趋同的个人信息保护原则
简单翻译了Facebook新近提出的个人信息保护原则,发现其和《个人信息保护倡议》、《个人信息安全规范》提出的个人信息保护基本原则,大体一致。供大家参考。
Facebook坚守的7项个人信息保护原则
Facebook在全球范围内拥有21.3亿的月活用户,是个真正意义上的地球村。2018年1月28日,Facebook的首席隐私官(CPO)Erin Egan宣布正式启动用户教育运动(education campaign),目的是然用户更好的“知悉Facebook是如何使用数据,以及如何管理自己的数据”。(to help you understand how data is used on Facebook and how you can manage your own data)
事实上,Erin Egan发表的博客题目正是——“赋予你更多的对隐私的控制”(Giving You More Control of Your Privacy on Facebook)
在这篇文章中,Erin Egan推出了Facebook坚守的隐私原则:
Facebook的建立是为了让人们靠得更近。我们帮助您与朋友和家人联系,发现当地活动并找到加入的小组。我们认识到人们使用Facebook进行连接,但不是每个人都想与所有人分享一切,包括与我们分享。当涉及到如何使用数据时,您的选择权至关重要。以下原则指导我们如何在Facebook上保护隐私。
我们赋予你对自己隐私的控制(We give you control of your privacy)
你应该能够做出适合你的隐私选择。我们希望确保您知道您在Facebook上拥有的隐私控制措施,以及如何调整您拥有的隐私控制措施。例如,我们的观众选择工具可让您决定每个帖子的分享对象。我们还将根据来自世界各地的反馈进一步开发控制。
我们帮助人们了解他们的数据是如何被使用的(We help people understand how their data is used)
虽然我们的数据政策(Data Policy。注:相当于Facebook的隐私政策)详细描述了我们的实践,但是我们希望通过更多的形式为您提供更多信息。例如,我们在人们日常使用Facebook时提供了各种教育和工具,比如在每个广告的右上角,Facebook都提供了广告控件。
我们从一开始就将隐私设计到我们的产品中(We design privacy into our products from the outset)
在数据保护和隐私法、安全、界面设计、工程、产品管理和公共政策等领域的专家指导下,我们将隐私保护设计到Facebook的产品中。我们的隐私团队致力于将这些专家的多样视角融入产品开发的每个阶段。
我们努力保证您的信息安全(We work hard to keep your information secure)
我们昼夜不停地工作保护用户账户,并且在每个Facebook产品中建立安全。我们的安全系统每秒运行数百万次以自动捕获威胁,并在他们对您造成危害前将其移除。您也可以使用我们的安全工具(如双因素身份验证)来提升您帐户的安全性。
您拥有并可以删除您的信息(You own and can delete your information)
您拥有您在Facebook上分享的信息。这意味着你可以决定你分享什么内容,以及与谁分享内容,而且你可以随时改变主意。这就是为什么我们为您提供删除您发布的任何内容的工具。在您做出删除指令后,我们从您的时间线(timeline)和我们的服务器中删除您希望删除的内容。您也可以随时删除您的帐户。
改进是不变的(Improvement is constant)
我们一直在努力开发新控件,并以清楚地向人们解释事物的方式进行控件开发设计。我们对研究持续投入,并与Facebook以外的专家合作,包括设计师、开发人员、隐私专业人员和监管者。
我们承担责任(We are accountable)
除了全面的隐私审查外,我们还通过严格的数据安全测试。我们还会与世界各地的监管机构、立法者和隐私专家会面,就我们的数据实践和政策征求意见和建议。
2017年9月24日,在参与了中央网信办、工信部、公安部、国家标准委指导开展了个人信息保护提升行动之隐私条款专项工作后,微信、新浪微博、淘宝网、京东商城、支付宝、高德地图、百度地图、滴滴出行、航旅纵横、携程网等十款互联网产品和服务的企业代表签署了个人信息保护倡议书。
个人信息保护倡议
为贯彻落实《网络安全法》,做好对用户个人信息的保护,保障用户合法权益,我们承诺并倡议:
一、尊重用户的知情权。用易懂的语言、直观的方式,明确告知收集、使用个人信息的目的、方式、范围、保存地点和期限、保护制度和措施等;一旦发生个人信息泄漏、毁损、丢失时,及时告知用户。
二、尊重用户的控制权。不使用“一揽子协议”的方式强迫用户打包授权对个人信息的收集,为用户提供撤回授权、关闭权限、注销账户的途径和方式。用户可在线访问、更正、删除其个人信息。
三、遵守用户授权,强化自我约束。不收集与所提供服务无直接关联的个人信息;不超越与用户的约定,收集、存储、使用、共享个人信息;在个人信息处理活动时,对用户合法权益造成的损害依法承担责任。
四、保障用户的信息安全。遵照国家相关标准要求,采取充分有效的技术和管理措施,防止个人信息泄露、毁损、丢失。向第三方提供个人信息时,确保责任和义务能有效地传递。
五、保障产品和服务的安全可信。不在产品和服务中设置隐蔽功能进行用户不知情的操作。尽最大能力保障产品和服务在设计、研发、生产、交付、运维等过程中的安全可信,发现安全缺陷、漏洞时,及时采取补救措施。
六、联合抵制黑色产业链。坚决杜绝与个人信息黑色产业链的任何交易及往来;发现黑色产业链及时向有关部门举报,并为执法机构打击黑色产业链提供必要的技术支持和协助。
七、倡导行业自律。共同探索可推广、可复制并与国际接轨的个人信息保护最佳实践,带动和帮助行业整体水平提升。
八、接受社会监督。切实履行企业承诺,积极配合监管机构的监督检查,主动接受社会各方的监督。
2018年初,国家标准《个人信息安全规范》(GB/T 35273-2017)的正式发布【国家标准《个人信息安全规范》全文】。
《个人信息安全规范》提出的个人信息保护基本原则
个人信息控制者开展个人信息处理活动,应遵循以下基本原则:
a) 权责一致原则——对其个人信息处理活动对个人信息主体合法权益造成的损害承担责任。
b) 目的明确原则——具有合法、正当、必要、明确的个人信息处理目的。
c) 选择同意原则——向个人信息主体明示个人信息处理目的、方式、范围、规则等,征求其授权同意。
d) 最少够用原则——除与个人信息主体另有约定外,只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后,应及时根据约定删除个人信息。
e) 公开透明原则——以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等,并接受外部监督。
f) 确保安全原则——具备与所面临的安全风险相匹配的安全能力,并采取足够的管理措施和技术手段,保护个人信息的保密性、完整性、可用性。
g) 主体参与原则——向个人信息主体提供能够访问、更正、删除其个人信息,以及撤回同意、注销账户等方法。
本公号此前发布的对《个人信息安全规范》的评论文章如下: