查看原文
其他

【数据法学】孟洁 薛颖 谭德芳 陈子谦:热门APP隐私条款之问题及解决

孟薛谭陈 大数据和人工智能法律研究 2022-11-09

B D A I L C 

 欢 迎 关 注 




热门APP隐私条款之问题及解决


文  / 孟洁 薛颖 谭德芳 陈子谦


声明

署名作者保留对本文件的所有权利。未经全部作者书面许可,任何人不得以任何形式或通过任何方式复制、修改、演绎或发表本文件任何受版权保护的内容。

本文件不构成任何法律意见。本文件仅用于信息和教育目的,不意图构成法律咨询或法律意见。每个客户的案件都是不同的,任何仅依照本文件的全部或部分内容而做出的作为和不作为决定及因此造成的后果由行为人自行负责。如果您需要法律咨询,您应该就您的具体事实和法律情况联系律师。




引言


随着数据泄密事件愈发频繁,个人信息安全保护已经成为全球性话题。2018年9月发生的Facebook泄露5000万用户个人信息事件引发轩然大波,股价大跌、市值缩水,数据保护的重要性和紧迫性引起公众热议。与之对应,各国关于个人数据立法也逐步展开,例如2018年5月25日欧盟《一般数据保护条例》(“GDPR”)正式施行,随后美国加州通过《消费者隐私保护法案》、印度公布《2018个人数据保护法(草案)》、巴西通过《通用数据保护法》的审议等。我国于2017年6月1日生效的《网络安全法》亦对个人信息保护作出了规定,2018年5月1日生效的《个人信息安全规范》更进一步落实和细化了《网络安全法》的要求,力求最大限度的保护用户的个人信息安全。 

为落实《网络安全法》个人信息特别是用户信息保护要求,2017年中央网信办、工信部、公安部、国家标准委等四部门组成的专家工作组对十款网络产品的隐私政策做了评审,借助此次评审来规范各行业服务产品收集、使用、储存、共享等处理用户个人信息的行为,此次评审中多数APP的隐私政策已符合标准,但仍有少数还需要进一步的改善。2018年9月再次进行的评审活动覆盖的产品已达到30款。

隐私政策或曰隐私条款,从私法角度而言,乃是产品或服务提供者(企业)与用户个人之间针对使用产品和服务中如何处理用户个人信息所达成的法律协议,其中明确规定了用户个人信息如何被收集/使用/处理、用户个人作为数据主体所享有的权利及其行使方式、企业承担的数据保护义务等一系列基本内容(合同主要条款)。从公法角度,隐私条款的内容则是企业在具体业务场景中披露和展示其如何落实《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《消费者权益保护法》、《网络安全法》等法律法规下企业作为服务提供者应该承担的信息安全保障义务。因此,制定完善的隐私政策用户权益保障的有效依据,也是企业履行数据合规义务的必然要求,更是监管机构和媒体大众得以快速了解一个企业数据合规水平的便捷切入点。为此,笔者调研了40余家热门APP的隐私政策,这些APP大致可划分为智能手机类、出行旅游类、生活服务类、影视娱乐类、工具咨询类、电商平台类六大类。本文将结合《网络安全法》及《个人信息安全规范》对个人信息保护的规定,剖析隐私政策调研过程中发现的问题,并结合问题提出隐私政策的撰写建议[1]。




一、热门APP隐私政策现存问题  


(一)个人信息间接收集条款不完整,个人敏感信息提示不规范

个人信息收集包括直接收集和间接收集两种方式,绝大多数APP都写明了如何进行直接收集,而忽略了间接收集方式。常见问题主要包括:无关于个人信息间接收集的条款,或者虽有个人信息间接收集条款,但仅作出了概括性规定,未完整告知间接获得的个人信息类型、方式、授权同意范围,如某APP规定如下:

“在法律允许的情况下,我们还会从公用和商用第三方来源获取有关数据,例如,我们通过从其他公司购买统计数据来支持我们的服务。”

评论:本条款虽提及了间接收集个人信息的方式,但采用“有关数据”的表述过于笼统,未明确告知完整的间接获得的个人信息类型以及获得的方式。

如需收集用户个人敏感信息的,企业应向用户告知所提供产品或服务的核心业务功能及所需收集的个人敏感信息集合,并明确告知拒绝提供或拒绝同意将带来的影响。但本次调研发现,绝大多数企业的隐私政策未涉及敏感信息或者虽有敏感信息的内容,但仅仅告知了用户什么是个人敏感信息,而没有着重予以标识,也未和业务线相结合,如某APP隐私政策对个人敏感信息的规定为:

“个人敏感信息:包括身份证件号码、个人生物识别信息、银行账号、财产信息、行踪轨迹、交易信息、14岁以下(含)儿童的个人信息等”

“个人敏感信息保护注意:您在使用我们服务时自愿共享甚至公开分享的信息,可能会涉及您或他人的个人信息甚至个人敏感信息,例如您的头像图片上传,例如您在评论、发帖、发弹幕时选择上传包含个人信息的图片。请您更加谨慎地考虑,是否在使用我们的服务时共享甚至公开分享相关信息。”

评论:《个人信息安全规范》明确指出不得使用概括性语言综述所收集的个人信息,本条款采用“等”、“可能会”、“例如”等表述不符合该规范对隐私政策撰写的要求。


(二)所收集的个人信息与业务的关联性缺失,“定向推送活动”条款退出机制不完善

隐私政策应说明产品或服务所涵盖的各个业务功能,清楚列出各业务功能所收集的个人信息类型以及收集方式,且个人信息与实现该业务功能为直接关联关系。由于信息收集主体的业务线长、覆盖范围广,尤其是旅游第三方和生活服务行业的APP,因此隐私政策往往未建立业务功能与个人信息类型之间的一一对应关系,或者使用类似“等”、“例如”这类的方式列出各业务功能所收集的个人信息(示例见下图),信息和业务功能的一一对应未实现,易引发个人信息多收集、滥收集的情形,不利于个人信息保护。

“您在注册我们的账号时,主动向我们提供的相关个人信息,例如昵称、账户密码、姓名、性别、照片、您本人的电话号码、电子邮箱等;”

评论:如上,本条款采用“例如”、“等”的表述不符合《个人信息安全规范》隐私条款撰写要求,而应明确写明具体业务功能所收集的个人信息,建立业务功能与信息的一一对应。

“定向推送活动”是指利用个人网络浏览历史、兴趣偏好等信息开展精准营销、个性化推送信息、搜索结果排序等活动。隐私政策应说明哪些个人信息使用行为属于“定向推送活动”以及用户识别“定向推送活动”的方法。当用户退出定向推送模式后,对自动识别的用户设备识别码等信息和个人信息作匿名化和删除处理(用户注册信息除外)。本次APP隐私政策调研发现,各APP尤其是生活服务类对此都对“定向推送活动”进行了充分介绍,包括推送的内容、方式以及用户如何取消授权等,但未写明在用户取消授权后对自动识别的用户设备识别码等信息和个人信息要作匿名化和删除处理。

 

(三)个人信息保存时间的标准不明确或不合理,存储地域未告知

网络运营者应告知用户数据保存期限或确定保存期限的标准,且个人信息保存期限应为实现目的所必需的最短时间。此次APP隐私政策调研发现虽然绝大多数APP的隐私政策包含个人信息保存期限条款,但仍然如下典型问题:1)隐私政策无数据保存期限或无确定保存期限标准的条款的;2)未承诺个人信息保存期限为实现特定目的所必需的最短时间的(见下图示例1);3)确定个人信息保存期限的标准不明确,未说明超过期限后的处理方式的(的见下图示例2);4)或规定个人信息最低保存期限不合理的(见下图示例3)。

示例1

“存储期限:除法律或相关法规另有约定外,我们在为提供我们的服务之目的所必需的期间内保留您的个人信息,但您要求我们立即删除或注销账户的、或法律法规另有规定的除外。对于已匿名化的信息的存储期限和处理,我们无需取得您的授权同意,也无需做出通知。”

评论:《个人信息安全规范》要求个人信息的保存时间应为实现目的所必需的最短时间,而本条款仅满足了提供服务之目的所必需的期间而未指出该期间还应是最短期间。


示例2

“数据保留期限:我们会采取合理可行的措施避免收集无关的个人信息。我们只会在达成本政策所述目的所需的期限内保留您的个人信息,除非您同意延长保留期或受到法律的允许。”

评论:同上。本条款未指出数据保留期限为实现所述目的的最短期间。此外,根据《个人信息安全规范》,超出个人信息保存期限后,应对个人信息进行删除或匿名化处理,本条款缺失超出数据保留期限后个人信息的处理规则。

   

Ÿ     示例3

“信息存储的期限  XXXXX平台会依照个人信息的不同等级存储不同期限,存储期限严格按照法律及相关法规规定,且保证最低期限不低于6个月。”

评论:“保证最低期限不低于6个月”明显与个人信息保存时间最小化要求相违背,“不低于”的表述方式导致难以确定个人信息存储时间,不利于个人信息保护。

隐私政策还应当告知用户数据的存放地域,如涉及向境外传输个人信息的,则应明确向用户告知个人信息出境的目的、接收方、安全保障措施等情况,并向用户征得同意。在所调研的近四十家企业中,不存在隐私政策撰写方式完全符合个人信息保存地点与传输规则的情况,有三分之一的隐私政策缺失数据存储地域条款,此外部分APP的隐私政策仅告知用户信息可能被存放于境内或境外,却未列明在何种情形下会将信息存储在境外(见下图示例)。

“如上所述,在某些情况下,本公司可能会将个人资料交托第三者服务供应商(包括中国境内外的服务供应商)保管,规定他们对个人资料保密以及只可将其用于本公司指定的用途。关于阁下个人资料披露和转移的进一步详情请参阅以下第6部分。”

评论:本条款未详细说明需要数据跨境传输的情形及安全保障措施。如确实难以提前告知数据跨境传输情形的,至少应增加跨境传输单独征得用户授权同意的条款以及跨境传输的安全保证措施。


(四)个人信息共享、转让规则约定模糊,企业重大变更个人信息处理规则缺失

个人信息原则上不得共享、转让。确需共享、转让时,应告知提供个人信息的目的、涉及的个人信息和接收方类型,以及所承担的相应法律责任等。本次调研的APP中,约有60%以上的隐私政策仅说明了信息将会涉及共享、转让,条款内容基本为“我们可能将用户的个人资料披露及转移给本公司的联营公司、附属公司、商业伙伴、服务供应商以及用户要求或提供给用户的服务及产品相关的其他人士并与其共同使用。” 此种表述的缺陷在于用户并不知晓会共享、转让哪些信息以及用途,盲目的授权可能会导致很不利的后果,这也是今年发生的Facebook数据泄露事件的部分诱因。

企业在发生收购、兼并、重组等变更时,应该告知用户其会要求变更后的企业按原目的收集使用个人信息,如涉及目的变更,会重新征得用户的授权同意。本次调研对象中,只有少数几家APP的隐私政策约定符合法律要求,其余的隐私政策要么缺失企业发生上述变更时的个人信息处理方式,要么虽有相关条款,但在发生重组、合并或破产和清理诉讼时,未承诺将继续履行个人信息保护的责任(见下图示例1)或条款仅规定了变更前的个人信息保护,未规定变更后个人信息保护机制(见下图示例2)。

“如果我们发生重组、合并或出售,则我们在将我们收集的一切个人信息进行转让之前,继续按照现行的隐私政策约束来保证其秘密性并会通知所有受到影响的用户。”

评论:《个人信息安全规范》规定当个人信息控制者发生收购、兼并、重组等变更时,变更后的个人信息控制者应当继续履行原个人信息控制者的责任和义务。本条款缺失转让之后,对个人信息保护责任的规定。为更好的保护个人信息,建议补充发生变更时,原个人信息控制者和变更后个人信息控制者之间个人信息保护责任的规定。

   

(五)个人信息安全保护水平缺承诺,安全事件处置措施条款缺失

隐私政策应告知所采取的个人信息安全保护措施,说明安全措施合理或数据安全能力足够,且承诺将达到合理的安全水平。企业所采取的安全保护措施是其数据保护能力的重要参考依据,所调研的大多数APP的隐私政策均对其安全保护措施作出了较为详细的介绍,如采用了SSL加密保护技术、取得了获得ISO27001认证(英国标准协会BSI的数据安全保护认证)以及等保三级备案等,但对于企业内部诸如是否组织了员工安全意识培训、开展了安全影响评估以及是否对数据访问的权限做了限定等还有待说明。此外,部分APP的隐私政策对所采取的安全保护措施能否达到合理的安全水平未予以说明,或者对于安全水平的承诺过于笼统(见下图示例),笔者认为此类表述不可厚非,但是应写明出现信息泄露事件后所采取的应急措施,企业应准备好应急预案,在事故发生后应立即采取相应行动力求损失最小化,并在最短合理时间内发布公告并以邮件、推送等方式逐一通知各个用户所采取的补救措施。但在本次所调研的APP中,超过三分之一的隐私政策无发生安全事件后的处置措施和补救措施的条款,此外,部分隐私政策仅说明了安全事件处置措施,却未对通知用户的方式作出规定。

“互联网环境并非百分之百安全,我们将尽力确保或担保您发送给我们的任何信息的安全性。如果我们因我们的疏漏导致您的合法权益受损,我们将承担相应的法律责任。”

评论:《个人信息安全规范》规定个人信息控制者应根据国家标准的要求,建立适当的数据安全能力,本条款采用“尽力确保或担保”的方式,表述过于笼统。建议根据国家标准或业界标准确定安全保护水平。

   

(六)用户个人权利未得到有效保障,公开的投诉渠道便捷性不足

用户个人对于其信息拥有一些权利,企业在其隐私政策中应明确告知用户其拥有何种权利,包括但不限于用户访问、删除、更正其个人信息的权利、实现方式、限制条件等。除了要求隐私政策包含用户个人权利的内容外,在产品或服务的功能界面还应当提供实现用户权利的方式,且该操作方式简单易懂。本次调研发现,调研对象中的大多数隐私政策承诺用户对其个人信息具备访问、更正、删除、获取等权利,但未告知实现上述个人权利的方式,以个人信息的删除权为例,常见表述见下图。这种表述对用户删除其个人信息做出了承诺,但是未能给出具体的操作路径,缺乏可操作性。

“当您完成XXXX的账号注册、登录并进行合理和必要的身份验证后,您可以查阅、修改、删除您提交给XXXX软件及相关服务的个人信息。您理解并同意,一般情况下,您可以随时浏览、修改、删除自己提交的信息,但出于安全性和身份识别(如号码申诉服务)的考虑,您可能无法修改注册时提交的某些初始注册信息。”

评论:本条款缺失实现查阅、修改、删除权利的具体方式。

隐私政策还应公布用户投诉和举报的渠道和处理机制,以及不响应用户的具体情形。调研的APP中,仅有10%的隐私政策对投诉和举报的渠道规定较为全面,其余的部分隐私政策投诉渠道单一,仅列明了一种联系方式,也有部分隐私政策未规定用户请求的相应时间。




二、隐私政策完善建议


(一)明确个人信息收集规则,重视个人敏感信息即时提示 

隐私政策应当告知个人信息收集方式,明确个人信息收集的类型、方式、授权同意范围、信息与业务的关联性。即使业务不涉及间接收集的情况,亦应在隐私政策中对此作出说明。笔者在此以阿里的隐私政策条款(见下图)为典型示例,该隐私政策既说明了间接收集的信息类型,确认了信息来源的合法性,也告知了用户拒绝授权的权利,表述完整全面。

隐私政策既应告知用户收集的个人敏感信息的有关情况,在收集、使用、对外提供个人敏感信息前,又应当采用即时提示的方式征得用户同意。以《京东隐私政策》为例(见下图),该隐私政策的个人敏感信息条款相对规范,既告知了用户收集的敏感个人信息的全部类型并且在每个业务线后写明了因为何种目的去收集哪些个人信息,采用了字体加粗的方式进行增强性告知,用户在阅读的时候会着重去看,这就起到了通知和征求同意的目的,对用户和企业双方都提供了便利。


(二)建立个人信息和业务功能的一一对应,补充“定向推送活动”的退出机制    

隐私政策应当说明每类个人信息的收集方式,并将业务功能与所收集的个人信息类型建立一一对应关系,确保所收集的个人信息应与产品或服务的业务功能有直接关联。以《华为技术支持App隐私声明》为例(见下图),不仅穷尽列举了该产品收集个人数据的类型,而且还告知了各个业务功能所收集的个人信息,实现业务功能与个人信息的一一对应。

本次调研的的所有APP的隐私政策均忽视了“定向推送活动”的退出机制,笔者在此就该退出机制起草了相应的文本供参考,即“定向推送 【……(定向推送活动的类型)】如果您不想收到此类推送,您可以通过【……(具体操作路径)】拒绝接受推送。您拒绝接受推送之后,我们将把为达成定向推送而收集的您的个人信息做删除或匿名化处理。”企业既应当提供退订推送活动的操作方式,又应当在用户退订后对相应的个人信息进行删除或匿名化处理,保护用户个人信息。以今日头条APP为例,该APP对于程序化广告提供了退出机制,当用户选择关闭程序化广告时,头条APP将停止向用户推送程序化广告。此时,虽然用户还会看到广告,但因关闭了程序化推送,广告的相关度将不是精准的推送结果(见下图)。

顺便提及的是,当数据处理者是电商经营者时,还应遵守《电子商务法》的规定,在配套的服务协议和产品设计中也要承诺和落实:如果根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的,应当同时向该消费者提供不针对其个人特征的选项,以便尊重和平等保护消费者的合法权益。


(三)明确告知个人信息存储地域和保存期限或确定保存期限的标准

隐私政策应说明将在何处保存个人信息,明确告知用户是否存在跨境传输个人信息的情形,如存在跨境传输,还应进一步说明与跨境传输相关的一系列信息。关于个人信息存储地域的撰写示例,可参考《个人信息安全规范》的《附录D 隐私政策模板》第七条“您的个人信息如何在全球范围转移”的内容。

事实上,是否制定了数据存储周期的详细制度及其实际执行情况如何,这是检查企业数据合规工作漏洞的一个有效手电筒,可以由“终点”到“始点”,窥见数据生命流程中很多环节的风险。存储周期问题往往牵一发而动全身,从法务要全面识别若干法律法规对特殊类型数据的存储周期合规要求(例如《网络安全法》中对网络日志的存储周期要求、《电子商务法》对商品和服务信息、交易信息保存时间的要求、《互联网信息服务管理办法》中对互联网信息服务提供者和互联网接入服务提供者的记录备份周期要求 ) ,到数据收集目的的最小化排查、存储必要性的考量、数据的分类分级、数据的时效性、数据删除的周期性检查、匿名化的处理、终端访问控制 、与第三方接口的数据流传控制等,都与落实数据存储周期有关。而是否在隐私政策中充分披露各种数据的具体存储周期,是对企业能否真正落实多种数据合规制度和提高数据处理透明度的重大挑战,虽然这同时可能也是减轻企业存储负担和用户权利响应负担的一个手段。

 

(四)明确告知个人信息共享、转让规则,补充企业重大变更个人信息处理条款

个人信息需共享、转让的,隐私政策应详细说明共享、转让的目的、方式、涉及的个人信息和接收方类型。京东的隐私政策给出了良好示例(见下图),其中写明了只会与第三方共享必要的个人信息,且除关联公司外的第三方无权变更个人信息的处理目的,如果关联公司因业务需要确需变更的将再次征求用户的授权同意。在数据安全方面也写明会与第三方签署严格的保密协议(有的企业还会披露与其合作的若干重点的数据处理第三方,如企业选择的云存储服务商),保证信息的最终控制权,更进一步确保用户的个人信息安全。

针对企业有可能发生的收购、兼并、重组等变更情形,为确保个人信息保护的持续性,隐私政策应包含企业发生上述重大变更事项时的个人信息处理规则。在本次调研对象中,某视频类APP的隐私政策对本条款的规定相对完善,该隐私政策不仅声明将履行通知的义务,也承诺要求变更后的企业以不低于原安全标准保护用户个人信息,条款设置相对合理。


(五)详细列明安全保护措施,告知安全事件处置措施

隐私政策应尽可能的详细说明将采取的技术措施和其他措施,避免用概括性语言描述。为了确保隐私政策的内容符合法律要求,为所采取的安全保护措施确立标准,实现用户信息安全保护的合理水平,可考虑在隐私政策中引入行业标准作为判断是否达到合理水平的基础,常用表述方式为“为保障您的信息安全,我们努力采取各种符合业界标准的物理、电子和管理方面的安全措施来保护您的个人信息,包括【……(详细列明将要采取的安全保护措施)】。”

在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当在隐私政策中详细说明补救措施以及通知用户的方式。在调研的APP中,某视频类APP的隐私政策给出了良好示例,该政策一方面明确了安全事件发生后的应急预案启动流程及向主管部门的报告义务,另一方面还规定将采用多途径告知用户安全事件,该告知方式合理。此外,本条款还包括安全预案演练的内容,将安全事件防患于未然,表述全面完整,符合个人信息安全保护的要求。


(六)明确用户权利实现方式,确保实现方式的可操性

隐私政策应详细列明用户所享有的个人信息访问、删除、更正、撤回同意、注销账号、投诉等权利以及权利的实现方式。对于需要用户自行操作来行使权利的,企业应提供具体的操作路径。对于操作路径的说明应当明确简洁,易于理解。如果用户对其个人信息的控制与处理能够即时在线操作,例如在指定页面根据清晰的指示和示例来填写在线表单,但如果用户行使权利需要企业来协助,企业应当提供用户所需的支持。通常而言,一般的电话客服人员难以对关于隐私的权利请求这种复杂敏感的用户问题提供准确专业的应答,因此如果企业提供在线或电话这种即时交互的用户请求响应方式的,还需要对客服人员或客服机器人进行专业培训或设计,以便引导用户就隐私权利问题的处理走专有通道。若用户提出的权利行使需求需要一定的时间来响应,企业应说明无法即时响应的原因,以及所需要的具体的响应时间(实践中以“30天”居多),避免因为简单说“在合理时间内答复”,难以满足用户对“合理期限”的心理预期,反而会引发投诉升级或舆情事件。任何拒绝用户行使其个人权利的情形,企业应说明原因,例如用户注销账号时因账号下还有待收货物、未处理的预付费、第三人评论等无法即时或全部删除数据。




三、结语 


日常生活中我们在使用这些APP时,往往很少去关注隐私政策的具体内容,一是用户对个人隐私的重视程度还不够,近期公民隐私泄露时间频发,平时我们也会总收到一些骚扰电话、垃圾短信,这些从一定程度上为我们敲响了警钟,让我们更加重视个人信息的保护,要知晓自己的权利和义务,必要时要运用法律武器来保障自身的权利。二是条款内容太过冗长,使得用户没时间或者没耐性去读。按照《个人信息安全规范》的推荐做法,企业将核心内容以弹窗的形式,甚至可以进一步辅以滚动展示、下拉展示完才能同意、限制最低阅读时长等方式,增强告知用户,并附上全文的链接,将重点信息以加粗字体等方式标识出来,方便用户在阅读时能够快速的找到核心内容,做出决定。

对企业而言,最重要的是保障用户的数据安全,要以用户为核心,从收集、使用、储存、传输等各个方面尽到自己的合规义务,确保用户的权益能够以合理路径行使。当然,基于本文首部介绍的隐私条款在私法和公法上的性质,最为基本的要求是要确保“不说假话”,言行相一致,在实际的业务操作中要完全符合隐私政策文本中所表述的内容,而不是其作为一纸空谈。如果实际产品没有按照条款保证去做,从合同和消法角度讲,则涉嫌对用户的违约和欺诈,性质就比较严重了。可以说,用户看到的隐私条款其实是企业隐私合规工作的冰山一角,如果没有内部配套的技术与组织措施(TOM),特别是没有在不同层级的产品和场景设计中真正嵌入隐私保护的理念,来切实支持隐私条款中做出的承诺,则隐私条款文本就成为无水之木、无本之源,冰山的坍塌也是难以避免的。

更进一步而言,撰写或修改好一份隐私条款,乃是“汝果欲学诗,功夫在诗外”,大量的工作是在摸排数据地图、了解数据处理的各种细致具体场景,真正把握“3W+H”,即在隐私条款动笔之前要先了解这一隐私条款适用于哪些数据处理活动和场景,基本点包括:(Who)数据控制者、处理者、数据主体都是哪些法律实体,(What)哪些数据基于何种目的在哪些环节会被收集,(where)数据都会被在哪里存储、哪些地方有终端访问、流转到了哪些关联公司或第三方和(How)数据在整个生命周期是如何被使用、处理和分享的。

此外,一个企业在不同业务模式下、不同法域的市场中如何设计和适用不同版本的隐私政策,以哪一个版本作为合规基准的参照来做加减、在哪个层面设置一个通用版加上效力优先的补丁条款、为哪个业务场景开发一个独立完善的专有版……属于更为复杂的隐私政策治理问题,更是在隐私条款撰写和修改之前需要解决的顶层设计,有赖于法务、产品/技术和业务团队一起结合数据处理活动、业务和组织管理架构、合规成本、便利与可行性、风险可控等多个维度来综合考量。

隐私政策虽然只是数据安全合规工作的开始,但其重要性早已不言而喻,在大数据时代的背景下,它既是企业和用户之间联系的桥梁,也是开展数据安全工作的基石。



[1]   提示:本调研报告按照相关法律法规对隐私政策的撰写要求,对各APP隐私政策适用最严格的标准进行评估。实际应用中,企业可以结合不同行业、自身能力、业务需求、产品技术特点以及合规预算的不同情况,在法律要求的最低基准线与最严格标准之间进行浮动,并建议分层次分阶段不断进行优化与改进力争达到行业最高水平。



本文转自公号“网安寻路人”

感谢作者的授权

本文仅作学习交流之用


©️汪庆华




往期荐读




编辑:钟柳依


欢迎点击“阅读原文”

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存