四部委评审微信淘宝隐私条款

2017-09-06

218
0

大数据法律研究团队与首席数据官联盟共同推出的法律专栏——盟盟说“法”。

据新华社报道,8月24日,中央网信办、工信部、公安部、国家标准委等四部门组成的专家工作组结束对首批10款网络产品和服务的隐私条款评审,规范其收集、保存、使用、转让用户个人信息的行为,督促整改不合法的条款。首批被评审的网络产品和服务包括:航旅纵横、京东商城、百度地图、滴滴出行、腾讯微信、携程网、淘宝、高德地图、新浪微博、支付宝,由专家工作组对网络产品和服务的隐私条款内容、展示方式和征得用户同意方式等进行综合评判。此次中央网信办等四部门联合启动的隐私条款评审工作,采取分批选取重点网络产品和服务,对隐私条款进行分析评审,希望通过评审和宣传形成社会示范效应,提升行业整体个人信息保护水平。首批网络产品和服务的评审结果将在9月下旬予以公布。

 

图片来自网络

 

 

作者:吴丹君 王渝伟 周天一 北京观韬中茂(上海)律师事务所

 

报道出现后,在登陆上述部分网络产品和服务的关联App时,有关信息收集和隐私条款的告知内容会在打开后主动弹出,显然,在提供相关产品服务之前,各大网络运营者对于保证个人信息收集条款的合法合规已经给予了高度重视。为此,大数据法律研究团队特对上述网络产品和服务的隐私条款进行详尽分析,探讨总结其中的合规风险,篇幅所限,分为上下两篇,供读者参考。

 

各大平台隐私条款评析

 

航旅纵横

航旅纵横是中国民航信息网络股份有限公司推出的一款基于出行的移动服务产品,能够为旅客提供从出行准备到抵达目的地全流程的完整信息服务,主要通过手机客户端解决民航出行的问题。打开app后,会出现关于个人信息及隐私相关问题的界面,界面上明确显示用户个人信息将被用于:自动提取航班行程、及时推送航班动态、快速办理手机选座以及其他便捷出行服务,显然告知用户收集个人信息的目的已得到网络运营者的合理注意。

 

关于个人信息收集范围,无论是用户协议还是隐私声明均有具体规定,包括姓名、身份证号、手机号、护照、军官证、港澳台通行证等基本个人信息;用户利用产品服务时主动提供的信息;运营者提供服务过程中记录的用户信息;基于完善服务需要收集的用户搜索记录、位置信息;用户通过客服或其他渠道主动提交反馈的信息;运营者从关联公司、商业合作伙伴及第三方来源合法获取的用户有关信息。此外,航旅纵横在上述规定的基础上对个人敏感信息进行了特别提醒,除基本个人信息之外,行程轨迹、位置信息也被归为个人敏感信息,该部分内容与2013年2月实施的《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下称“《指南》”)第3.7条的内容相符。

 

航旅纵横在隐私声明中明示抛弃了现阶段国内厂商“一次授权、无限制收集使用”用户信息的做法,改为对变更服务以及使用特定功能时相应的服务协议及规则进行实际提示,在用户明示点击“确定”后方得继续。对于数据出境,隐私声明中明确表示航旅纵横服务器位于中国大陆,用户信息同样储存于中国大陆,规避了跨境数据转移的合规风险。

 

京东商城

京东作为我国最大的电商平台之一,其隐私政策同样会在打开京东商城app后予以显示,但具体内容仍需要浏览链接的隐私政策全文,用户选择界面并未提示过多内容。鉴于其电商平台的性质,京东的个人信息收集范围在基本信息中增加了生日、性别、住址、电子邮箱等更能反映用户消费习惯与收货信息的内容,当然,个人身份信息、面部特征、网络身份标识信息、财产信息、通讯录、上网记录、常用设备信息、位置信息也都囊括在内。京东将网络身份标识信息定义为系统账号、IP地址、邮箱地址及与前述有关的密码、口令、口令保护答案,由于上述信息在实际操作中可用于定位个人,京东将其与财产信息、面部特征、身份信息、通讯录、电话号码、上网记录、位置信息等同时作为个人敏感信息予以提示注意。

 

京东在用户个人信息使用规则中使用了“去标识化处理”的概念,明确了数据脱敏与模糊化处理的内容。但用户个人信息使用规则同时要求用户使用产品或服务时对个人信息进行持续授权,是否会产生“一次授权、无限制收集使用”的合规风险仍有待商榷。

 

关于个人信息的保护,除了技术措施之外,京东还通过建立数据分类分级制度、数据安全管理规范、数据安全开发规范来进一步规制个人信息的储存和使用,同时严格限制内部人员及关联方的访问权限,构建安全事件应急响应机制。

 

百度地图

百度地图主要提供定位、导航以及实时路况服务,因而其对用户个人信息的采集范围较前述两者更窄,诸如注册信息、位置信息、搜索日志、Cookies、车辆信息等会由用户直接提供并被地图自动采集。此外,百度地图将车辆信息纳入敏感信息的范围之内,车辆品牌、车辆型号、车牌号码、车辆识别代码以及发动机号码等可以用以识别车主本人的信息均需得到用户的授权提供,否则无法获得相关服务或功能。与京东类似,百度地图在隐私条款中对个人信息的匿名化处理进行了规定,保证个人信息在处理之后无法识别且不可复原,同时要求服务商在账号注销后应及时承担用户个人信息停止使用及删除的义务。

 

在保护及保存个人信息的问题上,对于保存期限,百度地图保存用户信息的期限以6个月为准,符合《网络安全法》(以下称“《网安法》”)第二十一条第三款的要求;对于跨境数据转移,百度地图虽表示将单独征得用户授权同意,但我们建议仍须审查数据出境的必要性及受规制数据,按照《网络安全法》、《个人信息和重要数据出境安全评估办法(征求意见稿)》、《信息安全技术数据出境安全评估指南(草案)》的相关规定进行自我审查并经行业主管或监管部门安全评估后再进行跨境转移。此外,百度地图明确了“最小化”收集、使用、存储和传输用户信息原则与安全事件应急预案机制,《指南》第4.2条所规定的“最小够用原则”以及《网安法》第二十五条运营者制定网络安全事件应急预案的义务在其中均有所体现。百度地图同时告知用户在管理个人信息时拥有访问权、更正权、删除权、撤销权与注销权,对信息主体的权利予以明示。

 

滴滴出行

滴滴出行作为我国规模较大的网约车平台之一,提供的服务除一般出租车之外还包括了专快豪华车、顺风车、代驾、巴士、租车、共享单车等多种类型,同时将服务提供者(司机)与消费者(乘客)纳入平台用户,其个人信息保护及隐私政策也更多地综合了用户的不同特点。简言之,滴滴收集个人信息的范围除了基本的姓名、性别、年龄、身份证号码之外,对用户的职业、征信、车辆及驾驶证照、行程、交易、紧急联络人等信息类型均有涉及,同时体现出了电商与互联网地图服务提供者的双重特点。滴滴出行同样向用户提示了个人敏感信息的具体类型与匿名化处理的内容,保证了数据的有效脱敏。

 

在个人信息的收集途径中,滴滴出行首次以图表的方式分别展示了IOS系统与Android系统的设备权限调用情况,具体调用设备、对应业务功能、调用目的以及询问方式一目了然,手机通讯录、麦克风、相机、蓝牙等均可由用户授权后予以访问。

 

关于个人信息的保存,滴滴出行以“法律、法规规定的最短期限”作为保留用户个人信息的有效期间,同时保证信息存放区域仅限于中国大陆。

 

图片来自网络

 

腾讯微信

鉴于对微信《腾讯隐私政策》的分析在之前的原创文章《华为腾讯数据之争背后的用户授权问题探析》中已有所涉及,此处不再赘述,具体内容请参见团队原创 | 华为腾讯数据之争背后的用户授权问题探析。值得一提的是,《腾讯隐私政策》在“广告服务”一项中授予了用户要求其停止为广告用途使用个人信息的权限,相较于百度地图在隐私条款中以格式合同形式笼统要求用户同意其与软件服务提供商、生活服务平台或服务提供商、金融服务平台或服务提供商、广告服务商等第三方授权合作伙伴共享个人信息的内容,腾讯更加重视用户个人信息的保护以及尊重用户的自主选择权。个人信息保护的合规风险不仅体现在收集过程中,非法与第三方共享,向他人提供个人信息,同样可能触及法律的红线,互联网企业对此应十分谨慎。

 

结语

 

本次国家四部委联合评审互联网企业隐私条款,不仅体现出国家对个人信息保护的力度的不断加强,也反映了《网安法》及其配套法规正被逐步贯彻落实。伴随着各地依据《网安法》实施行政处罚的案件逐渐增多,大数据以及互联网企业应当对个人信息保护的合法合规问题给予充分重视。具体而言,首先,遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意;其次,应当对其收集的用户信息严格保密,并建立健全用户信息保护制度,不得泄露、篡改、毁损,不得出售或者非法向他人提供,在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施;最后,在变更服务内容以及更新隐私条款时及时获取信息主体合法有效授权,尽量抛弃“一次授权、无限制收集使用”的做法。

 

 

版权所有©2017 首席数据官联盟

首席数据官联盟

 

是国内首个大数据领域的公益性联盟,打造跨行业、跨领域商业精英交流的平台,汇集了万余名来自国内知名企业、科研机构、高校的高管、行业及学术带头人,是国内最大的大数据智库,现覆盖中国95%以上的大数据企业,是国内最活跃的大数据精英交流平台。致力于推动中国的企业及政府实现“大数据+”的战略升级。

加入我们
 

1、扫描联盟秘书倪娜的二维码
2、由联盟秘书邀请您入联盟的各类微信群
     说明:将根据您的职业身份和所属行业
              邀请进入不同联盟内不同微信群
     申请时请注明:
              姓名+公司简称+职务 


 

联系我们

 

官方微信:sxsjglm
 联盟邮箱:Nina@cdoclub.cn