个人隐私保护之一:隐私政策解析
2019-11-25 09:00:31 Author: www.freebuf.com(查看原文) 阅读量:170 收藏

一、前言

2019年初,中央网信办、工信部、公安部及市场监管总局四部门联合发布了《关于开展App违法违规收集使用个人信息专项治理的公告》,预示着我国在APP隐私层面的治理进入了一个新的高度,部分APP也隐私受到了处罚。

本文主要在以国标GB/T 35273-2017《个人信息安全规范》,APP专项治理工作组编制了《App违法违规收集使用个人信息自评估指南》作为主要标准依据,尤其是《指南》是目前官方可能唯一发布的相对比较具体的重要参考。

二、隐私政策基本要求

2.1. 隐私政策文件

《隐私政策》依据标准必须要单独的文件,也许在《隐私政策》之前APP已经编写有了《用户服务协议》或者《软件服务协议》等,其中部分内容是涉及隐私条款的,或者是重复的。但隐私政策还是需要单独成文,部分内容可以使用相互引用的方式,也可以独立编写。

例如微信:

当前大多数APP已经有了隐私政策,但是如果隐私政策仅作为其他服务协议的附件是不符合规范要求的。隐私政策在APP中查阅一般使用统一个页面链接(一般是H5页面),网站,APP端,小程序等从事相同业务的系统可以调用同一个隐私政策页面,以便于维持唯一的版本,统一修订更新上线。

还有用户在首次开启APP服务时,需要进行隐私政策弹窗提示,窗口内说明隐私政策核心条款,并附件隐私政策文本链接,用户需要明确同意。注册和登录时也要有勾选框同意疑似条款,这里不展开讨论。

2.2. 隐私政策的查阅位置

关于隐私政策必须易于查阅的要求在《指南》中有明确的限定,用户在进入APP后四次点击可以查阅到。比如点击我的——设置——关于——隐私政策就是刚好四次。

还可以“我的——隐私政策”;“我的——关于——隐私政策”。

2.3. 隐私政策的格式

要求隐私政策必须要清晰易于查阅。其实是规定不能字体不能过小,颜色不能太浅,一般使用黑色,字体可以参考宋体、雅黑等。部分重点内容应该加粗,斜体,下划线标识。

这里的标准不好度量,但是总体上说百度和微信的隐私政策整体布局还是比较好的。

百度和微信的隐私政策:

2.4. 隐私政策的大纲

隐私政策的大纲并未有太多要求,但是要包含《个人信息保护规范》的要求,一般内容必须有主要说明包括:个人信息收集,个人信息存储,个人信息使用,个人信息共享、转让、披露,主体权利,安全保护,未成年人保护等。

目前主流APP的结构大致是相同的,一般有是部分,当然可以自行拆分和合并,这里主要给个参考,来说明隐私政策的基本内容

一、我们如何收集和使用您的个人信息

二、我们如何使用 Cookie 和同类技术

三、我们如何共享、转让、公开披露用户的个人信息

四、我们如何存储收集的用户信息

五、我们如何使用信息

六、我们如何保证收集的用户信息安全

七、您如何管理个人信息(即,用户主体权利)

八、未成年人保护

九、如何联系我们

十、隐私政策变更

支付宝和京东隐私政策如下:

三、App运营者基本情况

隐私政策应中一般在开始会有一些关键信息的提示和导读内容。在这里不详细介绍,大多数隐私政策都有。

正文部分一般会在后续段落说明App运营者基本情况。按《个人信息保护规范》的要求需要对App运营者基本情况进行措述,有些APP也会运营者信息放在隐私政策正文的结尾,这都是可以的。

App运营者基本情况至少包括:公司名称及注册地址;包括APP运营的公司,如存在参与运营或参与某部分功能运营的公司列举此类关联公司名称。APP运营者信息要和营业执照保持一致即可。《规范》还要求运营者需要设立个人信息保护负责人角色,在GDPR中也被称为DPO。我个人认为在隐私保护中,该角色可以是一个人也可以是一个小组,定期查看和处理隐私政策中公示的电话或邮箱中的投诉和意见。

例如支付宝和苏宁APP运营者基本情概况:

四、个人信息的收集

4.1. 各项业务功能及收集个人信息类型

业务功能是指业务功能是指APP面向个人用户所提供的一类完整的服务,如地图导航、网络约车、网上购物、即时通讯、网络支付等。

1)收集个人信息的业务功能逐项列举。

这里有个问题就是如何划分业务功能,一般有两种划分方法,这两种划分一般会结合使用,所以业务功能不一定是同一个纬度的。

基本划分原则:

按APP的业务功能图标划分,这些功能是显而易见的,就是用户使用APP中使用最频繁的功能项,这类其实就是所谓的1个图标算是1个业务功能

按独立的功能模块划分,这类功能不是一个显性的功能,甚至可能并没有前端页面体现,但是由于其独立运行并收集了用户个人信息,就必须列出来。例如基础功能中注册、实名认证,支付等功能

例如:微信隐私政策1.1-1.14的14项业务功能中,包括朋友圈,公众号,附近的人,也包括注册,微信服务

支付宝的14项业务功能中,包括余额支付,快捷支付,转账等,也包括实名注册,安全管理等

2)每个业务功能收集的个人信息类型说明

每个业务功能要分别明示其收集的个人信息类型和收集个人信息的目的,即用途说明。用途说明,可以对收集的每种个人信息分别说明使用用途,也可以几个信息为同一用途。

但是,对每个业务功能都应说明其所收集的个人信息类型,不应出现多个业务功能对应一类个人信息的情况。 很好理解,业务功能项与收集的个人信息必须是1对1或1对多的关系,不能将多个业务功能合并在一起说明。这里面“不能合并”也有一定的尺度,连续的一组操作动作的功能可以作为一个功能项进行说明,比如注册的时候就要求实名,那么注册和实名是可以一起说明。再或者登录时候的验证码也可以作为登录功能项的一部分。

业务功能和收集的个人信息类型都不能使用“等”这类字样。也就是说必须明确到底有多少功能,到底收集多少类信息。虽然在《规范》中并不是绝对不能使用等,目的在于隐私政要明确列出收集的信息,但是在实际的合规和检查在收集信息方面一般是不应该有“等”的

个人敏感信息类型进行显著标识。所有文字颜色一般为黑色,特别注意不能使用灰,浅黄等浅色系。对重要文字需要加粗,斜体,下划线等重点标识,比如个人敏感信息。注意重点标识仅对如***、账号等字样,不要直接标记整句话。

例如:支付宝和同程旅游

注:个人敏感信息包括***件号码、个人生物识别信息、账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)未成年人的个人信息等。

4.2. 使用的系统功能权限

使用系统权限也是收集个人信息的一种,比如我们申请使用位置信息,实际上就是收集了用户的详细位置。所以这部分也需要在收集信息的说明中写明,这需要对APP中使用了哪些系统功能和使用场景进行充分的了解。

例如京东和滴滴隐私政策中通过单独的小节说明,可以明显看出系统功能类的隐私收集

五、信息存储方式说明及数据出境

主要分为3个方面说明:个人信息存放地域(国内、国外);存储期限(法律规定范圈内最短期限或明确的期限)、超期处理方式进行明确说明。

5.1. 个人信息存储地域

个人信息存储地域是以APP运营者,一般是公司系统为准,数据存储的位置,也就是公司是不是有海外数据中心,数据是否存放在海外。

数据出境应该包括海外数据中心以及海外合作伙伴,如果部分业务需要将数据提供给海外合作伙伴,应说明出境的数据,并进行显著标识。

5.2. 个人信息存储期限

存储期限需要明确收集的信息当使用结束后应该删除,目前存储期限的具体时间没有统一的明确标准,目前大多数APP也为明确说明存储信息的具体时间期限。

就目前来看企业不会主动删除这类信息,一个是用户体验,很多用户确实需要查询历史账单;二是企业自身利益可能会受到损害,数据自身价值外,还可能面临法律诉讼无法举证的风险;三是我国多口监管,各个部门的要求和需求并不统一,可能会面临行业、司法、案件稽查等其他机构需求无法满足的尴尬。

目前有几种普遍的做法:

明确信息存储时间,一般为10年,20年,是一个相对较长的周期。该方案严格执行了APP隐私保护的国家标准,也相当于给企业一个“缓刑期”,企业可能暂时不涉及大批量处理超期数据的问题,有一定时间研究批量处理数据的方案。

例如,苏宁:

不明确时间,一般描述为“实现目的所必须的时间”或“法律规定的最短时间”,最好是要提供用户删除信息的方式,一般有删除历史订单,注销账号等。

例如,微信:

5.3. 个人信息处理方式

一般有匿名化处理和删除两种方式。一般企业处理过程需要结合两种方式,将匿名化存储大数据平台可以在数据层面产生价值,在线数据直接删除满足个人信息要求。

一般来讲,在用户删除或注销账号后企业应当执行信息处理,但也可以保存一段时间,一般会说明“当用户删除或注销后,我们还将保留您的数据XX个月”。

5.4. 关于数据存储的两个问题

(1)数据留存的必要性

原始数据留档是否有必要,目前依据个人信息保护相关规范是不可以存储用户删除或注销后的原始数据的。比较尴尬的是企业自身或者相关部门都可能由于法律诉讼,案件稽查需求调取到这些数据,并且不仅《电商法》、《反恐怖主义法》等法规并未明确表示数据留存问题,所以企业留存原始数据缺乏一定的法律依据。

例如:高德地图,做法是“如果用户删除信息或注销账户时愿意放弃与删除信息有关的法律救济权利,则根据网安法在6个月内删除”,但放弃法律救济权利是否合法是值得商榷的。

(2)风控数据是否在个人信息删除范围内

还有一个值得探讨的问题——风控数据的存储问题。无论是安全风控,还是金融风控等业务类风控,似乎无法删除或匿名这些数据,包括姓名,**,手机号,甚至一些消费记录。从目前的隐私保护要求来看,如果我注销或删除我的个人信息,那么该企业将不能留存我的征信,IP,设备信息,因为这都属于隐私信息,但是风控又是互联网包括金融不能或缺的功能。所以企业合法建立风控数据,资质,以及相关要求目前是一个法律的真空地带。

目前关于这块也没有找到比较好的解决方案和案例,因此就目前情况开看,风控数据的存储安全性得以保障,应该也不会有太苛刻的监管。

5.5. 个人信息安全保护措施能力

对App运营者在个人信息保护方面采取的措施和具备的能力进行说明,如身份鉴别、数据加密、访问控制、恶意代码防范、安全审计等。

六、如何使个人信息

6.1. 个性化推荐,广告的使用说明

如果App运营者将个人信息用于用户面像、个性化展示等,隐私政策中应说明其应用场景和可能对用户产生的影响。

可以作为一个业务功能,参见上一个部分。也可以单独说明。个性化展示或推荐应说明关闭的方式。画像等信息说明作用,如,推荐,便利性等等。

案例:京东,苏宁

6.2. 稳定性和安全性需要

比如身份验证,风控,反诈骗,分析软件错误等。例如支付宝,百度:

七、对外提供个人信息

在对外提供信息的场景,在《规范》中分为共享、转让、公开披露,一般公众服务类APP都会涉及相关内容,那么在隐私政策终就需要提供以下内容:

对外共享、转让、公开按露个人信息的目的;

涉及的个人信息类型;

接收方类型或身份。

这里有很多法律相关的说明,建议咨询本公司法务部或法律顾问共同完成。对外提供信息一般需要在隐私政策中体现3个小节,共享、转让、公开披露各对应一节。

7.1. 共享

业务类共享,比如第三方合作伙伴,供应商等。第三方可能会有很多,所以需要分类说明,同一类型业务的说明接收方类型,还有其需要的个人信息,和使用目的。

例如,京东和同程旅游,第三方共享情况比较普遍,想订单型的APP的供应商是典型的场景。

第三方登录,目前使用微信账号登录等模式比较普遍,其他合作方使用我们的账号登录系统,这里就涉及第三方登录问题。登录过程中我们获取了哪些信息,或者提供给第三方哪些信息需要说明。

此外,这里还涉及提供第三方数据需要用户明确同意,第三方合作账号的绑定和解绑问题,这些问题需要APP开发相关的功能,后续计划将APP功能单独写一篇文章进行说明。

例如支付宝,很多APP使用支付宝账号进行登录,那就很定会涉及支付宝把其收集的信息提供给了第三方APP。这里仅说明了隐私政策,其实在APP功能中也应该有用户的授权操作行为。

使用第三方SDK,如果SDK收集个人信息并进行了传输,也属于第三方共享。虽然可能数据的接受方是SDK开发者或所有者,但并不在本APP主体范围内,所以也需要说明三方SDK收集用户信息的情况。可以用列表形式:第三方SDK名称,用途,收集信息。

例如,苏宁和同程旅游:

7.2. 转让,公开披露,委托处理

如果APP运营方存在转让、公开披露、委托处理的场景,需要说明发生这三种行为的场景和相关信息类型即可。这里需要注意的是哪些场景属于转让、公开披露、委托处理的情况。

转让常见情况是在公司发生资产转移时,信息作为一种资产也跟随转移到另一家公司的情况。这里面需要注意发生转让时需要提前告知用户,并且如果新公司的使用目的发生变更时需要用户明确同意新的隐私条款后才能使用该信息。

公开披露常见情况是在促销活动中的中奖披露等情况,这里面也要说明需要用户明确同意才会披露其个人信息,二是法律法规规定披露描述。

委托处理主要是委托第三方公司提供一定服务的情况。一般公司在这方面的表述都比较隐晦。

例如,微信属于比较简单描述形式,但这需要根据APP的用场景而定:

例如,支付宝转让、公开披露、委托处理都有涉及:

7.3. 法律例外情况说明

依据《个人信息安全规范》标准进行法律说明,照搬标准条款即可,例如京东和淘宝:

八、用户权利保障机制

用户权利保障机制,一般就是用户对自己隐私的查询,修改,删除,注销等权利。这里还有一个就是撤回同意授权,即可以撤回已经同意的条款或功能。

隐私政策中应对以下用户操作方法提供明确说明

个人信息查询;

个人信息更正;

个人信息删除;

用户账户注销;

撒回已同意的授权

这里应该是微信的用户权利说明最为详细,包括:6.1访问个人信息,6.2删除个人信息,6.3更正个人信息,6.4撤回同意,6.5注销账号。

部分APP可能功能并不是很健全,部分功能无法直接从APP中操作,需要提供其他方式。如京东客服热线等方式

九、用户申诉渠和反馈机制

隐私政策中至少提供以下一种授诉渠道,并且说明投诉处理的时间周期。

电子邮伴

电话

传真

在线客服

在线表格

一般常用电子邮件,电话客服或者在线客服。

隐私条款部分非常简单,但是主要问题在于在隐私政策生效前要和客服或者相关部门建立流程,投诉处理机制,并对一线客服进行培训等。

例如支付宝:

十、隐私政策的时效性和更新

在隐私政策中说明发布、生效或更新日期,发布和更新日期确认是上传APP的时间,生效时间可以确定一个时间,一般在发布时间之后。

隐私政策更新:如果发生业务功能变更、个人信息出境情况变更、使用目的变更、个人信息保护相关负费人联络方式变更等情形时,隐私政策应进行相应修订,并通过电子邮件、信函、电话、推送通知等方式及时告知用户。这里需要注意隐私政策不应该轻易变更,如果变更后个人信息收集,使用,共享等发生改变,最好的做法是在隐私政策生效时间,用户进入APP时进行系统弹窗,让用户重新确认隐私条款。

十一、 未成年人保护

未成年人保护是18岁以下未成年人,可以在隐私政策中声明,主要原则是使用APP前必须征得监护人同意。14周岁以下的儿童保护条款一般需要单独声明,并能在隐私政策中引用。儿童保护需遵守《儿童个人信息网络保护规定》这里仅仅简单讨论,并不展开,实际编写时需和法务或律师沟通完成。

例如微信和支付宝:

十二、结束语

隐私政策还有一些内容,比如一些APP习惯单独说明cookie、Beacon等技术的说明,还有增加更新等发声明,这个并不是《个人信息保护规范》中的重点要求,这里不再展开了。

编制隐私政策并不是某个部门可以独立完成的,一般需要安全,法务,业务方共通完成,隐私政策发布后具有法律效应,所以一定要通过律师的审核,避免法律风险也是很重要的。

*本文原创作者:Alkaid13,本文属于FreeBuf原创奖励计划,未经许可禁止转载


文章来源: https://www.freebuf.com/articles/database/219564.html
如有侵权请联系:admin#unsafe.sh