【专栏】元宇宙合规报告(十一)助力个人信息权利实现
肖飒 · 零壹财经 2022-02-08 11:54:05 阅读:9182
作者:肖飒法律团队 来源:肖飒lawyer
在此前的元宇宙合规报告中(见原创 | 元宇宙合规报告(八)数据合规),针对个人信息收集、处理、对外传输和提供方面的强监管,飒姐团队主要讨论了个人信息收集及传输过程的合规要点,今日文章我们来关注元宇宙项目中容易被项目方忽视的另一个维度——如何保障个人信息相关权利的实现。
去年11月生效的《个人信息保护法》第四章专门规定了“个人在个人信息处理活动中的权利”,包括个人的查阅权、复制权、转移权,更正权、补充权等权利,第15条规定了撤回同意权。不过,根据我们对几个已落地的元宇宙应用项目隐私协议/个人信息保护政策的观察,运营企业对于上述权利的保护并不充分,违法风险较高,为此,今日文章围绕企业如何实现个人信息权利的落地展开讨论,以供各位读者参考。
1.个人信息查询权
元宇宙项目的用户有权向项目运营方即个人信息处理者请求查阅由其处理的个人信息,这既是《个人信息保护法》第7条要求个人信息处理者处理个人信息公开透明原则的体现,也是第44条个人信息知情权的内容。具体来说,《个人信息保护法》第45条第1、2款规定了查询权,“个人有权向个人信息处理者查阅、复制其个人信息;有本法第十八条第一款、第三十五条规定情形的除外。个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。”不过我们注意到,许多包括元宇宙项目在内的应用程序并未提供用户查询运营者收集个人信息的入口,违反了前述规定。
根据《信息安全技术个人信息安全规范》8.1条,个人信息控制者应当向个人提供查询下列信息的方法:a)其所持有的关于该主体的个人信息或个人信息的类型;b)上述个人信息的来源、所用于的目的;c)已经获得上述个人信息的第三方身份或类型。鉴于此,为保障用户个人信息查询权,元宇宙项目运营者在应用程序中可增加独立的查询入口,具体来说,在查询页面,查询的内容可包括但不限于已获取的个人信息种类和内容、获取的时间、处理的主体及目的、保存的期限等项目。如个人信息的处理涉及第三方,应同时将个人信息的转移链条清晰显示。
2.个人信息复制权和转移权
这两项权利规定在《个人信息保护法》第45条,复制权的保障比较简单,可在前述查询页面设置复制按钮、提供复制功能便可实现。
转移权是查阅权和复制权的延伸,《个人信息保护法》第45条第3款规定“ 个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。”这里值得注意的是,对于提供的个人信息的形式,《<中华人民共和国个人信息保护法>释义》一书考察了考察立法目的、规范结构等基础上认为,个人信息处理者只需向个人提供“电子化、人类可读的个人信息副本,而并非结构化的、机器可读的数据”,这并未给收集、处理用户个人信息的元宇宙项目运营者增加额外成本。
因此,为满足“提供可转移途径”这一合规要求,运营者可以考虑提供“导出”功能,例如,个人运动监控的应用场景,对于个人运动、健康信息的转移,经营者可为用户提供记录在产品端的数据类型(如用户主动上传的个人信息,及产品记录的个人信息及其它数据如活动数据、睡眠数据、运动轨迹等),同时提供所需导出的起止日期。
3.个人信息更正权、补充权
另一项容易被忽视的权利是更正、补充权。《个人信息保护法》第46条规定,“个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充”。此外,更早颁布的《网络安全法》第43条也对网络运营者保障个人信息更正权提出了要求。
在元宇宙应用场景中,个人在元宇宙空间中的活动可能具有较高的连续性,相应地,运营方处理个人信息也就具有持续性,时间维度应当被充分考虑,个人信息处理者应及时响应用户的请求,更新个人信息。
在响应渠道设置上,元宇宙项目运营者可直接在个人信息查询入口项下,在查询界面设置编辑按钮,使用户可直接编辑自己授权给运营者的个人信息,对不准确、不完整的个人信息作出更正和补充,同时注意在后台保存用户更正、修改记录的痕迹,实现留痕以备自证清白的不时之需。或者,设置邮件通道、提供个人信息保护专员的联系方式、在线客服、人工客服等方式。
4.个人信息撤回同意权
《信息安全技术 个人信息安全规范》第8.4条即规定个人信息主体撤回授权同意的权利,《个人信息保护法》第15条在法律层面明确了个人信息主体撤回同意权,“基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。”即对于基于个人同意处理个人信息的场景下(根据《个人信息保护法》第14条,通常不涉及他人权益保护和社会公共利益),个人可以行使撤回权,法律后果是个人信息处理者应当主动删除(《个人信息保护法》第47条)。今年元旦生效的《深圳经济特区数据条例》第23条要求,处理个人数据应当采用易获取的方式提供自然人撤回其同意的途径,不得利用服务协议或者技术等手段对自然人撤回同意进行不合理限制或者附加不合理条件。
从我们观察的元宇宙项目app来看,可能因落地成本较高,尽管《个人信息保护法》生效已过百天,企业在保障撤回同意权实现方面落实得并不好,鲜有应用程序设置撤回同意路径。我们认为,企业应新设“撤回同意”功能。在产品界面增加撤回同意入口,或者提供邮箱、客户电话等方式。在确认用户撤回个人信息符合《个人信息保护法》第15条的要求,撤回主体是个人信息主体并出于真实意愿时,元宇宙项目运营方应当及时删除其存储的相应个人信息,并将删除结果同步用户。
相关文章
用户评论
所有评论
他的文章 ( 866 )
资讯排行
- 48h
- 7天
专题推荐
more
第四届中国零售金融发展峰会(共15篇)
《陆家嘴》交流会第6期(共14篇)
2022第一届中国数字科技投融资峰会(共43篇)
2019年数字信用与风控年会(共15篇)
-
首页
-
评论
-
回顶部
游客
自律公约