精心得体会个人信息保护中的企业隐私政策及政府规制最新.docx
《精心得体会个人信息保护中的企业隐私政策及政府规制最新.docx》由会员分享,可在线阅读,更多相关《精心得体会个人信息保护中的企业隐私政策及政府规制最新.docx(18页珍藏版)》请在冰豆网上搜索。
精心得体会个人信息保护中的企业隐私政策及政府规制最新
(精)心得体会:
个人信息保护中的企业隐私政策及政府规制(最新)
一、问题的提出
全球个人信息泄露的情况不容乐观。
美国著名社交媒体脸书外泄个人信息的报道在全球引发热议,我国支付宝年度账单引发的个人隐私争议也备受公众关注,相关企业先后被行政机关约谈。
这里涉及个人信息安全、企业隐私政策(privacypolicy)及其政府规制的问题。
事实上,从2017年下半年起,为推动互联网企业提高对个人信息保护的重视程度,提升行业个人信息保护的整体水准,由中央网络信息办公室、工业和信息化信部、公安部、国家标准化委员会等4部门组成的专家工作组对一些企业网络产品和服务的隐私政策展开了评审。
为此,隐私政策也愈来愈受到互联网企业的重视,他们纷纷在其网站显著位置公布隐私政策,以便用户知情和同意。
众所周知,网络与信息技术的发展给个人信息保护带来了严峻的挑战,如移动互联网可以随时随地收集和处理个人信息、云计算使个人信息远离了个人终端、社交网络使个人信息的公开成为用户自愿且日常化的行为、大数据分析可以轻易地将非个人信息转化为个人可识别信息,等等。
企业隐私政策是用户了解企业个人信息处理活动的重要渠道,但据粗略估算,若要用户真正去阅读他们每年所访问网站的隐私政策,每年人均将花费约250小时,既耗时又不便。
我国学者认为,企业隐私政策主要目的在于消除公众的顾虑,具有告知功能和制约功能。
然而,从实践情况来看,两项功能均未发挥积极的作用。
原因或许在于,企业隐私政策冗长又充斥着大量的专业术语,用户并没有被充分告知,许多个人信息都是在用户不知不觉之间被企业共享或者出售给第三方主体;同时,企业隐私政策的性质也并不清晰,发生纠纷时难以约束企业。
企业隐私政策究意能够发挥多大作用,政府可否规制以及如何规制等问题,目前的研究还不够深入。
特别是在欧盟实施《通用数据保护条例》、美国加州议会通过《消费者隐私法案》的全球大背景下,中国的个人信息保护立法应当如何展开,企业和政府如何各司其职,均需要从学理上加以研讨。
二、企业隐私政策的性质及实践
自个人信息保护法或者隐私法肇始,“告知与选择”(也称为告知与同意)一直是立法中最为重要和普适的机制。
“告知”是公开透明要求的体现,目的在于克服信息不对称而产生的市场失灵现象;而“选择”的内涵为同意,即用户在知情的前提下理性作出选择。
《经济合作与发展组织隐私保护指导纲领》《亚太经济合作组织隐私保护纲领》、欧盟《数据保护指令》和《通用数据保护条例》、美国《公正信息实践原则》、我国《全国人民代表大会常务委员会关于加强网络信息保护的决定》(2012年12月28日第十一届全国人民代表大会常务委员会第三十次会议通过)和《中华人民共和国网络安全法》(以下简称《网络安全法》)等个人信息保护立法,均强调对于个人信息的收集、处理必须经过信息主体的同意。
在这一机制之下,用户被企业告知产品服务信息及其相关的隐私政策;进而,用户选择是否使用该在线产品或服务,并期望企业充分保障自己的个人信息或隐私安全。
有必要说明的是,之所以称为“隐私政策”而不是个人信息政策,主要是沿袭和尊重境内外行业约定俗成的术语,其针对的对象仍然个人信息。
限于篇幅,本文并不对个人信息和个人隐私作进一步实质性的区分。
(一)概念与形态
隐私政策是指互联网企业以在线文件的方式自愿披露企业对用户个人信息保护的原则和措施,实践中,互联网企业一般都会在网站主页上公布自己的隐私政策,以确保告知与选择机制顺利实现。
此种自愿性声明,允许用户自主选择且对市场运作不予干预,业已成为世界各个国家和地区的通行作法。
目前,我国绝大多数的互联网企业均在网站主页下端设有隐私政策方面的规定,如腾讯网、新浪微博的隐私政策主要包括企业如何收集、使用、分享转让个人信息,用户如何分享个人敏感信息以及如何确保信息安全等方面的内容。
隐私政策通常按照产业发展规律或者行业自律标准而制定,目的在于保障用户个人信息的安全,同时也声明用户对于个人信息拥有的权利,包括被告知自己的信息被收集的权利、被告知个人信息在线提交的安全程度的权利、选择是否在线提交个人信息的权利、在线访问和修改自己的在线个人信息的权利、寻求纠纷解决的权利等。
之所以利用这一机制,原因在于传统的政府规制多以命令控制型规制为主,实施过于严格、僵化,并存在阻碍创新与竞争的可能。
同时,这一机制具有自愿性,不会对数据的合理流动造成不必要的限制,便于企业执行。
面对多种多样的用户需求,市场与自愿性的解决方案或许更能有效地解决问题。
总之,科学、规范的隐私政策能为企业提供竞争优势,如吸引更多的用户注册网站、提高网站的使用率;而隐私政策不合理的企业则可能会面临客户流失、利润下降的窘境。
企业隐私政策提升了网站运作的透明度,虽然系自愿性行为,但几乎所有的大型互联网企业均制定了隐私政策并加以实施执行。
此外,企业产品和服务还可以通过其他形式完成告知与选择功能,包括:
(1)增强式告知,即注册账号、安装程序、首次使用时向用户展示的关于个人信息保护的提示。
其并非传统意义上的隐私政策,而是对企业隐私政策核心内容的高度浓缩,即使用户之前没有阅读隐私政策,通过增强式告知也能够知晓隐私政策的核心内容,了解风险较高的个人信息处理行为。
(2)即时提示,网站针对个人敏感信息处理行为,在用户使用互联网过程中即时展示相关的处理行为。
用户通常都希望隐私政策中的相关内容能够真正得到应用和落实,而非仅停留于静态的文字。
(二)定性与学说
为回应广大用户对个人信息安全的关切,互联网企业将隐私政策与传统的合同性文本(如服务使用协议)相剥离而成为独立的文本或者网页。
其在定性上主要存在两种学说:
1.合同说
国外学者一般认为企业隐私政策系网站和用户之间的合同。
我国亦有持合同说者,认为“隐私政策的性质已经不再是一种声明,而是建立在双方合意基础上的协议,是网络服务合同不可缺少的一部分”。
还有人认为隐私政策是“网络格式合同”,指出中国现行法律虽无网络格式合同的概念,但满足“相对人有机会了解条款内容”和“明示同意”两个条件的网络格式合同应当得到法律承认,并适用格式合同的相关法律规定。
司法实践中也基本上将用户协议和企业隐私政策视为性质相同的合同,进而适用合同法。
如在“卢星与小米科技有限责任公司网络购物合同纠纷案”中,二审法院就将原告与被告之间的用户协议和企业隐私政策均视为合同。
不过实践中,一些国家的法院经常会针对不同的情形,作出具有差异性的判断。
例如,在一起案件中,原告起诉美国航空公司违反企业隐私政策将乘客信息移交给联邦交通运输安全局,法院对违反企业隐私政策系违反合同的主张予以承认。
而在另一起案件之中,法院对企业隐私政策的合同属性则持怀疑态度,认为如此宽泛的声明并不构成合同条款。
总体而言,合同法并没有成为解决企业隐私政策争议的有效工具。
这里的问题在于,网络上的同意方式一般可分为点击生效和浏览生效两种。
在点击生效的情况下,用户点击“我同意”或者“我接受”等按钮,即表示其在使用网站之前已经同意企业隐私政策的内容,因此网站和用户均会受到合同法的拘束。
点击生效的协议易于确定用户是否以及何时同意协议的内容,具有较强的可执行性。
而在浏览生效的情况下,则很难认定企业隐私政策具有拘束性。
虽然从形式来看,用户如果不同意相关的协议就无法浏览网页,但事实上并无拘束力,一些法院认为浏览生效并不构成同意。
就企业本身而言,因为已存在服务使用协议,其也不愿将隐私政策视为合同,故主张企业隐私政策在性质上仅仅为政策声明,并不具有执行性。
法院很少将隐私政策视为合同的另一个重要原因在于,原告较难证明其因企业违反义务而遭受损害。
当然,法院或许可以适用“允诺禁反言原则”,这一原则要求允诺人不得对已使受诺人产生信赖的诺言进行反悔,主要适用无过错归责原则。
但在实践中,原告仍然面临举证难题,这使人们对告知与选择机制的有效性产生了疑虑。
2.规制工具说
企业隐私政策是实施告知与选择机制的首要方式。
有效告知意味着企业必须向用户公开收集、使用个人信息的相关作法;选择则是基于告知、同意而作出,既可以保障个人不同的信息偏好,又促进了数据合理流动。
因而有学者将其视为一种企业自我规制的工具。
于此框架下,在对产品、服务以及个人信息保护水准进行理性比较的基础上,个人自主决定个人信息是否被收集、利用和共享。
企业通过隐私政策将自身的个人信息保护实践公布于众,同时也为行政机关提供了规制依据,进而形成了企业自我规制和政府规制的互动与关联。
以美国为例,20世纪90年代,因应公众对于个人信息的关切,联邦贸易委员会成为个人信息与隐私保护的行政机关。
不过,它认为自己并无足够的能力制定实体性的隐私保护规则,僵化的政府规制还可能会抑制网络发展,于是在实践中鼓励企业自我规制,将执法活动限缩于对企业隐私政策的审查和规制。
由此,企业自己创制保护个人信息和隐私的政策,并由行政机关监督规则的实施,就成为美国个人信息保护的主要作法。
欧盟个人信息保护立法虽然极为强调政府规制,但自我规制也是不可或缺的部分。
当企业的自我规制失灵时,行政机关的监督和审查便作为“后盾”,这不仅能够确保自我规制的合法性,而且使用户将企业隐私政策视为一种可信任的个人信息保护工具。
客观地讲,以上两种学说只是从不同视角展开的观察,前者围绕企业和用户的关系展开,后者则从行政机关和企业的关系层面进行描述,两者并无实质性冲突。
问题在于,如何科学地认识企业隐私政策在政府规制中的作用。
实践中,由于时间原因,用户很少阅读隐私政策;即使阅读,也常因为隐私政策充斥晦涩的法律术语望而却步。
因此,用户往往因为微小的商业利益而低价出售自己的个人信息。
企业出于商业利益的驱动往往忽视隐私政策的承诺,而行政机关又难以有效应对快速发展的网络和信息技术。
诸如此类的问题导致个人信息和隐私保护面临巨大的挑战,使传统的私法保护或公法模式出现失灵。
基于此,如何发挥私法和公法的共同作用,如何从政府规制的视角来看待企业隐私政策的合同拘束效果,值得深入探讨。
(三)实践与不足
在网络服务活动中,企业隐私政策会对用户产生积极而显著的影响。
隐私政策通过在企业和用户之间建立信任,切实促进了用户的信息披露意愿。
不过,实践中企业隐私政策的实施也存在诸多不足,主要体现于以下几个层面:
(1)由于隐私政策的内容用语通常较为宽泛、模糊,导致有些用户认为只要确认当前的隐私政策,网站就不会将其个人信息共享给第三方,但事实并非如此。
企业违反对用户的承诺、不遵守隐私政策的情况时有发生。
例如,未经用户同意收集个信息,在用户不知情的情况下安装软件收集个人信息;非法搜集用户个人信息形成画像,用于定向推送商业广告等目的;将个人信息非法转售给第三方,甚至破产时将个人信息出售用以抵债,等等。
(2)由于企业隐私政策的内容专业且冗长,对于未受过法律教育的用户而言,即使全面阅读也徒劳无益。
(3)由于企业自身能力的不足,隐私政策很难准确地说明以及预测个人信息处理和利用的情形。
(4)互联网企业经常单方面改变隐私政策,而未将相关修改事先告知用户。
虽然有些修改系企业因应技术发展而引发,但从用户的视角来看,企业通常是基于产业发展和自身利益而展开的修订工作,对用户的利益和期望毫不在意。
(5)随着大数据技术的发展,信息整合会披露出更多的个人敏感信息,而用户无法理解未来信息整合的影响,也无法评估未来可能带来的损害,从而很少认真阅读企业隐私政策;即使事后发现个人信息或者隐私受到侵害,也往往因难以证明损害事实而败诉。
这使得隐私政策常常成为企业逃避责任的挡箭牌。
实践中,企业隐私政策的制定、内容规定以及个人信息保护效果常因企业能力、重视程度等因素而呈现出较大的差异,对个人信息安全产生了巨大的影响,因此用户不断要求政府予以规制。
如即使是主张隐私自我规制的美国,也时有法案提出试图以政府规制全面替代企业的自我规制。
不过,这些立法提案并没有得到美国国会的认可。
原因在于企业隐私政策虽然存在不足,但是一方面完全依赖于政府规制则会抑制企业创新,企业唯有真正重视隐私政策及其实施过程,自我规制方可发挥作用;另一方面企业隐私政策本身可以成为执法依据而被行政机关强制执行。
尤其是后者,往往被各国在推行企业隐私政策之时所忽略。
三、内部修正:
告知与选择机制的存废和改进
从国内外个人信息保护立法来看,告知与选择机制业已成为个人信息保护的主要趋势,并在个人信息保护实践中获得普遍认可。
在具体操作中,互联网企业通过制定隐私政策并采取相关技术措施来贯彻告知义务和保障信息主体的选择权。
由于每个人的隐私倾向不尽相同,告知与选择机制的灵活性可以避免武断地为个人信息保护设置整齐划一的标准,从而利用用户自治避免过度规制引发的僵化后果。
然而,从前述分析来看,此种机制在个人信息保护方面存在一定的缺陷。
尤其是大数据时代背景下,个人信息不仅是私人物品,而且具有不容忽视的社会公共属性,业已成为互联网产业发展的主要动力。
此时,用户个人的同意可能很难承载这种公共意志。
同时,需要企业在隐私政策中告知什么内容亦面临着较大的挑战,因为在大数据时代,收集什么信息、如何使用信息、结果如何等,均可能处于不确定的状态。
在企业、用户均无法充分理解面临的情形之时,对个人信息与隐私的全面保护便可能成为奢望。
那么,告知与选择机制的出路何在?
如何使企业隐私政策更加有效?
本部分将主要从企业内部修正的视角加以探讨。
(一)告知与选择机制的存废
由于告知与选择机制在实践中运行不甚理想,包括企业隐私政策在内的相关设计是否有必要继续存在,成为近年来个人信息保护立法的一个热点议题。
对此,肯定说认为:
对于网络发展及其产生的问题,传统的命令控制型规制很难发挥作用,要求企业披露相关内容远比对个人信息保护问题作出实体性规制容易。
虽然告知与选择机制存在问题,但在实现个人自主选择权方面仍有不可替代的作用,其可以避免政府直接介入带来的不良后果。
将个人信息保护的任务交由企业,可以充分满足不同用户、不同产业、不同商业模式的差异化需求,可以促进科技创新和电子商务的快速发展。
基于披露的规制工具自身并不能解决所有问题,不可片面强调告知与选择机制的局限。
以环境领域为例,信息披露之后尚需其他规制工具配合才能实现环境治理的目标。
虽然告知与选择机制、企业隐私政策的适用效果不尽如人意,但并不代表它不重要,更不能否定其存在的必要性和正当性,应要进一步明确该机制和企业隐私政策的适用范围与形式,同时政府也要对处理个人信息的全过程予以监督。
否定说认为:
首先,在告知与选择机制下,企业所提供的是要么全盘接受要么悉数拒绝的条款,作为个体的用户并不具备与网站协商隐私保护政策的谈判能力。
多情形之下,隐私政策成为企业逃避责任的工具,告知与选择机制难以成为个人信息处理的正当性基础。
其次,告知与选择机制片面强调个人知情同意的重要性,而忽视了个人信息的社会属性及其作用。
目前的立法和实践赋予企业更多的裁量权,鼓励企业以功利的目的收集个人信息并从中获利,而对个人信息的社会作用及其实现关注不够。
有必要将个人信息保护从程序规范保护机制转向实体规范保护机制,在企业、用户之间真正建立充分的信任关系。
未来立法也应将关注个人信息收集、使用转向什么样的信息实践能够在数字经济背景之下服务于公共利益的实现。
最后,告知与选择机制仅关注个人信息收集的初始阶段,事实上,使用、交易等信息处理环节也同等重要,相关的行为是否需要经过信息主体的再次同意,由哪个组织来监督等,均值得深入讨论。
应该讲,以上两种观点均有一定的道理。
在当前的技术背景下,有关个人信息保护的认知和实践确实发生了很大的变化。
大数据分析可能会挖掘出许多原本并非属于个人信息但却能清晰地识别出确定的个人的信息,个人信息的用途也变得无法预测等,导致隐私政策无法详尽说明企业的个人信息保护实践。
而在现实中,面对新技术,用户很难理解数据聚集产生的效应,也很难评估信息泄露、融合的潜在危害,更无法进行长期的成本收益分析,告知与选择机制似乎成了摆设。
与此同时,个人信息的作用不仅对个人发展极为重要,对于社会发展亦极为重要,其具有一定的公共性且成为当前信息产业的基础和支撑。
传统的个人权利和信息正当使用的相关原则受到了挑战,对于个人信息的公共物品特征也越来越得到强调和证成。
所以,在最新的技术发展背景之下,传统告知与选择机制必然受到冲击。
然而,完全予以放弃则会因个人信息收集的“入口”过于宽松而带来更多的问题。
因此,可行的方案在于逐渐采取措施改进该机制的不足。
不过也应当注意到,透明度或者公开并非是信息正当利用的充分条件,尚需要与其他机制相互结合。
(二)告知与选择机制的改进
作为告知与选择机制中最为重要的措施,企业隐私政策虽然在实际运行过程中存在诸多的问题,但是从世界各个国家和地区的立法实践来看,并没有出现放弃该机制的作法。
这是因为,面对网络和信息技术的发展,政府直接介入可能产生抑制创新和竞争的不利后果,而发挥企业自我规制并对其进行适当监督,不仅可以促进创新,也有利于产业发展和个人信息保护。
并非所有社会问题都可以通过行政手段解决,信息时代的社会问题更宜通过自下而上、自发学习和弹性合作的方式加以回应。
为此,有必要从以下两个层面对企业隐私政策加以改进:
1.侧重于企业隐私政策本身的改进建议
有建议认为,为使告知与选择的机制切实有效,要求隐私政策必须能够将企业的个人信息保护制度全面、准确地传达给用户,从而让用户作出理性的选择。
为此,企业必须给用户提供内容明确、易于理解的信息。
当然,作为用户,也应该认真阅读隐私政策。
例如,2012年美国联邦贸易委员会向国会提交的一份报告中就要求企业隐私政策必须明确、显著,不能使用相互矛盾的语言,并建议企业在隐私政策之前制作一个简明的摘要,此举被称为“分层告知”方式。
分层告知是指将企业隐私政策的内容以表格或者其他标准化的方式加以公布,其意义在于为用户提供更为简明的告知方式以便阅读——惊鸿一瞥总比一无所知要好。
实践亦证明,用户更愿意阅读以形象化方式公布的企业隐私政策。
还有学者建议应该利用其他学科的知识来促成更为有效的告知,以便让用户积极阅读并理解企业隐私政策,如有建议将食品安全、环境规制等领域的作法引入个人信息保护实践之中。
当然,简化并不意味着用户无需阅读企业隐私政策的各项术语,而是要求企业不断改进隐私政策及其实现措施,以更为明确的方式让用户了解企业有关信息收集、使用和处理的制度。
为了提升用户参与企业隐私政策制定和执行的能力,有建议强调应该通过公共教育促进对个人信息保护的重视;强调多元主体参与,建立网络隐私指引和认证机制、企业隐私政策协商制度等。
还有建议还指出,企业隐私政策应当运用点击生效的方式,如此更易引发用户的关注,在网站和用户之间形成拘束效果,从而促成合同法的适用。
不过,企业持谨慎的态度,并认为如此作法将影响网站的访问。
另一个改进的策略则是将企业隐私政策与用户协议等合并,虽然有一定的拘束力,但仍然存在举证的困境。
2.基于技术的解决方案
此类方案认为,对于个人信息保护的各项规则(包括企业隐私政策)均过于侧重程序性保护,而忽视了实体性问题。
实体性问题是指在强调个人信息主体知情同意之时,对最少必要、目的明确、安全利用等规则也要以明确、易懂和合理的方式加以确定。
基于技术的解决方案强调关注用户对个人信息和隐私安全的期望,并超越企业隐私政策本身而关注网站、软件和设备的整体结构与设计,制定更容易操作的同意规范、实践以及标准,也许这正是互联网规制机关、企业、行业组织等多方主体未来所要解决的重要议题。
目前,“隐私增强技术”被视为基于技术的解决方案中较具代表性的作法,意在将实体性的隐私保护融入企业运作之中,且对企业产品和服务的整个生命周期予以关注,以实现全面保护个人信息安全的目的。
隐私增强技术主要解决隐私和个人信息安全的单方面问题,以匿名化为例,通过对个人信息的技术处理,使得个人信息主体无法被识别,其是一种对产品或服务的后期设计与考量。
再如万维网联盟为保护在线隐私发展出了一个标准,即“隐私偏好平台”,该标准能够将用户浏览的网站的隐私政策与用户隐私偏好进行比对。
这一标准后来被一些企业所借鉴,不过结果并不理想。
因为其作用仅仅在于增强企业隐私政策的透明性,使用户可以清楚地理解个人的何种信息被收集、用于何种目的以及存储多长时间,标准本身不能保障网站是否履行其隐私政策,因而,无法完全解决个人信息保护的根本问题。
基于技术解决方案的另一个代表性作法为“通过设计保护隐私”。
目前经济合作与发展组织、欧盟、美国等均在立法中对信息管理者施加了通过设计保护隐私的义务,要求其在信息生命周期的最开始就去思考个人信息和隐私保护的问题,而不是在事件发生之后。
此种机制的主要作法是将个人信息保护嵌入技术、商业准则和物理存在的基础设施的设计标准中并加以保护。
信息管理者在设计产品或服务时,要将个人信息与隐私保护机制和业务结构、规模、数量和敏感度等因素予以关联。
此种风险预防、技术与法律互动的思路克服了过去仅在信息收集时单纯依赖告知与选择机制的作法的不足,让信息管理者甚至信息主体参与到企业运作和个人信息保护的全过程,有利于提升产业自身个人信息保护的能力和主动性。
通过设计保护隐私主要针对整个系统,和隐私增强技术有一定的差异,但两者经常会同时或者相互被提及和使用。
从以上两个层面的改进方案来观察,前者侧重于隐私政策本身的修正,而后者侧重于技术方面的改进。
虽然技术性的解决方案未必是法学所关注的重点议题,但是科技发展和法律规范形成之间的互动却值得关注,或许这种互动会为构建个人信息保护的实体性规范作出贡献。
如依据技术分析和参数要求,可以确定特定行业在个人信息收集时最少必要原则的范围。
同时,也可以看出,两种改进方案均处于不断完善和发展之中,需要技术、法律、社会规范等方面共同协作,才会有更佳的效果。
当然,因应现实中技术和商业模式的快速变迁,法律及其运作如何能够发挥自身的积极引导作用,亦将成为个人信息保护法治实践中需要时刻关注的课题。
(三)我国的探索
我国《网络安全法》第41条关于用户告知同意的规则要求网络经营者收集、使用个人信息,应当遵循“合法、正当、必要原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
”但什么构成“正当、必要”以及企业告知和用户选择的具体方式,立法并未作出具体要求。
实践中,使用企业隐私政策无疑是最符合成本收益的方式,企业对之趋之若鹜。
随着用户权利意识不断增强,企业应当逐步确立“通过设计保护隐私”的理念,将个人信息保护的概念融入产品和服务中,而不能完全依赖隐私政策。
但是,个人信息种类的多样性和信息利用方式的复杂性使针对个体用户提供定制化的产品或服务一般难以实现。
再者,由于我国个人信息保护经验积累不多,也使告知与选择机制、企业隐私政策仍然是现阶段我国个人信息保护的主要举措。
因此,中央4部门才会展开评估活动并并企业隐私政策视为个人信息保护的突破口。
放眼未来,还需对企业隐私政策、告知与选择机制的实施不断改进,细化相关立法规定,以为网络运营者和用户提供明确指引。
实践中,一些企业为了使个人信息安全保护更具针对性,根据个人信息收集和使用的必要性不同,将网络产品与服务的功能区分为核心业务功能和附加业务功能。
核心功能旨在满足用户注册产品或服务后的基本要求,附加功能则是为提升用户体验而设计。
以《京东隐私政策》为例,其第1条第1项明确告知用户产品或者服务的所有核心功能与附加功能,以及其收集个人信息的内容、目的和用途,并于第1条第2项明确告知用户拒绝提供或拒绝同意的后果。
拒绝核心功能收集和使用个人信息的影响将是无法注册成为网络或产品的用户,并无法享受所有服务;拒绝附加功能收集和使用个人信息,则不会影响用户正常使用产品或服务的核心功能。
也就是说,只有用户主动使用产品或服务的附加功能,且使用该功能须收集和使用用户个人信息时,才会触发通过设计保护隐私的“开关”,其相对于核心功能保护要求更加严格。
与此同时,网络运营者仍然可在用户首次使用或注册时与用户签订统一的隐私政策,完成用户使用产品或服务的核心功能时收集和使用个人信息的授权。
附加功能的使用有时还需要用户主动触发,例如主动点击同意或填写相关的个人信息。
此种做法也被2018年起实施的国家
升级会员 