「大咖观点」垦丁海外数据隐私顾问魏彤|海外Tech Giants隐私策略对中国出海企业的启发

魏彤出海互联网法律观察

2024-08-25

小编推荐

本文通过对四大海外知名科技巨头Facebook、谷歌、苹果、微软的隐私策略的介绍与分析，为我们清晰地呈现了大公司的隐私策略布局。并且列举了几个隐私方面的著名案例，便于学习与理解。最后总结了启发与建议，实用有效，值得一读。

全文约3300字，细读约17分钟。

海外Tech Giants隐私策略对

中国出海数据合规的启发

分享者：魏彤 | 垦丁律所海外业务数据隐私顾问、

前欧盟集团DPO

感谢：文字整理、编辑排版王湄怡

在内容开始之前，我们需要知道，“Privacy Policy”（隐私政策）和“Privacy Strategy”（隐私策略）是不一样的。隐私策略较隐私政策宽泛得多。对内而言，它包括公司的隐私政策、产品设计、技术落实、合规承诺等；对外而言，它包括公司对所在国家数据保护立法的态度和立场。

今天我们就来说说互联网四大巨头：Facebook、谷歌、苹果和微软的隐私策略。

首先让我们来看看Facebook和谷歌。为什么要先说这两位呢？因为这两位有一个共同点：大量的广告营收。这里，就不得不提及广告业务与数据隐私的关系了。

一个互联网产品有两条赚钱之道，其一是直接收费，其二就是卖广告。

Facebook和谷歌并不向用户直接收取费用，而是通过广告业务来支撑它们的庞大家业。众所周知，想要使广告的效益最大化就要精准投放，而精准投放就一定离不开收集用户的数据信息，以此了解用户的喜好。而一旦涉及用户个人数据的收集分析，几乎等于立刻站到了隐私保护的对立面。因此，如果一个公司依靠广告业务赚得盆满钵满，那它一定不会大张旗鼓地呼喊保护公民隐私，且其自身的隐私策略也一定是尽可能的相当宽泛。

Facebook的隐私策略

言归正传，我们先来了解一下Facebook的隐私策略。因为广告作为支柱性营收，Facebook对隐私保护的态度一直比较保守。但近年来，随着欧盟通用数据保护条例（GDPR）威力渐显，Facebook被多次调查，也正是由于这些压力，其在隐私保护方面作出了一系列调整，其中包括默认关闭欧盟地区内的面部识别功能。Facebook自己列出的隐私原则有6条，分别是：

·简化隐私交互设置

·提供平台加密服务

·增强旗下收发信息功能的互操作

·提高开发平台与公司产品更新的透明度

·保持数据安全存储

·限制用户数据保留时间

谷歌的隐私策略

目光转移到谷歌，这位与Facebook相比算是稳重多了，它在上世纪九十年代就已经开始设置隐私政策。随着GDPR的出台，谷歌也跟着更新它的隐私政策。最新的隐私政策赋予了用户更多地权力去把握自己的数据信息，并且使用了视频、截图等方式来帮助用户理解该政策。谷歌强调了6点隐私原则，分别是：

·数据本地处理

·使用差分隐私技术

·使双验证方式更易被接受

·用户可控制使用自动删除动能

·App服务可被迅速访问和设置

·不向第三方售卖个人信息

对数据保护立法的态度

我们再来看看这两位对数据保护立法的态度。

Facebook的CEO扎克伯格曾经公开表示支持欧洲的严格隐私立法，并支持建立全球共同的隐私框架，其公司层面对社交网络平台上公共辩论和用户保有对自己数据的控制之间的合理界限进行定义；

谷歌则在2018年发布了数据保护立法框架，表示至少可以接受最低限度的监管或者由政府制定的一些新规定，并且希望制定一个较弱的联邦消费者隐私数据保护法，以取代严格的加州消费者隐私保护法（CCPA）。

说完了Facebook和谷歌，我们再来看看苹果和微软。与前两位相反，这两家选的是第一条路，也就是直接向用户收费。也正因为没有广告业务作为掣肘，这两家高举隐私保护旗帜，甚至还有自己的隐私保护口号：隐私是基本人权。

苹果的隐私策略

先来了解一下苹果。苹果在美国、加拿大、澳大利亚、新加坡上线专门的隐私网站，用户可以查看、下载、删除自己被收集的资料。苹果的隐私策略分为四方面，分别是：

·数据本地处理，并广泛应用加密技术

·为开发者制订严格的隐私指南

·利用机器学习来限制第三方cookies对用户进行追踪

·使用差分隐私技术

熟悉苹果设备的用户可能都知道它动不动就更新的、长达几百页的开发者政策，正是上面第二点的落实，而苹果独立的浏览器Safari为上述第三点提供了基础。

微软的隐私策略

视线来到微软，微软在隐私保护方面也是相当敞亮，六大隐私原则也是列得清清楚楚：

·透明性

·可控性

·安全性

·强大的法律保护

·没有根据内容而设定的广告

·用户知情

具体来说，透明性指的是，微软会将数据分为“必需的”和“可选的”两大类，当收集用户数据时，会将收集数据的分类显示给用户，清楚告诉用户所收集的数据属于哪一类，并且会用文字来解释为什么收集“必需的”数据是必须的。

可控制性则是指，微软一年会发布两次数据收集报告，用来解释它的数据收集行为。而用户知情是指，微软的用户可以获得关于公司开发流程和合同承诺的详细信息。

对联邦隐私立法的态度

说完各自的隐私策略，再来说说它们对于联邦隐私立法的态度。

苹果和微软都支持制定统一的联邦立法，苹果支持综合的联邦隐私立法，并且多次强调隐私是基本人权，也表态支持制定一个较弱的联邦消费者隐私保护法，以取代严格的《加州消费者隐私法案》。

微软则更加激进，明确表态支持更为强力的联邦数据保护立法。

一般来说对数据隐私重视与否，都会直接反映在执法层面。我们来看几个案例，了解一下近年来这些大公司都遭遇了什么。

案例一：

2019 年 1 月 21 日，法国数据监管机构 CNIL 对谷歌处以 5000 万欧元的高额罚款，因谷歌违反《通用数据保护条例》（GDPR）的透明性原则和需要提供充分信息的规定，以及针对个性化广告缺乏数据处理的合法性基础。

具体表现为：

在透明性方面，用户无法了解谷歌提供的信息，以及该信息处理达到的程度和处理的后果；且用户不能轻易地获得或访问到这些信息。

广告方面，谷歌把广告分散在多个模块中（例如谷歌搜索、视频、地图、图片等模块中），使得用户的个人信息在多个模块文件中被重复使用；关于处理收集的描述也分散在各文件中，用户无法理解个性化广告处理的目的和处理的范围，也无法理解数据收集的性质和数量；用户对个性化广告的“同意”是建立在“预先勾选”的基础上，用户的同意不够明确也不具体。

对于信息提供，没有明确表明信息存储的期限以及该期限的标准。

案例二：

2019 年 9 月 4 日，美国联邦贸易委员会（FTC）宣布，谷歌旗下视频分享网站 YouTube 因非法收集和分享儿童个人信息，违反 《儿童在线隐私保护法》（COPPA ）的规定，Youtube 同意支付 1.7 亿美元（其中 1.36 亿美元支付给 FTC 作为罚金，3400万美元支付给纽约州以了结类似指控），同时提出了一系列要求。

谷歌的具体违规行为：YouTube提供了针对儿童的内容，但却是在没有获得儿童的父母的有效同意下进行收集和处理的，随后更将该等数据用于定向精准广告推送。

案例三：

2019年7月，因为“剑桥分析”事件，FTC 宣布与 Facebook 达成和解协议，首次终结了 CEO 扎克伯格在隐私事项上的最终决定权，并在公司董事会上建立独立隐私委员会。就 Facebook 违反 FTC 之前的命令，Facebook 同意支付 50 亿美元（约占 Facebook 2018 年收入的 9%），以通过和解方式结束美国当局对 Facebook 多年隐私侵权行为的调查。

具体案情是：2018 年，英国咨询公司“剑桥分析”（Cambridge Analytica）在没有获得用户授权的情况下，通过在线性格测验的方式获取了 8700 万 Facebook 用户的个人信息，并将这些数据用于对美国选民定向推送政治信息。而Facebook方面的问题在于：

（1）没有改变之前误导用户的欺诈性设置和虚假描述：Facebook 的隐私设置带有欺诈性，使用户意识不到自己可以“选择退出”，并很难发现行使“选择退出”的权利，并且，在隐瞒公众的情况下继续向部分开发者提供“受波及好友”的信息，对用户选择退出（opt-out）的权利造成侵害，也构成对 2012 和解令“禁止虚假描述”等内容的进一步违反；

（2）没有按照 2012 年与 FTC 达成的和解令，制定、实施全面合理的隐私安全保护计划，没有对第三方进行实质审查，完全依赖其平台政策来实现隐私控制；

（3） Facebook 要求用户输入手机号码进行验证，但却没有向用户明确告知 Facebook 会将这些信息用于向用户进行定向广告投放，构成欺诈性的商业行为，涉嫌违反《联邦贸易委员会法》第 5 条（a）。

启发

了解了四大公司的隐私策略和具体案例，我们中国互联网出海企业应该从中得到些什么启发呢？

1、重视隐私保护问题。隐私权利既是基本人权，也是企业命脉。

2、时刻注意平台合规问题。除了当地监管机构以外，平台是离脖子最近的一把刀，一旦应用下架，那么下载量，广告投放等都会立刻受到影响，给产品造成巨大影响。

3、形式合规并没有想象中那么容易。不仅仅要存在用户协议和隐私政策，还要保证内容上数据法规需要的点提到；形式上既不能用法言法语又不能颐指气使（出海企业经常出现的一个问题就是语气非常可怕，爹味儿十足，通篇表述：你的所有信息我都要拿的，已经告诉你了哦）

总之是保证要清晰易读，让非数据保护专家的用户也能看懂，产品经理也能看懂的隐私政策才是好的隐私政策。

4、儿童隐私保护是重中之重。企业需要做到准确识别儿童用户，并且在做出收集数据行为时需要得到家长的同意，且尽量不增加用于识别的额外的数据收集。最好有专门的儿童用户内容产出和单独面向儿童的隐私政策。

5、明确给用户进入或退出的权利。具体来讲，欧盟坚持opt-in选项选择，而美国是以opt-out为主，opt-in为辅，opt-in主要面向未成年人信息和敏感信息。我国出海企业可以参考借鉴。对于其他国家的数据保护来说，也需看具体的出海目的地来进行定夺。

出海互联网法律观察将陆续发布14位嘉宾演讲实录

敬请关注！

往期回顾：

「大咖观点」魏方丹：2020企业出海趋势和方向

「大咖观点」 “全球购骑士特权”法总叶意 | 海外支付法律问题分析

「大咖观点」前Uber Grab资深数据分析师Joe Shan|商业实践中的数据安全与隐私

「大咖观点」原网易云音乐法律顾问孟靖岳|国际视野下的避风港原则

「大咖观点」500Startups中国区负责人郑思达|中国公司出海融资101

「大咖观点」电子商务法立法专家姚志伟|跨境电子商务零售进口中的“中文标签”问题

「大咖观点」虎牙直播海外法务中心总监张福才|从海外直播平台主播违约案件看泛娱乐争议解决

「大咖观点」超对称资本合伙人蒋慧杰|金融科技监管下的区块链困局

「大咖观点」垦丁海外业务部负责人王捷|移动互联网产品出海数据合规风险与对策

「大咖观点」卓志科技合规管理中心副总监黄颖|跨境电商零售进口实务分享

「大咖观点」美国学界统计学家Reo Wang|美国研究数据收集中的道德与法规

只关注出海互联网法律实务

欢迎加入我们为海外网络法律合规爱好者从业者组织的

交流微信群，分享和学习海外网络法实务

加群主王捷律师jie-72

邀请入群

团队介绍

垦丁海外律师团队深耕海外多地区多条业务线，通过多年来积累的出海法律服务经验以及资源优势，结合本土化的合规经验与国际化的思维，致力于为出海互联网企业提供专业的一站式法律解决方案，为逐鹿海外的互联网企业提供优质及多元化的法律服务，为各类新型业务搭建运营合规体系及提供有效的风险评估及合规解决方案。

王捷，垦丁海外业务负责人，资深出海法律顾问。

广东省法学会信息通讯法学研究会理事，荷兰 RuG 国际经济法与商法硕士，曾任职阿里巴巴大文娱集团，深耕海内外多条业务线，专业能力模块包括产品风险管控、业务流程搭建、风险分析评估、数据保护与合规、纠纷案件处理、竞对攻防布局、政府监管合规、海外公司治理、投资项目管理等。九年多的科技型公司实务经验与中外律所从业背景，能更准确理解客户核心需求，快速响应并提供基础到战略的有效支持，并为各类出海互联网企业拓展印度、东南亚、中东、非洲、欧美等新兴及重要市场提供有效的合规解决方案与落地支持。

联系方式：微信jie-72，添加微信，请备注来意，如“业务合作”，“学术交流”等等，感谢！

魏彤，垦丁海外业务部数据隐私合规顾问，前欧盟DPO。

联系方式：15926458510

#更多往期出海业务精彩文章#

「大咖观点」500Startups中国区负责人郑思达|中国公司出海融资101

「大咖观点」原网易云音乐法律顾问孟靖岳|国际视野下的避风港原则

「大咖观点」前Uber Grab资深数据分析师Joe Shan|商业实践中的数据安全与隐私

「大咖观点」 “全球购骑士特权”法总叶意 | 海外支付法律问题分析

「大咖观点」魏方丹：2020企业出海趋势和方向

重磅」《跨境电子商务零售进口法规案例汇编》发布

「重磅」《2020互联网出海热门地区投资法律介绍》发布

印度封杀中国APP，谈谈出海印度企业的风险应对策略