开学防疫与个人信息保护
2022年8月下旬的酷暑未能驱赶新冠疫情的肆虐,而将迎来各中小学校、幼儿园等陆续开学与入园。为保障学生们的健康,部分学校等教育机构制定了防疫措施,要求学生与家长及时进行核酸检测并提供相应的信息,其初衷当然是为了拒病毒于校门之外,但某些不恰当的信息收集方式或将带来违法的风险。
根据某些家长的反映,笔者从微信中搜索到了上海某事业单位公众号下的“申生康上海校园防疫通(个人信息采集)”小程序。
点击“学生或家长”进入信息采集页面,学生姓名、证件类型、证件号码、同住人姓名、同住人证件类型、证件号码都属于必填信息。从进入该小程序到填写前述信息时,未见有个人信息处理情况的告知,填写人无法了解对自己或子女的个人信息收集的主体、目的、处理方式、联系方式等情况。由于笔者未提供信息,故未知后续页面的情况,如果还需要收集学生的核酸检测时间、检测结果、出行情况、健康状况等信息,那这种近似于“裸奔”的个人信息收集方式,存在非常大的法律风险。
近日,上海市通信管理局发布的《上海市通信管理局关于侵害用户权益行为APP的通报(2022年第二批)》显示,发现127款APP存在“违规收集个人信息”“违规使用个人信息”“欺骗误导用户下载APP”等相关问题,并已通报相关APP运营企业,督促存在问题的APP进行整改。在我国,随着《中华人民共和国个人信息保护法》(以下简称《个保法》)的生效与落实,任何单位都应当依法处理个人信息。根据《个保法》第二十八条规定,不满十四周岁未成年人的个人信息均为敏感个人信息,而对于敏感个人信息应当提供高于普通个人信息的处理标准进行保护,因此,在疫情常态化管理之下,对于需要通过APP、小程序方式收集学生个人信息的行政部门、教育机构、相关企事业单位等运营主体,可以从以下几个方面进行自查整改,依法履行保护学生个人信息的义务:
一、制定合规有效的《个人信息保护政策》和《儿童个人信息保护政策》(以下简称“保护政策”)
1. 保证保护政策的独立性、易读性。
首次进入APP时以弹窗或其他明显方式向用户展示保护政策,并需要用户以主动点击的方式选取同意。保护政策应单独成文,而不是作为用户协议、用户说明等文件中的一部分存在。保护政策应易于访问,进入APP主功能界面后,通过 4 次以内的点击,能够访问到且保护政策链接位置突出、无遮挡。保护政策应易于阅读,其文本文字显示清晰,不会造成阅读困难。
2. 保护政策应清晰说明各项业务功能及所收集个人信息类型。
须明示APP业务功能,一一明确某项功能所需要的个人信息有哪些,区别基本功能与扩展功能,从而明确必要信息和非必要信息。如收集的是未成年人个人信息等个人敏感信息,那应通过字体加粗、标星号、下划线、斜体、颜色等方式对其进行显著标识。
3. 须清晰说明个人信息处理规则及用户权益保障。
明示APP运营者的基本情况、个人信息存储和超期处理方式、个人信息的使用规则、
个人信息安全保护措施和能力、对外共享、转让、公开披露个人信息规则、用户权利保障机制、用户申诉渠道和反馈机制、隐私政策时效、隐私政策更新。
4. 不在隐私政策等文件中设置免除自身责任、加重用户责任、排除用户主要权利等不合理条款。
二、收集使用个人信息行为本身应当依法合规
1. 收集个人信息应明示收集和使用的目的、方式、范围。
当使用 Cookie 等同类技术收集个人信息时,应向用户明示所收集个人信息的目的、类型。如果通过嵌入第三方代码、插件等方式将个人信息传输至第三方服务器,应通过弹窗提示等方式明确告知用户。
2. 收集使用个人信息应经用户自主选择同意,不应存在强制捆绑授权行为。
收集个人信息前应征得用户自主选择同意,而不是默认、被动的选择。如用户不同意,应仅影响与所拒绝提供个人信息相关的业务功能。不将多项业务功能和权限打包,要求用户一揽子接受。
3. 收集个人信息应满足必要性要求。
实际收集的个人信息类型不应超出隐私政策所述范围。如收集与业务功能有关的非必要信息,须经用户自主选择同意,不收集与业务功能无关的个人信息。不应在用户明确拒绝后继续索要权限、打扰用户。APP更新升级后,不应更改原有的系统权限设置。
三、APP运营者须重视对用户权利的保障
1. 应支持用户注销账号、更正或删除个人信息。
APP应提供查询、更正、删除个人信息、注销账号的途径(如在线功能界面、客服电话等),在用户注销账号后,及时删除其个人信息或进行匿名化处理。
2. 及时反馈用户申诉。
APP运营者应妥善受理并及时反馈用户申诉,原则上在15 天内回复处理意见或结果。
四、提高对于未成年人个人信息收集时的标准要求
1. 在收集、使用时应当取得监护人同意以及基于敏感个人信息的单独同意,收集后如当时的收集目的、使用范围发生改变,应当重新取得监护人的同意。
2. 如非必要,不使用未成年人信息进行自动化决策、不向第三方提供、不公开披露。
3. 原则上不应采集人脸、虹膜、指纹等生物特征的方式对未年成人进行身份识别。
4. 事前进行个人信息保护影响评估,并对处理情况进行记录。
作者介绍
王兴华
上海道朋律师事务所 合伙人
王兴华,上海道朋律师事务所合伙人,曾在某中外合资网络公司从事法务工作,2006年起从事专职律师工作,现任上海市律师协会企业法律顾问业务研究委员会委员。
王兴华律师在商事纠纷、数据合规等企业诉讼与非讼领域耕耘多年,有着丰富的代理经验。现任多家企业常年法律顾问、参与多个政府部门购买法律服务项目。
END
招聘职位:律师 (若干)
工作地点:上海市
职位描述:
长按了解详情
1. 持有中华人民共和国律师执业证书。
2. 为人正直、品行端正、热爱律师职业,有较强的责任心和团队合作意识,工作认真细致,务实勤奋。
3. 良好的文字处理、口头表达能力以及沟通协调能力,能够独立办案。
有意者请将简历按照以(附件)形式,发送至邮箱:service@daopenglawyer.com