近年來,App強制授權、過度索權、超范圍收集個人信息的現象越演愈烈。2019年伊始,國家多部委重拳出擊,著重整治App違規違法收集個人信息亂象。截至目前,已有幾十款App遭到強制下架、上百款App被點名整改,App收集個人信息領域迎來了強監管元年。面對來勢洶洶的強監管高壓,App運營商該如何做好信息收集工作?哪些個人信息可以收集?哪些不行?其中有哪些風險點值得關注?接下來一段時間,本團隊將陸續推出App合規的系列文章,為App運營商合規收集個人信息提供方法和思路。
本篇是系列文章的第三篇:如何制定合格的隱私政策?
隱私政策是指互聯網企業以在線文件的方式自愿披露其對用戶個人信息保護的原則和措施。實踐中,互聯網企業一般都會在網站主頁上公布自己的隱私政策,然而由于企業隱私政策條文冗長,條款內容晦澀難懂,以致于實務中很少用戶會去認真閱讀隱私政策的內容。然而,盡管如此,隱私政策對App數據合規的作用仍然至關重要。首先,隱私政策是實施告知與選擇機制的首要方式,App運營商將App如何收集、使用、轉讓數據的方式通過隱私政策的方式公示出來,使數據合規透明化,有助于增加用戶對企業的信賴度;其次,隱私政策是App運營商自我保護的重要工具,雖然用戶很少認真閱讀隱私政策,但閱讀隱私政策是相關執法機構的根本職責,隱私政策的披露有利于合規監管;最后,隱私政策的披露可以起到App運營商自我規制的作用,能倒逼App運營商內部根據隱私政策要求積極做好數據合規工作。
[1]
因此,制定一份合格的政策對App運營商來說至關重要。筆者認為一份合格的隱私政策至少應符合獨立性、合理性、完整性和透明性要求。
(一)隱私政策應滿足獨立性要求
所謂的獨立性是指隱私政策應該獨立成文。《App 違法違規收集使用個人信息自評估指南》評估的第1點即指出:隱私政策應具有獨立性,在App界面上通過任意的4次點擊就能找到隱私政策。隱私政策可以通過彈窗、文本鏈接、常見問題(FAQs)等形式體現。
隱私政策缺少獨立性則體現為:App根本沒設置隱私政策;沒有單獨的隱私政策,只有隱私保密聲明;隱私政策存在于用戶協議當中。
接下來,本文將以案例示范的可視化形式展示隱私政策應滿足獨立性的要求。
[2]
反面案例一:App根本沒設置隱私政策
反面案例二:沒有單獨的隱私政策,鏈接中僅提供隱私保密聲明(中國工商銀行【蘋果系統版本號:3.1.0.8.0】)
反面案例三:隱私條款存在于用戶協議中(E代駕【蘋果系統版本號:9.2.0】)
正面案例:支付寶點擊四次之內,可以找到獨立的完整的隱私政策
(二)隱私政策應滿足合理性要求
所謂的合理性是指App運營商設置隱私政策條款時,不應設置不公平條款,例如規定免除己方責任,加重對方義務的條款。一旦隱私政策的條款內容過于強勢極有可能陷入霸王條款,而面臨隱私政策內容無效的局面。
接下來,本文將以案例示范的可視化形式展示隱私政策應滿足合理性的要求。
[3]
反面案例一:愛搶購(蘋果系統版本號:5.5.3)存在不合理免責條款
反面案例二:去哪兒網(蘋果系統版本號:4.10.37)存在不合理免責條款
正面案例:12306隱私政策的合理性
(四)隱私政策應滿足完整性要求
所謂的完整性是指App運營商設置隱私政策條款時,隱私政策的內容應包含APP運營商是“如何收集和使用個人信息”、“如何使用Cookie和同類技術”、“如何共享、轉讓、公開披露個人信息”、“如何保護用戶個人信息”、“如何保護用戶權利”、“如何處理兒童個人信息”、“如何在全球范圍轉移”等。
接下來,本文將以可視化形式展示一份完整的隱私政策應該包括哪些方面。
[4]
(五)隱私政策應滿足透明性要求
所謂的透明性是指App運營商設置隱私政策條款時,隱私政策無論是通過彈窗還是文本鏈接,位置應該較為突出明顯,無異物遮擋,隱私政策內容透明,易以理解。
綜上所述,我們認為一個合格的隱私政策至少應該符合四性要求,這四性分別是獨立性、合理性、完整性和透明性
[1] 高秦偉. 個人信息保護中的企業隱私政策及政府規制[J].法商研究,2019,16.
[4] 本隱私政策的可視化圖片摘取自《信息安全技術 個人信息安全規范》。
