时间:2022-02-08|浏览:460
在之前的元宇宙合规报告中(见原始 | 元宇宙合规报告(8)数据合规),对个人信息收集、处理、外部传输和提供监督,沙姐妹团队主要讨论个人信息收集和传输过程的合规点,今天我们关注元宇宙项目容易被项目方忽视的另一个维度——如何确保个人信息相关权利的实现。
去年11月生效的《个人信息保护法》第四章特别规定了个人在个人信息处理活动中的权利,包括个人参考权、复制权、转让权、更正权和补充权。第十五条规定了撤回同意权。然而,根据我们对元宇宙应用隐私协议/个人信息保护政策的观察,经营企业对上述权利的保护不够,违法风险较高。因此,今天的文章讨论了如何实现个人信息权利,供读者参考。查询个人信息的权利
元宇宙项目的用户有权要求项目运营商,即个人信息处理器查阅其处理的个人信息,这不仅是《个人信息保护法》第七条要求个人信息处理者处理个人信息披露和透明原则的体现,也是第四十四条个人信息知情权的内容。具体来说,《个人信息保护法》第四十五条第一款、第三十五条规定了查询权,个人有权咨询、复制个人信息;本法第十八条第一款、第三十五条规定的情形除外。个人信息处理器应当及时提供个人信息。但是,我们注意到,许多应用程序,包括元宇宙项目,没有提供用户查询操作员收集个人信息的入口,违反了上述规定。
根据《信息安全技术个人信息安全规范》8.一、个人信息控制器应向个人提供查询以下信息的方法:a)关于主体的个人信息或个人信息类型;b)上述个人信息的来源和目的;c)已获得上述个人信息的第三方身份或类型。有鉴于此,为了保护用户的个人信息查询权,元宇宙项目运营商可以在应用程序中增加独立的查询入口。具体来说,在查询页面中,查询内容可以包括但不限于已获得的个人信息类型和内容、获取时间、处理主体和目的、保存期等项目。如果个人信息的处理涉及第三方,则应清楚地显示个人信息的转移链。
2.个人信息复制权和转移权
这两项权利规定在《个人信息保护法》第45条,复制权的保障比较简单,可在前述查询页面设置复制按钮、提供复制功能便可实现。
转移权是查阅权和复制权的延伸,《个人信息保护法》第45条第3款规定“ 个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。”这里值得注意的是,对于提供的个人信息的形式,《<中华人民共和国个人信息保护法>释义》一书考察了考察立法目的、规范结构等基础上认为,个人信息处理者只需向个人提供“电子化、人类可读的个人信息副本,而并非结构化的、机器可读的数据”,这并未给收集、处理用户个人信息的元宇宙项目运营者增加额外成本。
因此,为满足“提供可转移途径”这一合规要求,运营者可以考虑提供“导出”功能,例如,个人运动监控的应用场景,对于个人运动、健康信息的转移,经营者可为用户提供记录在产品端的数据类型(如用户主动上传的个人信息,及产品记录的个人信息及其它数据如活动数据、睡眠数据、运动轨迹等),同时提供所需导出的起止日期。
3.个人信息更正权、补充权
另一项容易被忽视的权利是更正、补充权。《个人信息保护法》第46条规定,“个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充”。此外,更早颁布的《网络安全法》第43条也对网络运营者保障个人信息更正权提出了要求。
在元宇宙应用场景中,个人在元宇宙空间中的活动可能具有较高的连续性,相应地,运营方处理个人信息也就具有持续性,时间维度应当被充分考虑,个人信息处理者应及时响应用户的请求,更新个人信息。
在响应渠道设置上,元宇宙项目运营者可直接在个人信息查询入口项下,在查询界面设置编辑按钮,使用户可直接编辑自己授权给运营者的个人信息,对不准确、不完整的个人信息作出更正和补充,同时注意在后台保存用户更正、修改记录的痕迹,实现留痕以备自证清白的不时之需。或者,设置邮件通道、提供个人信息保护专员的联系方式、在线客服、人工客服等方式。
4.个人信息撤回同意权
《信息安全技术 个人信息安全规范》第8.4条即规定个人信息主体撤回授权同意的权利,《个人信息保护法》第15条在法律层面明确了个人信息主体撤回同意权,“基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。”即对于基于个人同意处理个人信息的场景下(根据《个人信息保护法》第14条,通常不涉及他人权益保护和社会公共利益),个人可以行使撤回权,法律后果是个人信息处理者应当主动删除(《个人信息保护法》第47条)。今年元旦生效的《深圳经济特区数据条例》第23条要求,处理个人数据应当采用易获取的方式提供自然人撤回其同意的途径,不得利用服务协议或者技术等手段对自然人撤回同意进行不合理限制或者附加不合理条件。
从我们观察的元宇宙项目app来看,可能因落地成本较高,尽管《个人信息保护法》生效已过百天,企业在保障撤回同意权实现方面落实得并不好,鲜有应用程序设置撤回同意路径。我们认为,企业应新设“撤回同意”功能。在产品界面增加撤回同意入口,或者提供邮箱、客户电话等方式。在确认用户撤回个人信息符合《个人信息保护法》第15条的要求,撤回主体是个人信息主体并出于真实意愿时,元宇宙项目运营方应当及时删除其存储的相应个人信息,并将删除结果同步用户。
用戶喜愛的交易所
已有账号登陆后会弹出下载