在之前的元宇宙合規(guī)報告中(見原始 | 元宇宙合規(guī)報告(8)數(shù)據(jù)合規(guī))�,對個人信息收集、處理�����、外部傳輸和提供監(jiān)督�����,沙姐妹團隊主要討論個人信息收集和傳輸過程的合規(guī)點��,今天我們關(guān)注元宇宙項目容易被項目方忽視的另一個維度——如何確保個人信息相關(guān)權(quán)利的實現(xiàn)�。
去年11月生效的《個人信息保護法》第四章特別規(guī)定了個人在個人信息處理活動中的權(quán)利�,包括個人參考權(quán)��、復制權(quán)����、轉(zhuǎn)讓權(quán)����、更正權(quán)和補充權(quán)。第十五條規(guī)定了撤回同意權(quán)�。然而,根據(jù)我們對元宇宙應用隱私協(xié)議/個人信息保護政策的觀察�����,經(jīng)營企業(yè)對上述權(quán)利的保護不夠�,違法風險較高。因此�,今天的文章討論了如何實現(xiàn)個人信息權(quán)利,供讀者參考�。查詢個人信息的權(quán)利
元宇宙項目的用戶有權(quán)要求項目運營商,即個人信息處理器查閱其處理的個人信息����,這不僅是《個人信息保護法》第七條要求個人信息處理者處理個人信息披露和透明原則的體現(xiàn),也是第四十四條個人信息知情權(quán)的內(nèi)容�。具體來說����,《個人信息保護法》第四十五條第一款�����、第三十五條規(guī)定了查詢權(quán)�,個人有權(quán)咨詢���、復制個人信息���;本法第十八條第一款、第三十五條規(guī)定的情形除外����。個人信息處理器應當及時提供個人信息。但是��,我們注意到�����,許多應用程序���,包括元宇宙項目����,沒有提供用戶查詢操作員收集個人信息的入口,違反了上述規(guī)定�。
根據(jù)《信息安全技術(shù)個人信息安全規(guī)范》8.一、個人信息控制器應向個人提供查詢以下信息的方法:a)關(guān)于主體的個人信息或個人信息類型����;b)上述個人信息的來源和目的;c)已獲得上述個人信息的第三方身份或類型����。有鑒于此,為了保護用戶的個人信息查詢權(quán)���,元宇宙項目運營商可以在應用程序中增加獨立的查詢?nèi)肟?�。具體來說�����,在查詢頁面中��,查詢內(nèi)容可以包括但不限于已獲得的個人信息類型和內(nèi)容����、獲取時間、處理主體和目的����、保存期等項目。如果個人信息的處理涉及第三方�����,則應清楚地顯示個人信息的轉(zhuǎn)移鏈�。
2.個人信息復制權(quán)和轉(zhuǎn)移權(quán)
這兩項權(quán)利規(guī)定在《個人信息保護法》第45條�,復制權(quán)的保障比較簡單,可在前述查詢頁面設(shè)置復制按鈕��、提供復制功能便可實現(xiàn)�。
轉(zhuǎn)移權(quán)是查閱權(quán)和復制權(quán)的延伸,《個人信息保護法》第45條第3款規(guī)定“ 個人請求將個人信息轉(zhuǎn)移至其指定的個人信息處理者���,符合國家網(wǎng)信部門規(guī)定條件的�,個人信息處理者應當提供轉(zhuǎn)移的途徑�����。”這里值得注意的是�,對于提供的個人信息的形式,《<中華人民共和國個人信息保護法>釋義》一書考察了考察立法目的�����、規(guī)范結(jié)構(gòu)等基礎(chǔ)上認為�����,個人信息處理者只需向個人提供“電子化�、人類可讀的個人信息副本,而并非結(jié)構(gòu)化的�、機器可讀的數(shù)據(jù)”,這并未給收集��、處理用戶個人信息的元宇宙項目運營者增加額外成本����。
因此,為滿足“提供可轉(zhuǎn)移途徑”這一合規(guī)要求���,運營者可以考慮提供“導出”功能���,例如����,個人運動監(jiān)控的應用場景��,對于個人運動���、健康信息的轉(zhuǎn)移���,經(jīng)營者可為用戶提供記錄在產(chǎn)品端的數(shù)據(jù)類型(如用戶主動上傳的個人信息,及產(chǎn)品記錄的個人信息及其它數(shù)據(jù)如活動數(shù)據(jù)��、睡眠數(shù)據(jù)���、運動軌跡等),同時提供所需導出的起止日期���。
3.個人信息更正權(quán)���、補充權(quán)
另一項容易被忽視的權(quán)利是更正、補充權(quán)���?���!秱€人信息保護法》第46條規(guī)定,“個人發(fā)現(xiàn)其個人信息不準確或者不完整的�����,有權(quán)請求個人信息處理者更正��、補充���。個人請求更正�����、補充其個人信息的��,個人信息處理者應當對其個人信息予以核實�,并及時更正���、補充”��。此外�,更早頒布的《網(wǎng)絡(luò)安全法》第43條也對網(wǎng)絡(luò)運營者保障個人信息更正權(quán)提出了要求。
在元宇宙應用場景中���,個人在元宇宙空間中的活動可能具有較高的連續(xù)性�����,相應地�����,運營方處理個人信息也就具有持續(xù)性���,時間維度應當被充分考慮,個人信息處理者應及時響應用戶的請求�,更新個人信息。
在響應渠道設(shè)置上�����,元宇宙項目運營者可直接在個人信息查詢?nèi)肟陧椣?,在查詢界面設(shè)置編輯按鈕��,使用戶可直接編輯自己授權(quán)給運營者的個人信息��,對不準確、不完整的個人信息作出更正和補充�,同時注意在后臺保存用戶更正、修改記錄的痕跡�����,實現(xiàn)留痕以備自證清白的不時之需�����?��;蛘?��,設(shè)置郵件通道、提供個人信息保護專員的聯(lián)系方式����、在線客服、人工客服等方式����。
4.個人信息撤回同意權(quán)
《信息安全技術(shù) 個人信息安全規(guī)范》第8.4條即規(guī)定個人信息主體撤回授權(quán)同意的權(quán)利,《個人信息保護法》第15條在法律層面明確了個人信息主體撤回同意權(quán)���,“基于個人同意處理個人信息的���,個人有權(quán)撤回其同意��。個人信息處理者應當提供便捷的撤回同意的方式�����。個人撤回同意�,不影響撤回前基于個人同意已進行的個人信息處理活動的效力��?���!奔磳τ诨趥€人同意處理個人信息的場景下(根據(jù)《個人信息保護法》第14條,通常不涉及他人權(quán)益保護和社會公共利益)����,個人可以行使撤回權(quán),法律后果是個人信息處理者應當主動刪除(《個人信息保護法》第47條)���。今年元旦生效的《深圳經(jīng)濟特區(qū)數(shù)據(jù)條例》第23條要求����,處理個人數(shù)據(jù)應當采用易獲取的方式提供自然人撤回其同意的途徑�,不得利用服務協(xié)議或者技術(shù)等手段對自然人撤回同意進行不合理限制或者附加不合理條件。
從我們觀察的元宇宙項目app來看�,可能因落地成本較高,盡管《個人信息保護法》生效已過百天�,企業(yè)在保障撤回同意權(quán)實現(xiàn)方面落實得并不好,鮮有應用程序設(shè)置撤回同意路徑�����。我們認為�����,企業(yè)應新設(shè)“撤回同意”功能����。在產(chǎn)品界面增加撤回同意入口,或者提供郵箱����、客戶電話等方式。在確認用戶撤回個人信息符合《個人信息保護法》第15條的要求�����,撤回主體是個人信息主體并出于真實意愿時,元宇宙項目運營方應當及時刪除其存儲的相應個人信息����,并將刪除結(jié)果同步用戶。
熱點:元宇宙 數(shù)據(jù)
非小號行情
