怎么弹窗构成骚扰用户

来源:数据何规

文章摘要
数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。比如,某个特定的场景抄哪家大厂的作业比较合适。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。

数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。比如,某个特定的场景抄哪家大厂的作业比较合适。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。
由此,我建立了一个小规模的社群,和朋友们讨论数据合规相关的问题。我相信其中的部分讨论是兼具共性和分享价值的。初步计划每周一次,对群聊内容以问答的形式进行梳理、共享。希望对你有所帮助。
• CONTENT •
「怎么弹窗构成骚扰用户」
「运营商提供加密电话合规性」
「未成年个人信息删除」
「4S店分析客户人脸信息合规性」
「线下零售门店告知同意」
「入职背调时的告知同意」
「单独同意落地」
「算法的监管规定」
「二手车交易的告知同意」
怎么弹窗构成骚扰用户
-问:工信部APP通报中的“弹窗信息骚扰用户”到底是什么?

-答1:前段时间网信办出了个《互联网弹窗信息推送服务管理规定(征求意见稿)》如果要看什么是合规的弹窗参考这个就好。
-答2:工信部曾经官方给过一个答案:“弹窗信息标识近于无形、关闭按钮小如蝼蚁、页面伪装瞒天过海、诱导点击暗度陈仓。”(来源:工信部大力推进APP开屏弹窗信息骚扰用户问题整治)
运营商提供加密电话端口的合规性
-问:电信运营商将加密后的电话拨入端口给到银行和体检机构等(银行和体检机构看不到真实电话号码),给到银行的一般是运营商经大数据分析认为需要贷款的年轻人,体检机构是分析认为需要体检的老年人。运营商的做法合规吗?所提供的或者允许银行或体检机构接入的个人信息是否属于匿名化的个人信息,而不需要用户的特别同意吗?
-答1:该号码唯一指向相关主体,具备可识别性,尽管已经经过加密,最多属于去标识个人信息,仍是个人信息。提供给其他个人信息处理者需要遵守《个保法》第23条,取得单独同意。
-答2:我理解运营商所谓的精准营销产品,往往和撞库是结合在一起的,实现方式是客户提供给运营商一些存量的经过加密的手机号码,运营商匹配这些号码,再通过自己的位置定位还有消费记录之类的大数据分析产生比较丰富的标签返回给客户,客户再向这些消费者发广告。运营商的逻辑是客户需要征得消费者的同意。
-答3:或许还可以参考下《通信短信息和语音呼叫服务管理规定》征求意见稿,第16条要求,未经用户同意/明确拒绝的,不能拨打商业性电话。
-追问:如果让客户去做,那目前有哪些其他合规的获客渠道呢,自己扫街也得开发各小程序让签字客户同意隐私政策。
-答4:扫街地推模式不就蛮好的,需要深入三四线城市的地推人员,一个二维码解决同意落地的问题。
未成年个人信息删除
-问:根据《个保法》第31条规定,处理未成年人个人信息的应当获得监护人同意。所以按照法条意思,删除未成年人个人信息,也应当获得监护人同意。但根据《未成年人保护法》第72条第2款规定:“未成年人、父母或者其他监护人要求信息处理者更正、删除未成年人个人信息的,信息处理者应当及时采取措施予以更正、删除,但法律、行政法规另有规定的除外。”这条我理解的是未成年属于并列主体,要求信息处理者删除未成年人信息的,信息处理者应当及时采取措施予以删除,并没有科以监护人同意之义务。那如果现在是未成年人要求删除他的信息,在符合法律法规的前提下,我是否需要再获得监护人授权呢?当然授权会更有保障,我现在想要的就是最简单且合法的方式。
-答1:处理规则不是在刚开始的时候,就告知做了单独同意吗。比如未成年人个人信息处理规则。你们如果在那里面写清楚了,未成年人请求删除的。监护人也同意了,这个时候是不是就可以删了。
-答2:这个问题个人理解,字面是并列之意,或的关系。实践中如果这个"删除"场景仅谈注销环节,需要看自身产品设计和业务类型判断。如果真有actual knowledge证明儿童用户了,那按例也应已有青少年模式或专门面向儿童产品,这时候要看包括监护人通知,管理等权利是如何实现的,诸如,家长中心怎么设计,监护人绑定的身份验证逻辑是什么,无论手机短信或成人账号二维码。那么,账号注销一般都需要验身过程,那走和绑定的相同逻辑,过程其实等同于监护人的单独同意一次了。最后考虑,注销过程也可能需要考虑非数据权益以外的账号权益清查流程,也可能从其他角度引入监护人环节的需要。
4S店分析客户人脸信息合规性
-问:像4S店收集人脸信息进行分析客户类型的情形,这些商家如何有效获得个人主体同意呢?技术供应商除了做好对人脸信息的、存储、删除等要求外,关于收集这部分,还要做什么呢?
-答1:单独同意没办法取得,且处理人脸信息是否符合合法、正当、必要原则均都待商榷。
-答2:对公共场合人脸识别商业用途最实务的建议就是:别用。否则仅合同无效的风险会很烦,这是对供应商来说。
线下零售门店告知同意
-问:实践中线下零售门店很难落实个人信息处理规则的披露义务,如付款时的POS机收集消费者的订单信息,有的公司选择在官网/APP的隐私政策中cover线下门店的个人信息处理情况,但这种做法的效果有限,实际上无法真正达到告知的效果。各位有见过比较好的实操吗?
-答1:语音播报。《上海条例》第22条第2款规定:“在公共场所及相关区域安装人脸识别设备的,应当充分保障自然人的知情权,设置显著标识,并以书面或者语音等形式明示告知人脸识别设备应用的责任主体、使用目的、方式、范围、存储时间及技术应用者的联系方式等信息。”既然有了地方立法的“背书”,那么在上海范围内,“语音告知”是可以探索的。要么在店里用歌曲的形式唱出来?
-答2:还有柜台或POS旁放完整隐私政策或简版政策。
-答3:扫码后弹窗或者在小票弹窗是不是可以落实,不过是事后了。
入职背调时的告知同意
-问:开展入职前背景调查,需要使用证明人的手机号码并发送被调证明信息收集,怎么事先获得被调证明人的同意啊,有啥好的方式嘛?不是针对候选人,是针对为候选人背书的证明人。
-答1:候选人填写相关告知同意书时,这部分加粗提示,要求候选人在提供这些信息的时候,向信息主体告知信息的使用用途,并取得同意后再行提供。
-答2:把这个界定为委托处理关系,那就应该候选人去获得授权同意了。
-答3:公司可以做接收方,反正义务给候选人就好。
-答4:可不可以考虑《个保法》第72条第1款,因个人事务处理个人信息,而豁免适用。不过如果是候选人为了自己的个人事务处理他的个人信息倒合法,但是这里是被调证明人,被调证明人是为了他人的事务,不是为他自己的事务。
-答5:不要太局限在《个保法》了,很多岗位其实做尽调是法定义务。详见:50类职业单位可查询员工(拟聘人员)犯罪记录
-答6:这个问题我觉得结合企业人力资源管理一般理念和实践就可以解:首先,排除特殊行业而言,对一般企业来说,管理岗以上的才需要背调。对于这样的岗位,企业会根据其价值投放相应的招聘成本。候选人应聘这样的岗位,提供背调证明人是他的基本义务。提供的话,告知证明人的义务在候选人。不提供,企业首先要想的不是怎么去自行获取,而是要想这个候选人是否可用。一定要公司自行获取的情况是例外,例外情况下确有必要设计好合规程序。
单独同意落地
-问:大家有讨论过单独同意这件事究竟如何做吗?同时需要跨境传输、收集敏感信息、第三方传输,一个场景,一键勾选同意行得通吗?单独同意从出来到现在困扰大半年了,有什么好案例吗?
-答1:按照网数条例,那么细的话,一个勾不行。但从业务开展角度,反正这几个活动是打包的,一个就一个吧。充分告知。
-答2:根我们的做法就是在界面上增加了单独同意书,一个同意书,多个需要单独同意的用途,并在勾选旁边写上简要的风险提示,说实话心里也是没底。
-答3:可以看看这两篇文章:(1)当我们讨论“单独同意”的时候我们究竟在讨论什么;(2)个人信息处理的“单独同意”之适用 ——以人脸信息处理为例
-答4:我们现在采取的方案是:隐私政策+客户填写信息的填写框加使用说明文案(一个小i点进去)+业务合作授权……没办法完全实现单独同意的,尤其是我们做贷款的有贷前贷中贷后,就只能在可以放的地方都搞一些单独的文案。
-答5:中行的这个单独同意弹窗还可以(没有默认勾选)。

算法的监管规定
-问:目前除了算法新规对推荐型算法有规定,没有其他关于算法的法律约束。也就是说,我在家自己设计任何算法,以任何方式处理有合法来源的数据,都是可以的是吧?
-答1:应该是的,不然量化基金最先害怕,excel宏也不敢写了。
-答2:《互联网信息服务深度合成管理规定(征求意见稿)》《新一代人工智能伦理规范》和《关于加强互联网信息服务算法综合治理的指导意见》,最后一个文件是这是未来几年监管的路线图。
二手车交易的告知同意
-问:车主以旧换新车后,可能未过户,4S店委托二手车拍卖平台进行拍卖,车主和经销商之间的数据处理,比如车架号、车牌的信息流动,关系可以认定委托处理吗?
-答1:根据查博士案,如果车主是自然人,车架号是个人信息。
-答2:我觉得要先从合同关系开始梳理。车主委托4S店卖车,首先看有无约定可以转委托。如果本身就不许转委托,那都不用讨论数据处理的性质,4S店就违约了。如果允许转委托,那要看4S店和平台的合同约定,来确定两者的合同关系。合同关系确定了,数据处理的关系会比较容易明确。我个人的观点是,一定要结合商业关系来判断数据处理关系。
-追问:这个地方置换的车虽然没过户,所有权应该也转移了吧。所以这种情况下合同关系还是委托处理吗,交付但未过户。
-答3:理论上,登记过户不是所有权转移标志,但是实践中,法院还是会考虑以登记为所有权转移外观。也有案例会认定实际所有权人,比如车辆挂靠。
-答4:首先,委托(售卖)合同与车辆所有权转让合同,涉及车辆所有权及车辆信息关联识别主体;其次是4S与平台之间关系。我个人理解两层法律关系下的数据场景有区分。
-答5:其实是不是要考虑,在对车辆拥有所有权但车辆未过户的情况下,车辆的相关信息未必完全属于所有权人的个人信息,可能基于登记等情况相关信息可能可以成为登记者的个人信息,在此基础上厘清4S店再向拍卖平台提供相关信息的数据处理关系。
-答6:4S店只是委托拍卖平台进行拍卖,是一个中介,这里4S店是需要承担委托处理者责任的。车主还未完成过户,是个人信息控制者,但是所有权已经转移,这两者应该可以分开,但从个人信息控制者这一层来看,车主虽然有配合过户的义务,但是拍卖这一层以及共享信息给拍卖平台,已经超出了置换的目的,个人信息目的改变,那么我理解是需要获得用户同意的,而不是合同关系了。

技术驱动法律,专业成就未来