君泽君网络招聘合规专辑(三)——招聘求职类平台《个人信息保护政策》的合规要求
关键词:新规定、个人信息保护政策、个人敏感信息
前言
根据中国互联网络信息中心在2021年2月3日发布的第四十七次《中国互联网络发展状况统计报告》, 在网民遭遇网络安全问题中,个人信息泄露问题占比最大 。您是否注意到现在打开一个不常用的APP或者下载一个新的APP时,它往往会以弹窗等形式提醒我们阅读、同意该APP的《用户协议》和《个人信息保护政策》或《用户协议及隐私政策》等类似表述的协议。《个人信息保护政策》是运营商如何收集、使用、存储、共享、转让、公开披露、保护个人信息的公开告知书。其表现形式从《用户协议》的一部分到必须单独成文,其名字从《隐私政策》变迁到《个人信息保护政策》,反映出骚扰短信、诈骗信息等个人信息泄漏引发的问题,已经成为社会的焦点问题,越来越为国家各监管部门所重视。作为招聘求职类平台,您能够制定一份合法合规的《个人信息保护政策》吗?作为求职者,您真正理解《个人信息保护政策》吗?
近日,中央网信办、工信部、公安部和市场监管总局联合制定的《常见类型移动互联网应用程序必要个人信息范围规定》(2021年5月1日施行,以下简称“《新规定》”)明确了常见的三十九类移动互联网应用程序的必要个人信息范围。《新规定》对招聘求职类平台的《个人信息保护政策》有何影响以及该类平台的用户个人信息保护政策合规要求,将是本文讨论的重点。
一、《新规定》的主要内容
1.在2020年初公布的一批违法违规收集个人信息的APP名单中就包含了小程序,但当时没有明确规定小程序属于APP。《新规定》第二条明确了App包括应用软件和小程序,小程序在收集用户信息时也要符合相关的法律法规。
2.《新规定》第三条明确了APP中必要个人信息指消费侧用户的个人信息。具体到求职招聘情景中,必要个人信息的要求仅针对求职者的个人信息,并非是针对招聘者或者平台入驻的其他招聘服务机构。
3.收集个人信息的最小必要原则和尊重用户自主选择权的实现依赖于对App核心功能的确认。全国信息安全标准技术委员会于2019年6月发布的技术性文件《网络安全实践指南》中对求职招聘类互联网应用程序中基本业务功能描述为“职位发布、职位展示、职位搜索、投递简历等”。《新规定》第五条明确了求职招聘类App的基本功能服务为“求职招聘信息互换”,必要的个人信息仅为注册用户移动电话号码和求职者提供的简历。因此,当求职用户不提供其他非必要信息时,App运营者不得暂停用户选择使用的基本功能或降低基本功能的服务质量。
二、《新规定》对招聘求职类平台《个人信息保护政策》的影响
1.如何理解“简历”
简历,不像用户的移动电话号码,是一个可以明确最小单位的个人信息,而是一系列个人信息的集合,如个人身份信息、学历信息、实习工作经历信息等个人信息。
2.如何理解“求职者提供的简历”
求职者提供的简历与招聘服务平台期待的完整简历可能存在差异,那么招聘服务平台是否能以求职者未提供完整简历信息为由拒绝提供服务呢?
我们认为一般不可以。根据《网络安全实践指南》,求职招聘基本业务功能必要信息中使用要求为“岗位需求匹配、求职者简历编辑投递”的个人信息包括求职者的基本信息(姓名、年龄、性别、健康状况、联系邮箱、求职意向)、教育信息(学校、学历、专业、毕业时间、受教育类型)、工作经历信息(公司名称、职位职务、在职时间)。这对我们理解简历信息有一定的帮助。但是,《新规定》中的表述为“求职者提供的简历”,并未对提供的简历信息有明确的要求,故恐怕不能以求职者未提供网络招聘平台认为的完整简历拒绝提供服务。在《个人信息保护政策》中,网络招聘平台收集的用户简历信息应以用户自愿提供的简历信息为限,不得强迫或者设置“必填项”要求用户提供其他信息。
三、《个人信息保护政策》中个人信息的分类
1. 个人信息和个人敏感信息
|
分类 |
《信息安全技术个人信息安全规范》 |
《中华人民共和国个人信息保护法(草案)》 |
|
个人信息 |
以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。 |
个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。 |
|
个人敏感信息 |
一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息,包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、 14 岁以下(含)儿童的个人信息等。 |
敏感个人信息是一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。 |
|
敏感信息处理要求 |
|
|
由上表可知,目前,收集用户的生物识别信息需要征得用户的单独授权,即需要在对应场景中说明原因、范围、用途等信息后获得用户另外单独授权,而不是将授权条款放在《用户协议》中或者《个人信息保护政策》等非对应收集信息场景中获得授权。此外,立法趋势上,单独同意的授权模式的范围可能从生物识别信息扩大到所有个人敏感信息。
2. 基本业务相关的必要信息和其他信息
App运营者收集的个人信息与对应功能的关联性可以分为必要信息、有关的非必要信息、无关信息 。
(1) 必要的个人信息是指保障App基本功能服务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务 。如果用户拒绝提供必要信息,App可以拒绝用户使用App基本功能服务。
(2) 有关的非必要信息是指与业务功能有关但非必要的信息,缺少该信息不影响实现基本功能服务。当App运营者收集的个人信息超出必要信息的范围时,应向用户明示所收集的个人信息目的并经用户自主选择同意 。除法律法规中明确规定需要获得用户单独同意或其他更严格的同意方式的相关信息,建议说明和授权条款放在《用户协议》或《个人信息保护政策》中,用户在主动勾选、点击“同意”、 “注册”时,即获得用户同意。
(3) 无关信息,App运营者不应收集与业务功能无任何关系的个人信息。
四、 招聘类app个人信息保护中存在的主要问题
2021年3月24日,我们下载了十二家主流招聘类App,查阅相关协议和进行相关测试,主要发现以下问题:
1. 用户个人信息的删除问题
用户个人信息的删除问题普遍存在。用户在线创建简历后,均可以修改在线简历信息。但如果想要删除唯一的简历信息,会遇到一定的阻碍。多数App并未提供删除在线简历的端口,少数提供删除方式的,但删除程序十分复杂,如必须登录网页版才能删除或者必须关注其微信公众号,点击在线客服后,转接人工服务才能删除。
如:
2. 未清晰说明各项业务功能及所收集个人信息类型
在查阅各App的隐私条款中发现有2家App未清晰说明各项业务所收集的个人信息。他们将个人信息的范围列举后,在对应的业务功能中并未明确说明收集的是哪些类型的个人信息,仅用“个人信息”代替;另外,还存在概括性表述,并没有穷尽列举收集的用户信息,使用“等”的表述。
3. 收集个人信息未征得用户自主选择同意
在使用验证码注册某招聘平台时,我们刚拒绝了该App读取短信的权限,但收到验证码后,该App依旧读取了验证码短信。
如:
4. 强制绑定授权行为
当我们登录某招聘平台准备浏览招聘信息时,连续多个弹框申请开启非必要的权限,弹框文案显示拒绝后该App将无法运行。
如:
五、 《个人信息保护政策》的重点
1. 《个人信息保护政策》必备条款
根据相关监管要求,《个人信息保护政策》中必备条款如下(部分):
(1) App 运营者的基本情况条款(公司名称、注册地址、个人信息保护相关负责人联系方式);
(2) 收集和使用用户信息条款,列明收集用户信息的业务功能以及穷尽列举将收集的用户个人信息,并将业务功能与收集的个人信息一一对应;
(3) 对外共享、转让、公开披露个人信息规则条款;
(4) 政策更新和时效条款;
(5) 联系方式条款;
(6) ……
2. 重要的合规要求
公司不同、业务不同、业务相同但内部运营逻辑不同等原因都会导致《个人信息保护政策》的千差万别,这并不意味这App运营者可以随意处置《个人信息保护政策》。相关的监管部门通过政策法规,设置一些强制性标准如下(部分):
(1) 《个人信息保护政策》应单独成文,不得作为其他文件的一部分存在;
(2) 不得以默认选择同意隐私政策等非明示方式征求用户同意;
(3) 《个人信息保护政策》中的个人敏感信息进行显著标识;
(4) 用户的申诉,原则上15天内回复,用户的注销申请,不得超过15个工作日完成审核和处理;
(5) 不得未经用户同意收集使用个人信息;
(6) ……
六、 小结
《个人信息保护政策》是用户了解自己的个人信息如何被收集、使用、分享、传输、处理的重要途径,也是App运营者积极维护用户信息安全、尊重用户、合规运营的体现,其重要性不言而喻。各监管部门对《个人信息保护政策》的审查从形式合规过渡到实质合规,从以前审查有没有单独政策、是否属于用户自主同意过渡到该政策内容是否合法、合理,这无疑加强了招聘求职类平台运营者的合规责任。建议招聘求职平台运营者在处理用户个人信息时恪守取之合法、用之有道,遵循合法、正当、必要的原则。我们将在后续的网络招聘合规系列文章中,进一步对相关的法律、人力资源管理、实践趋势等问题进行分析和阐述。
