哪些数据,但如果不勾选同意,则无法使用年度报告功能。
另一方面,目前很少有平台提供明显的渠道或入口,让用户选择删除或停止使用相关数据。
杜双指出,用户对个人信息、数据安全以及隐私保护的要求在不断提高,这有助于推动平台细化和完善相关机制,也有助于数据交易市场的安全与繁荣。
