查看原文
其他

网信办等四部委首批评审的十款产品,如何设计隐私政策?一书揭秘

李玲 隐私护卫队 2019-03-30

网友说过最违心的一句话,或许就是“我已阅读并同意隐私政策”。


现在下载安装App,在注册页面输入个人信息前,很多互联网企业都会要求用户点击确认已看过这份长长的协议,而隐私政策究竟说了什么,鲜少有人完整阅读过。


在过去两年里,南都个人信息保护研究中心持续跟踪测评了近2000个网站和App的隐私政策,并将历次测评发现的问题集结成书,重磅推出《互联网企业隐私政策研究与实例》书籍。12月25日,这本国内首次由媒体型智库编著的隐私政策研究专著正式发布。


点击阅读原文即可购买《互联网企业隐私政策研究与实例》


究竟用户常用网络产品的隐私政策有哪些“坑”?专家对此如何支招?国内大型互联网企业又是怎样推进隐私政策的合规工作?在这本新书中,你将找到详细的答案。


国内首部

媒体型智库发布的隐私政策书籍


简单来说,隐私政策是你同互联网平台签订的一个“如何使用与保护你的信息”的合同。在这份协议中,平台应该告知你会如何收集、使用、存储及共享个人信息。隐私政策透明度越高,意味着你越能了解掌控个人信息的方式。


曾有媒体做过一个实验,如果把你最常用的30多个App的隐私政策文本打印出来,可以连成一个标准足球场。企业的隐私政策冗长且晦涩,这是很多人不愿意认真阅读协议的重要原因。然而,当一次次在不同平台点击确认“我已阅读并同意隐私政策”,用户有必要保持警惕———企业收集和使用个人信息的规则是否合理。


从2017年年初至今,南都个人信息保护研究中心持续跟踪和测评了将近2000家网站和App的隐私政策,并发布了十几份相关报告。集结这些测评报告和BAT等大型互联网企业推进隐私政策合规经验,南都个人信息保护研究中心于近日重磅发布新书《互联网企业隐私政策研究与实例》。


12月25日,2018南都智库产品发布周暨互联网法治论坛上,该书正式对外发布,据悉这是全国首部由媒体型智库编著的专题探讨隐私政策,并对互联网企业给出合规建议的书籍。


南都记者了解到,这本书共分三大篇章。上篇为案例分析,腾讯、淘宝、支付宝等大型互联网企业代表先后分享了内部如何推进隐私政策合规的经验;中篇为行业观察,包括南都自2017年3月至2018年3月的历次测评隐私政策发现;下篇则为观点述评,由专家介绍隐私政策合规的建议。


南都个人信息保护研究中心的相关负责人表示,这是一本专门探讨隐私政策的研究书籍,希望通过此书给业界和学界提供参考,让更多用户了解常用的网络平台隐私政策透明度情况,同时帮助企业推进相关的合规工作。


企业法务
隐私政策不只是给用户看的,也是对自身的保护


根据新书介绍,在网络安全法2017年6月1日出台当天,南都个人信息保护研究中心推出《1000家网络平台隐私政策透明度报告》,结果显示超过50%的网站与App评分为“低”级别。


互联网平台的隐私政策普遍存在拐弯抹角、晦涩难懂、语焉不详等问题,在协议内容上更倾向于谈企业的信息收集权而不说承担责任,有些网站隐私政策被指“霸王条款”。


去年7月,中央网信办、工信部、公安部、国家标准委等四部委指导开展了首次隐私条款专项工作,对京东商城、航旅纵横、滴滴出行、携程网、淘宝、高德地图、新浪微博、支付宝、腾讯微信、百度地图的隐私条款进行评审。


南都记者注意到,在历经四部委评审后,十款App的隐私政策透明度均有不同程度的提升,在明示收集、使用个人信息的规则和征求用户的明确授权方面也更为友好。或许是因为行业领先企业发挥了示范作用,中心持续测评发现,越来越多的企业纷纷修订和完善了隐私政策,且较此前有了明显的进步。


今年8月,又有30款与人们日常生活紧密相关,用户数量较大的网络产品被纳入第二期隐私条款专项评审中。今年11月底,中国消费者协会也对100款常用App的个人信息收集与隐私政策进行测评。


可以预见,未来还将有更多网络产品被纳入评审范围。在隐私政策“从无到有”后,企业或许将面临更高的要求。有业内人士透露,如何增强式告知用户收集使用信息的规则、怎样打破一揽子授权同意、只在文字上下功夫而忽略实际应用等问题,将成为下个阶段官方评审关注的重点。


在《互联网企业隐私政策研究与实例》书中,有互联网企业资深法务表示,业内有一种误解认为隐私权政策是给用户阅读的,其实隐私权政策对企业内部业务的规范意义更大。这份文件不仅是对用户个人信息保护的承诺,也是企业加强自身隐私能力建设的承诺。


还有企业法务在书中提到,用户可以通过阅读隐私政策来了解企业所收集的信息类型、使用信息的用途以及共享转让方式等内容。而对企业来说,保护用户个人信息不仅是为履行法律义务和社会责任,同样也是对自己数据使用权利的保护。


经验分享

如何制定一份得当的隐私政策?


据南都个人信息保护研究中心的相关负责人介绍,这本书的亮点除了有较为全面的行业观察,方便读者了解国内企业的隐私政策合规现状外,还具有很强的实践指导意义。


去年7月,在四部委隐私条款专项评审后,微信、淘宝等十款App新修订隐私政策获得了官方的认可。这些App隐私政策都有哪些亮点?在参与评审和推动隐私政策方面的工作中,互联网企业又该注意哪些要点?


书中特别邀请了这十家企业的法务代表分享开展个人信息保护工作的相关经验。南都记者总结发现,不少企业代表均提到,隐私政策新增加了收集数据种类的分类说明,区分核心功能和附加功能,并强化了用户对个人信息的管理权,着重告知用户访问、更正、删除、改变授权和账号注销等权利的实现路径。


比如淘宝将购物以外的开店、即时通信定义为附加功能。当用户在淘宝A pp客户端打开消息功能,与卖家进行沟通时,App会弹出阿里旺旺的单独隐私政策引导用户阅读,并要求用户给予授权。此外,当用户首次使用微信“附近的人”时,页面会弹窗提示用户会保存一定时间的地理位置信息,同时告知用户可以随时手动清除。


在呈现方式上,这些App也各有亮点。百度地图将隐私政策的核心信息提取出来制成动漫形式,以方便用户理解条款中的内容。滴滴出行则以图表方式列举可能会调用的设备权限,让用户一目了然。


如何制定一份得当的隐私政策?腾讯的企业法务总结,隐私政策的内容应当明确具体,列明客户所关心的问题,还应当使用一般消费者易于理解的语言,写得清晰而简明。此外,既要考虑当前的具体实践,也要为未来的变化留有余地,制定足够灵活的隐私政策,避免频繁变动。


京东的相关负责人在书中提及,以用户信赖为立足点,隐私政策的设计旨在“明明白白向用户告知,实实在在遵循用户自主意愿”。


专家建议

让用户感受到产品的真诚和温度


新书的最后篇章是观点述评,三位在隐私领域颇具研究的专家从隐私条款的创新和隐私设计等方面,给出了具体的建议。


北京大学法治与发展研究院研究员洪延青表示,提升隐私条款实质是加强个人信息收集环节的管控,坚持数据最小化原则。而对企业隐私政策最核心的考核标准即用户对某个场景或操作涉及的个人信息处理行为,是否明明白白。


在洪延青看来,“许多企业对外宣称‘以用户为中心’,那就必须在明示隐私条款时,多发挥一点创造性,让用户真切地感受到产品和服务的真诚和温度”。


浙江垦丁律师事务所联合创始人麻策在书中提到,用户对于产品后端的隐私设计,比如加密、去标识化或匿名化技术,其实是不可见或不可感知的,但是对于互联网产品的前端界面可直观察觉。


麻策表示,用户可感知某款App从下载、安装、注册、使用以及注销的整个流程,以及《隐私政策》文本呈现、勾选、权限点按等设计,如果企业在这些细节处理不好的话,或引发一系列公关危机。


北京玺泽律师事务所高级合伙人程贞直言:“个人信息保护不善,可能成为中国企业的下一个‘坑’。”今年5月,被称为史上最严的欧盟一般数据保护条例GDPR正式生效。在法律愈加严格的趋势下,程贞提醒企业必须在个人信息保护合规方面引起足够的重视,尤其是涉外业务,从战略、制度的顶层设计到技术安全需严密布阵。


“重视用户个人信息,是企业对用户的足够尊重,也是给自己的必要保护。”程贞说。



报料请点击 

推荐阅读:

安全研究员网上预警:超2亿份国内简历数据泄露,内容非常详细

警方回应12306用户数据泄露:1人被刑拘,信息系购买所得

关乎你的钱包!当心你下载了假冒的个税App,已发现62例


    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存