第六期数据保护官沙龙纪实:2018年隐私条款评审工作
The following article comes from 隐私护卫队 Author 蒋琳 尤一炜
编者按:
2018年11月23日,第六期“数据保护官(DPO)沙龙”在中国电子技术标准化研究院举行。以下文字部分为南都记者就本次沙龙所发表的一篇综述和制作的视频(非常感谢南都隐私护卫队!!)。
报道正文:
2018年隐私条款评审工作计划于月底完成 产品设计被纳入考量
11月23日,第六期数据保护官(DPO)沙龙在京举行。时间临近2018年隐私条款专项工作的尾声,这一期的讨论就围绕隐私条款评审工作展开。中国电子技术标准化研究院的相关专家向DPO社群成员分享了他们在评审工作中的发现和思考。
DPO沙龙现场。图/蒋琳
(1)“用户反感的不是隐私,而是条款”
简单来说,隐私政策是企业与用户之间关于如何处理和保护用户个人信息的基本的权利义务的文件。隐私政策透明度越高,意味着企业对保护消费者隐私的权责描述越清晰。
去年7月,中央网信办、工信部、公安部、国家标准委等四部委指导开展了首次隐私条款专项工作,对京东商城、航旅纵横、滴滴出行、携程网、淘宝、高德地图、新浪微博、支付宝、腾讯微信、百度地图的隐私条款进行评审。经过整改和评审,10款APP在隐私政策方面均有不同程度的提升,均做到了明示其收集、使用个人信息的规则,并征求用户的明确授权。
中国电子技术标准化研究院信息安全研究中心审查部技术总监何延哲提到,去年的评审工作结束后,他们抽查了100款APP,发现38款的隐私条款及相关实现机制有明显更新,22款有较小程度的更新,其余40款没有更新。不过,有明显更新的38款APP中,绝大多数都是参与评审的企业旗下的产品。“虽然改进程度和效果不一,但还是体现出了引领示范效果”,他说。
谁知,有些APP因为以弹窗形式告知新版隐私政策,在用户中引起了极大反弹。有网友说,“为什么突然要收集这么多我的个人信息?”还有网友表示,人生“第一次认真阅读隐私政策”,但“不同意就不让你使用,为什么还要给我看?”
“用户反感的不是隐私,而是条款。”谈及人们对于隐私条款的种种抱怨,何延哲如是说。2017年的专项工作初步解决了隐私条款“从无到有”的问题之后,他指出,下一步还要继续在增强式告知、使用过程中的即时提示等方面优化推进,化解一揽子同意、只在文字上做表面功夫而忽略实际应用等现象。
南都记者了解到,2018年第二期隐私条款专项工作于8月底正式启动,选取了与人们日常生活紧密相关、具有较大用户数量的30款网络产品,包括出行旅游、生活服务、影视娱乐、工具资讯和网络支付等五大类。
虽然两次专项工作的评审规则主要都是基于推荐性国家标准《信息安全技术个人信息安全规范》(下称《规范》),但今年还吸收了有关法规要求以及国内外的优秀实践案例,并创新性地加入了修正项——如果隐私条款设置特别合理、呈现方式有所创新,可加分;如果有不合理的免责条款等,可扣分。
中国电子技术标准化研究院信息安全研究中心审查部技术总监何延哲。图/蒋琳
此外,参与评审的产品数量从10款增加到30款,评审模式也有所变化。“第一次更像考试,企业展示产品隐私政策并参加答辩,最后由专家给出评判意见;这一次更像辅导,企业接到通知之后先自己做整改,然后专家反馈意见,企业可以再整改”,何延哲透露。
(2)对评审规则广泛征求意见
中国电子技术标准化研究院信息安全研究中心数据安全部法律总监陈舒介绍,2018年隐私条款评审要点包括收集规则、保存规则、使用规则、对外提供、用户权利、条款状态、征得同意和修正项。评审规则经过了严密的讨论和修改,在实际评审过程中,评审组还是希望评审对象对规则提出建议和意见。
比如评审规则要求,企业须在隐私条款中注明核心业务功能和应收集的必要信息,明确告知拒绝提供或拒绝同意带来的影响;还需说明非核心业务功能或附加功能,并明确告知如果不提供相关信息,将导致附加业务功能无法实现,但不影响核心业务功能的使用。
中国电子技术标准化研究院信息安全研究中心数据安全部法律总监陈舒。图/蒋琳
陈舒介绍,企业可以从四个维度考虑去识别核心功能:一是盈利创收,即涉及盈利最多的功能一般是核心功能;二是核心价值,如果一款产品设计之初就是为了订票,那么凡是跟订票相关的可认为是核心功能;三是底层架构,采用同一个算法逻辑和底层架构的,可算作核心功能;四是用户占比,即用户量最大的功能一般是核心功能。
区分核心功能和附加功能固然能打破一揽子同意,可是在实际业务中,它并不是一个非黑即白的简单决定。比如对于新闻资讯类和电子商务类APP来说,商业广告算它们的核心功能还是附加功能?至关重要的安全功能应该算作各类应用的核心功能吗?与这些问题相关的评审规则都值得细细推敲。
环球律师事务所合伙人孟洁。图/蒋琳
环球律师事务所合伙人孟洁曾经在互联网企业积累了多年合规经验,对隐私条款的撰写颇有心得。在她看来,即便是关于如何在文本结构层面做到最佳实践,其实也需要深入探讨。
目前,国内有些企业把“我们如何收集您的信息”和“我们如何使用您的信息”分别作为隐私政策的前两章。而孟洁认为,企业关于如何收集和使用用户信息的内容最好放在一起,否则两部分在某些语句的描述上势必会有重合,还有可能造成逻辑不清晰。
另外,从结构上看,隐私政策的前几章通常说的是“我们如何做”,到了用户权利的章节又变成“您的权利”。她指出,如果改成“我们确保您行使您的权利”,逻辑会更加连贯。
(3)评审得分高不一定代表隐私条款文本越详细
南都记者了解到,当天在场的不少DPO社群成员都是正在参与或者参与过隐私条款评审的企业的法务。借此机会,他们也从业务角度对这次的评审规则各抒已见。
DPO社群发起人、北京大学法治与发展研究院高级研究员洪延青正在解答问题。图/蒋琳
其中被提到最多次的是评审规则中的“区分核心功能和附加功能”。有DPO社群成员表示,除了两者界定没有清晰界限之外,业务人员普遍不愿接受自己开发的功能被界定为附加功能,使得隐私条款改进工作难以推进。
华为消费者业务隐私安全高级工程师范为。图/蒋琳
华为消费者业务隐私安全高级工程师范为对此提出了建议。她提出,可以根据是否支持撤回同意来界定核心功能和非核心功能:核心功能必须是提供服务所必需且不支持撤回的功能,非核心功能则可以支持撤回。在用词上,她建议区分为基础功能和增强功能——据她观察,业务人员很抵触附加功能的说法,却很欢迎增强功能。
针对“是不是在评审中得分越高,就代表隐私条款越详细?”的疑问,陈舒说,评审的初衷除了提升隐私条款文本之外,更重要的是产品功能的实现,因此在这次评审规则设计上不仅有基于文本的打分,还有个人敏感信息收集、即时提示、增强式告知等要求。“所以并不是文本越详细,得分就越高”,她表示,事实上如果赘述太多,不重视产品设计,同样影响得分。
京东法律研究院秘书长严少敏。图/蒋琳
“隐私评审机制是一个合规利器”,去年京东参加完评审之后,京东法律研究院秘书长严少敏最大的体会是,安全、产品、研发部门对企业个人信息保护的重视程度有了根本改变。她认为,合规人员应该好好把握参与评审的机会,争取在企业里的主动权和话语权。(完)
关于DPO沙龙活动的有关情况,请见:
DPO社群成果
线下沙龙实录见:
线上沙龙见:
时评见:
DPO社群成员观点