企业如何告知与保护用户的个人信息主体权利(DPO社群成员观点)
作者介绍:田申,曾就职于腾讯,专注于个人信息与数据安全保护研究
孟洁,北京市环球律师事务所合伙人,原出门问问总法律顾问
“不弹窗会死啊!”
——目前,很可能会的。
去年七月底,中央网信办、工信部、公安部、国家标准委等四部门联合成立专家工作小组,对十款网络产品和服务的隐私条款进行了评审。当时笔者分别在企业内部做第一线数据合规工作,因此笔者对评审标准进行了仔细研究:除了“弹窗”要求之外,其实还非常强调给用户以“控制力与自决力”,比如提供在线“一站式”撤回和关闭授权、在线访问、更正、删除其个人信息以及在线注销账号等功能,只是外界在宣传时将关注点更多放到了“弹窗”设置上了而已。
“弹窗告知用户隐私政策”、“不默认勾选隐私政策”似乎是目前国内主流APP应用告知用户收集、使用其个人信息的最常用方式。笔者经常听到业务侧的同学抱怨,每多弹一次窗,用户流失率就要上升。在流失用户的同时,做到一个合格的、没有舆论风险的”弹窗”告知,也并不是一件十分容易的事情。2018年4月,某知名APP的隐私政策弹窗就因涉嫌强迫用户点击同意(用户惟点击同意才进入)而招致舆论风波和监管关注。但是“弹窗告知”仍然作为征得用户同意的“标配”而被主流APP应用所采用。这是由于在当前我国法律政策的要求下,征得用户的同意,几乎是唯一合法收集、处理用户个人信息的唯一途径。
然而,将弹窗作为告知的方式,虽然满足了“显著性”的要求,但是同样也容易导致网络运营者将全部的精力放在如何“弹窗”上。其后果就是毕其功于一役,一弹了之,万事大吉,而忽视个人信息最重要的核心内容:给予用户控制个人信息的权利。
根据去年四部委的评审标准,入选评审的十家企业不但都对自己的隐私政策做了改进,如完整、清晰、准确地说明了个人信息获取的类型、方式、授权同意范围,清晰地梳理出核心功能与非核心功能的边界,将个人敏感信息做了增强性告知,并且还能按照《个人信息安全规范》的要求将个人信息的主体权利在产品设计上进行落地。比如京东全球购给予了用户是否进行个人信息共享的授权勾选框,支付宝在APP上设计了用户得以撤销先前同意授权第三方平台共享信息的通道,微信真正实现了让用户删除所有数据并且永久注销用户账号的控制力,另外百度地图也很有诚意地让用户实现可以删除其常用地址和个人信息的意愿。这些都是企业重视用户权利并给出有温度有态度的良好实践做法。
那么,国外在征求用户同意过程中,是如何保持透明度,而且如何进一步保障用户的个人信息控制权呢?
欧盟WP29工作组(起草GDPR的工作组,现在已改组为EDPB工作组European Data Protection Board)指出,透明度使公民能够理解这些数据处理行为,并在必要时挑战这些处理行为,从而使公民对数据处理活动产生信任。同时,根据GDPR第5.2条下的问责制原则,数据控制者必须始终能够证明个人数据是以与数据主体相关的透明方式处理的,以便数据控制者能够证明其遵守GDPR规定的义务。最重要的是,当由数据控制者遵守透明度原则时,可以使数据控制者和处理者对其用户负责,并保障用户通过撤回同意等方式行使其数据主体权利,以控制其个人数据。
由此可见,透明度的重点在于:
第一,能够使公民去挑战这些处理行为,增进用户对处理活动的信任。
第二,能够使数据控制者证明其处理用户数据的合法行为,保障用户个人信息的安全。
第三,透明度的核心是给予用户对其个人信息的控制权。
由此可见,透明度并不仅仅是以“显著、易懂、简明扼要”的方式来告知用户,更重要的是,在这个基础上,尊重用户的个人信息自决权。
下文中,我们选取了google、Facebook、whats-app、twitter等国际主流APP应用,来看看这些应用是如何设计其用户告知界面的。
【国外主流APP告知用户实践】
如图可见,在上述四款APP应用,无一例外地均采用了“注册、登录即视为同意《隐私政策》与《cookie协议》”来告知并征得用户同意。
这种告知用户的方式,以国内同行的视角来看是存在比较大的风险的,因为并没有采用我们通常意义上理解的增强提示方式。但是,当我们点击进入这些APP的隐私政策链接后,会发现这些隐私政策的设计与国内产品有很大不同,最明显的特征就是几乎可以将用户对其个人信息的访问权、限制处理权、删除权、迁移权等控制权在隐私政策界面中实现,并且通过采取适当的技术和组织性保护措施(例如匿名化和数据最小化)在处理活动时真正落实数据保护原则:
【Google】清晰的分别标识与超链接
我们可以看到,在点击进入google的隐私政策中,隐私政策对每个专有名词均作了超链接,确保用户随时可以通过点击,以了解相关信息的内容。这样做也正迎合了WP29的指导意见:为了适应小屏幕或者信息空间受限的情况,可以在适当的情况下考虑分层呈现信息的方式,以避免过度干扰用户体验或产品设计。
【Google】运用动画展示收集、使用用户个人信息的方式与目的
通过通俗易懂的动画,可以使不同文化水平、生活背景的受众用户了解到自己的信息是如何收集的,以满足告知“透明度”的要求。
【Google】直接在隐私政策中提供个人信息控制界面
第一张图中,google在隐私政策中向用户展示了如何访问其个人信息,并提供了进入访问个人信息的链接,用户可以在隐私政策中进行访问,以满足访问权的要求。
第二张图中,google在隐私政策中提供了“隐私控制项”,在隐私控制项中,用户可以直接对“活动控件”、“广告设置”等与个人信息密切相关的功能进行管理。
第三张图中,google在隐私政策中提供了“导出、移除、删除个人信息的选项”,通过这个选项,用户可以选择将自身的数据进行迁移和删除,以满足GDPR数据可迁移权和删除权的要求。
如果说前面的方式是google隐私政策解决了透明度问题,而直接在隐私政策中给予用户控制权则是解决GDPR中关于个人信息保护的最核心问题:个人信息的控制权。为了更好地增加透明性,google通常还会设置一个广告透明中心—详细说明个性化广告的情况与可能会合作分享的第三方情况,并且还会出具透明度报告,以分享来自于政府的要求。
【Google】对敏感信息的增强告知与共享第三方信息的完整披露
对第三方合伙伙伴信息披露的颗粒度是相对较细的,颗粒度越细透明度越高。并且详细说明合作伙伴与数据处理者的不同角度定位。
我们看看Twitter的隐私政策是如何做的:
【Twitter】隐私政策的分层式展示
【Twitter】在用户继续注册前即赋予用户控制信息选项
当用户点击第一个页面中的“隐私选项”链接后,页面会转跳到第二个页面中。在第二个页面中,用户可以直接对向Twitter提供的邮箱地址、手机号码等个人信息的可公布范围进行控制,避免用户在给出此类信息时即被分享出去。也就是说在设计环节,Twitter即考虑到了用户隐私保护的问题。这也是GDPR所倡导的“基于隐私的设计”(PbD)。
【Twitter】向用户展示个性化广告和与第三方分享数据的情况
用户可自主决定是否让Twitter与业务伙伴分享用户的数据,用于广告和品牌影响等用途,还可查阅和删除被平台贴上的标签。这更是用户控制权与自决权的体现方式。
我们再来看看Facebook的隐私政策是如何做的:
【Facebook】采用容易辨识的方式展示隐私政策
Facebook的隐私政策通过分栏展示用户信息的收集、使用于处理情况。用户点击相应条目就可以非常容易地访问其关心的信息,以满足告知”透明度“的要求。
【Facebook】使用图文结合方式展示个人数据的使用场景与方式
通过Facebook的隐私政策,用户可以非常便捷地了解到其个人数据是如何被使用的,例如:用图文结合的方式告知用户为什么会收到定向推送的广告。
【Facebook】提供用户控制其个人信息权利实现的工具
与google设计的隐私政策方案相同,Facebook的隐私政策中也提供给了用户控制其个人信息的实现途径。图中所展示是就是用户可以通过修改偏好设置,来控制被用于推送定向广告的个人信息。通过这种控制界面的设计,以满足GDPR所要求的访问权、修改权以及自动化决策的可解释性等问题。
【Facebook】对个人敏感信息的增强性告知
在收集例如通讯录等个人敏感信息时,facebook采取的是opt-in模式。应确保个人信息主体的明示同意是其在完全知情的基础上自愿给出具体、清晰和明确的愿望表示。
【Whats-app】对更新后的隐私政策要点进行重点告知
如果隐私进行变更或者更新,为了提高透明度,建议对新增内容进行重点提示,防止因变化部分“埋藏”在原文当中,不能引起用户的足够注意或者将提示义务转变成了让用户去“找不同”。这样的做法都是对用户体验不够友好的表现。如WhatsApp的更新提示中就以bullet points 形式详细、清楚、简明地向用户说明其与Facebook关系、端到端加密以及安全性功能、不允许Whatsapp使用第三方横幅广告、新应用程序使用方法以及用户权利等变化。
【Whats-app】给于用户获取报告副本和删除账户的权利
笔者通过亲自试验,在7月18日操作要求发送副本后,whats-app在7月21日通过发送信息告知副本已经准备好请于下载页面进行下载,给于用户充分的权利可以获取其个人账号信息和报告和获取报告副本的权利。另外,它还给予用户自主权利决定是否删除信息,是删除特定产品的信息还是删除整个账户的信息。
【国外APP采用上述告知形式的原因】
1.GDPR中对于显著告知的方式并未限定在“弹窗”
欧盟WP29工作组关于透明度的准则中提供了关于无障碍获取同意的具体指导:向数据主体提供信息和与之沟通的要求是以“简洁和透明”的方式进行的,这意味着数据控制者应该有效和简洁地提供信息及沟通,以避免信息疲劳。“显著告知”的要素意味着用户不应该在页面上四处寻求信息; 它应该立即显示出来以及如何访问这些信息,例如:将信息直接展示出来、提供信息的链接、将信息做出明确标记、通过用问答对话形式展现等。(例如:通过分层隐私声明/通知或者在FAQ中,当数据主体填写在线表单时,通过弹出相关的文本或者进入聊天机器人界面的交互形式进行告知)。由此可见,”弹出相关的文本“仅是GDPR项下满足显著性展示的一种方式。
2.避免告知同意流于形式
WP29工作组指出,在数字环境中,许多服务需要个人数据才能运行,因此,用户每天都会收到多个同意请求,这些请求需要通过点击和滑动来获得答案。 这可能导致一定程度的“咔嗒疲劳”,即:当遇到太多次时,同意机制的实际警告效果正在减弱。这将导致用户不再阅读而经行给出同意问题的情况。这对用户来说是一种特殊风险,因为这会导致用户通常会在疲劳的情况下同意那些对他们而言是非常重要的信息。因此, GDPR要求控制者制定解决这一问题的方法的义务。对此,WP29工作组给出了一个例子:通过浏览器设置获得互联网用户的同意。这样的设置应该符合GDPR中有效同意的条件。
3.通过分层隐私声明确保“透明度”
WP29特别建议数据控制者应使用分层隐私声明链接到必须提供给用户的各类信息,而不是在屏幕上的单个通知中显示所有此类信息,以避免信息疲劳。分层隐私声明可以帮助解决完整性和理解之间的紧张关系,特别是允许用户直接导航到他们希望阅读的声明部分。隐私声明第一层的设计和布局应使用户能够清楚地了解他们在处理个人数据时可获得的信息,以及他们如何在隐私声明的各个层面中找到详细信息。由此,Google、Facebook等主流应用通过在隐私政策中的设置选项来解决这一问题。
4.确保GDPR所保护的真正核心利益:个人信息控制权
我们国内一直有一种误区,就是只要用户同意就万事大吉,就符合了GDPR的规定,但是如前文所述,“告知—同意”的核心是保障用户对其个人信息的控制权。同意并不是真正的重点,因此,正确的做法是千方百计地通过设计确保用户能够控制自己的个人信息。我们看到,这些国外的APP,直接可以通过隐私政策进入个人信息控制界面,对用户的访问、操作较为友好,进而保护了用户了隐私。
【我国APP在现阶段普遍采用”弹窗“提示的原因】
1.行业与监管环境影响
由于在当前监管环境下,行业内普遍采取了”弹窗“的形式进行用户告知,且监管部门三令五申要求给予用户”自主选择“的权利,因此在这样的环境中,我们采取国外APP的做法,暂时不具备可行性。
2.给予用户对个人信息控制机制的能力不足
目前我国现有的隐私政策基本均不具备直接赋予用户个人信息控制权的能力,对于实现用户数据可携带权、删除权的功能设计尚在探索之中。
3.同意仍是目前合规的最保险途径
由于我国《网络安全法》规定,收集、使用、共享用户个人信息需要征得用户同意,因此寻求同意是目前个人信息合规的最优解方案,这也就导致行业普遍将”宝“押在弹窗征得同意这一个维度上。
【现阶段应该如何“弹窗”与未来的方向】
在文章开头我们就阐释了,如果将征得用户同意的精力集中在“弹窗告知”这一个点上,不仅可能并未提升用户对其个人信息的保护意识,反而更容易导致网络运营者在“征得同意”后,不再继续关注用户个人信息控制权这一更重要的问题上来,但是在当前环境下,“弹窗”仍是普遍采取的告知策略,因此我们认为一个较为规范的告知应当包括以下六个方面:
1.对于首次使用(下载APP并联网完成后)的用户进行弹窗告知隐私政策;
2.弹窗中要展示隐私政策的概要(即核心内容或者突出用户最为关心的信息),并提供完整隐私政策的超链接;
3.在弹窗中,给用户”同意“和”不同意“两个选项;
4.用户选择”不同意“时,进入”非登陆态“,而非直接闪退;
5. 对在“非登陆状态”下的用户浏览轨迹,尽量不予收集,如果存在收集的,建议不作识别并宜在一个月内将该部分浏览轨迹信息予以删除;
6.尽量在APP设置中给予用户控制其个人信息的选项,例如:退出定制化广告推送、删除其浏览历史记录等。
笔者建议,今后无论是监管侧还是舆论媒体,应当积极引导与鼓励网络运营者,将用户个人信息保护的重点,从“弹窗”告知引向给予用户更多的个人信息控制权上。此外,隐私政策中做出了对外承诺,企业就要实实在在通过产品设计进行满足,保障用户的权利。如果实际产品没有按照条款保证去做,从民法和消法角度讲,可能涉嫌违约和欺诈,性质就比较严重了。最后,企业需要在意识上真正重视用户隐私保护,而不是仅仅为了应对监管评审,做一些表面上的合规。用户隐私保护一定要从最高层开始,设置专门的隐私合规小组,对产品设计、法律合规、运维技术、业务人员加强培训,真正落实相关法律法规和国家标准。
今年8月27日,信安标委秘书处已经召开了“2018年隐私条款专项工作启动暨专家组成立会”,正式启动了2018年隐私条款专项工作,即将对包括出行旅游、生活服务、影视娱乐、工具咨询和网络支付等共五类30款网络产品进行评审。因此笔者建议任何企业应该从做出好的隐私政策与产品隐私设计的最佳合规实践中去找方向(其以用户为中心,提升透明度,给予用户更多对其个人信息的控制权),把保护用户隐私与业务发展放到同等重要的位置。
本公号此前关于隐私条款的分析文章:
关于DPO沙龙活动的有关情况,请见:
DPO社群成果
线下沙龙实录见:
线上沙龙见:
时评见:
DPO社群成员观点