新用工形态下的法律问题（四）—— 灵活就...

继2017年6月1日《网络安全法》这一中国网络安全框架性法律文件正式实施后，我国于2018年5月1日起正式施行GB/T 35273-2017《信息安全技术 个人信息安全规范》（以下简称“《个人信息安全规范2017》”）。2020年3月7日，国家市场监督管理总局、国家标准化管理委员会正式发布GB/T 35273-2020《信息安全技术 个人信息安全规范》（以下简称“《个人信息安全规范2020》”），将于2020年10月1日正式实施并取代GB/T 35273-2017。《个人信息安全规范2020》的正式发布反映了相关部门对于新形势下个人信息保护问题的最新监管态度。尽管《个人信息安全规范2020》仅为国家推荐性标准，不具有强制力，但作为个人信息安全领域最基础和最重要的国家标准，其中所规定的相关制度对于企业在个人信息保护方面具有重要的借鉴意义。

此外，工信部、公安部、全国信息安全标准化技术委员会等相关部门于2018、2019年就个人信息出境、个人信息安全、App收集个人信息规范等方面制定了诸多配套性制度，例如《个人信息出境安全评估办法（征求意见稿）》、《App违法违规收集使用个人信息自评估指南》、《互联网个人信息安全保护指南》、《信息安全技术 个人信息安全影响评估指南（征求意见稿）》等。

2019年一季度工信部对100家互联网企业106项互联网服务进行抽查。其中，包括某明星平台企业在内的18家互联网企业存在未公示用户个人信息收集使用规则、未告知查询更正信息的渠道、未提供账号注销服务等问题，工信部责令相关企业整改。结合2019年中央网信办、工信部、公安部、市场监管总局四部门对App收集个人信息的专项治理行动及国家市场监督管理总局等部门开展的“网剑行动”中所反映的问题来看，企业在收集使用个人信息时通常存在以下违规行为：

1. 未公开收集个人信息的使用规则

随着企业数据合规意识的普遍提高，目前绝大多数网站及App都会公示相关的用户注册协议或隐私政策。但是，随着立法及执法深度的不断加强，企业需从“形式公示”转变到“实质公示”并重视公示内容的完整性、精确性和合规性。根据2019年11月28日发布的《App违法违规收集使用个人信息行为认定方法》相关规定，以下四种行为都有可能被监管部门认定为“未公开收集使用规则”：

（1）没有隐私政策或者隐私政策中没有收集使用个人信息规则；

（2）未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则；

（3）隐私政策等收集使用规则难以访问，如进入App主界面后，需多于4次点击等操作才能访问到；

（4）隐私政策等收集使用规则难以阅读，如文字过小过密、颜色过淡、模糊不明，或未提供简体中文版等。

2. 未经同意收集个人信息或在提醒阅读隐私政策前就开始收集、上传个人信息

目前较为常见的违规行为包括：（1）隐私政策放置在用户填写信息进行注册的栏目下方或网页/App页面的底部，需要点击才能链接到隐私政策全文或将隐私政策发布在注册后才可访问的页面中；（2）未将阅读隐私政策设置为注册的勾选选项，隐私政策如同虚设。

此外，《App违法违规收集使用个人信息行为认定方法》中也规定了其他九种可以被认定为“未经用户同意收集使用个人信息”的违规行为，例如违反所声明的收集使用规则收集使用个人信息、未向用户提供撤回同意收集个人信息的途径、方式等。

3. 过度收集个人信息

根据《电信和互联网用户个人信息保护规定》，互联网信息服务提供者在提供服务的过程中收集、使用用户个人信息，应当遵循合法、正当、必要的原则。实践中，大量App收集的个人信息与其实现的产品功能并没有明确关联，甚至明显超出合理范围。《App违法违规收集使用个人信息行为认定方法》将“收集个人信息的频次等超出业务功能实际需要”也作为过度收集个人信息的违规行为之一。

基于前述，我们可以看到《App违法违规收集使用个人信息行为认定方法》较《网络安全法》、《电信和互联网用户个人信息保护规定》、《个人信息安全规范》等而言都更为具体明确，但同时其也为企业设定了更高标准的义务。

在实务中，我们建议灵活用工的平台企业：

（1）制定具体明确、通俗易懂的个人信息保护政策及个人信息收集使用规则

根据最新发布的《个人信息安全规范2020》，笔者注意到在《个人信息安全规范2017》以及《信息安全技术 个人信息安全规范（征求意见稿》（2019.10.22版）中使用的“隐私政策”被调整为“个人信息保护政策”。根据《民法典》草案，隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。目前实践中很多网站或App惯用的“隐私政策”内容实质都是针对个人信息保护的相关政策，而非隐私政策。我们建议将现有的“隐私政策”命名调整为“个人信息保护政策”，以实现与法规的统一性。

目前的个人信息保护政策最大的问题是流于形式或仅仅概括地描述收集的信息及使用用途。我们建议企业可参照《个人信息安全规范2020》中有关个人信息保护政策的内容，就收集个人信息的目的、种类、数量、频度、方式、范围、保存地点、期限、对外披露及跨境传输规则等予以明确规定。必要时，企业还可在个人信息保护政策中将重点内容以加粗、下划线等强调表示来提醒个人信息主体加以注意。

（2）以显著方式公示个人信息保护政策及个人信息收集使用规则，并获得个人信息主体同意

一般来说,很少有用户会在访问网页/App时特意点击个人信息保护政策的链接去阅读全部内容。根据《个人信息安全规范2020》中的指引，建议企业在用户首次打开网页/App、注册账号等情形时，通过弹窗等显著形式主动展示个人信息保护政策的主要或核心内容，以帮助用户判断是否要继续使用产品或服务。

根据《个人信息安全规范2020》，信息可以分为“个人信息”[1]和“个人敏感信息”[2]，且收集个人敏感信息前，应征得个人信息主体的明示同意，并应确保个人信息主体的明示同意是其在理解收集目的和相关处理规则的基础上自主给出的、具体的、清晰明确的意愿表示。

鉴于新兴业态企业在灵活用工时必然会收集灵活就业者的身份证件号码、银行账号、交易信息等个人敏感信息内容，相关企业需通过由用户主动勾选“同意个人信息保护政策”的方式获得用户的“明示同意”。

（3）事先对灵活就业者所需提供的个人信息范围进行评估，仅收集必要范围内的个人信息

企业收集的个人信息越多，也意味着其将面临更高的个人信息泄漏风险，因此建议仅收集必要范围内的个人信息。若企业后续因扩展业务或增加服务等原因需收集的个人信息超出原有范围，可通过向用户更新个人信息保护政策或增加提示的方式来获得同意收取其他个人信息。

为避免被认定与灵活就业者之间构成劳动关系，同时也是为了减少自身负担，新兴业态企业常通过第三方服务商来进行灵活就业者的报酬发放、代缴税款等操作。这其中，必然会涉及到平台企业将所收集的灵活就业者个人信息共享/传输给关联公司或其他第三方服务商的行为。

《网络安全法》第42条规定，“网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息”。因此，上述向关联公司或其他第三方服务商共享/传输的行为，应当事先征得灵活就业者的同意。

结合《个人信息安全规范2020》第9.2节及《信息安全技术 个人信息安全影响评估指南（征求意见稿）》等相关规定，我们建议平台企业在共享个人信息环节应特别注意以下要求：

1. 在个人信息保护政策中事先就告知灵活就业者其会共享/传输其个人信息（尤其是个人敏感信息的类型），共享/传输的目的、数据接收方/共享方的类型、数据接收方的身份和数据安全能力，以及可能产生的后果，并事先征得灵活就业者的明示同意；

    

2. 在进行共享前开展个人信息安全影响评估，并采取有效的保护个人信息的措施（在共享/传输个人敏感信息时应采用加密等安全措施）。评估的内容包括但不限于个人信息的类型、数量、敏感程度等，数据发送方的安全管理保障和安全技术保障能力，数据接收方的安全管理保障和安全技术保障能力，数据接收方可能会开展的个人信息处理活动，发生个人信息安全事件后的补救措施，数据接收方所能响应个人信息主体的请求的范围等；

    

3. 准确记录和保存个人信息共享/传输情况，包括共享/传输的日期、规模、目的以及数据接收方/共享方基本情况等；

    

4. 由于《个人信息安全规范2020》明确规定，个人信息控制者需承担因共享、转让个人信息对个人信息主体合法权益造成损害的相应责任，平台企业作为数据分享方，应与数据接收方/共享方通过书面协议等方式明确约定接收方/共享方的个人信息保护责任和义务，以及相应的违约责任；若企业发现接收方/共享方存在违约或违规处理、使用个人信息行为的，应立即要求接收方/共享方停止相关行为，并采取有效措施来保护所共享/传输的个人信息；

    

5. 向灵活就业者提供有效的更正、删除个人信息及注销用户账号功能，并及时响应用户操作，完成核查和处理；并帮助个人信息主体了解数据接收方对个人信息的保存、适用等情况，以及个人信息主体的权利，例如，访问、更正、删除、注销账户等。

对于因涉及灵活用工而收集了大量个人信息的平台型企业，需注意设立专职的个人信息保护负责人和个人信息保护工作机构，负责个人信息安全工作。根据《个人信息安全规范2020》第11.1条的规定，满足下列三个条件之一的，即必须设立专职人员和机构：（1）主要业务涉及个人信息处理，且从业人员规模大于200人；（2）处理超过100万人的个人信息，或预计在12个月内处理超过100万人的个人信息；（3）处理超过10万人的个人敏感信息的。

最后，我们也建议涉及大量个人信息数据的收集和处理的平台企业制定完善的个人信息保护合规政策，提高网络安全保护等级，并通过向员工进行定期合规培训等方式来规范员工的行为，以避免因侵犯公民个人信息权利所可能导致的民事、行政责任，甚至在极端情况下因个别员工牟利而出售公民个人信息等行为而导致刑事责任。