四部委评审结果显示,受审十个互联网产品在明示信息收集内容、征求授权,以及提供用户选择权方面均有所提升。回应用户对于隐私等个人信息的收集、存储和使用担忧,提供清晰完善的个人信息保护政策,已受到互联网企业普遍重视。
9月24日,历时近两个月,由中央网信办、工信部、公安部、国家标准委等四部委联合启动的互联网企业隐私条款专项工作评审结果出炉。
评审结果指出,十款受审产品均做到明示其收集使用个人信息的规则,并征求用户的明确授权。
本次受到评审的十个互联网产品和服务为,京东商城、航旅纵横、滴滴出行、携程网、淘宝、高德地图、新浪微博、支付宝、腾讯微信、百度地图。评审内容包括隐私条款内容、展示方式和征得用户同意方式等。据悉,微信隐私政策获得最高分。
随着用户信息成为企业进行大数据分析、精准推荐等的重要依据,对用户个人信息的收集愈发普遍,个人信息安全也受到多方关注。
诸如天气类APP要求调取用户通讯录、手电筒类APP要求调用位置信息等现象曾多次多次引发对于“互联网产品是否过度收集用户信息”的焦虑,信息泄露、黑产等造成的危害也使数据安全议题不断进入公众视野。然而,一方面个人信息安全和合理使用焦虑普遍存在,另一方面,对承载隐私等个人信息的收集、使用、存储方法的互联网产品隐私政策则被普遍忽视。
就此,本次评审自7月26日启动,各家互联网产品的隐私政策随即迎来重大变革。其中,如何加强用户对于自己个人信息控制的“存在感”,引导用户了解隐私条款的重要性,是企业重点关注和需解决的问题。
评审结果显示,十家互联网产品更新后的隐私政策可见,其在弹窗设计、对重点信息的强调等层面,均有加强。多数产品提供了信息在不同功能下的收集范围,以及不同意收集信息对功能的影响。
以本次评审得分最高的微信为例,新版《微信隐私保护指引》增加“信息的储存”和“你的权利”两项目录,明确境内用户信息储存于中国境内,用户可以管理已授权的信息,并进行关闭授权等操作,加强对信息的管理和控制。
被称为 “反悔权”的账号注销、撤回授权等功能,是提高用户对信息的控制权的主要方式。本次接受评审的10个产品中,微信、淘宝网、支付宝、滴滴出行、京东商城等提供了更便利的在线“一站式”撤回和关闭授权,在线访问、更正、删除其个人信息,在线注销账号等功能,得到四部委认可。
长期以来,许多互联网产品所“不同意隐私政策就不能使用APP”的设定,备受“霸王条款”的指责,而对企业来说,不收集相应信息又无法实现相应功能。一个解决方向是,通过区分互联网产品的核心功能和附加功能,赋予用户选择权。也就是说,不同意收集某些信息仅会影响部分功能使用,从而避免“一揽子协议”的绝对性引发用户不满。
滴滴出行的做法是,以图表形式展示调用设备权限的情况,以及用户可否关闭相应权限等。图表显示,滴滴打车调用的iOS系统权限包括位置、通讯录、照片等9项,安卓权限包括短信、电话拨打等13项。
“修改前滴滴的隐私政策为2600余字,完善后超过一万字。” 在9月24日下午举办的“大数据时代的个人信息保护”第十一期E法论坛上,滴滴公司法务总监张娜介绍,显示多个信息收集的弹窗提示降低了用户体验,但列明完整而详细的信息收集、使用和存储方式,并尽力确保用户知悉企业隐私政策内容,已成为互联网企业共识。
京东集团法务部高级总监丁道勤亦指出,京东的隐私政策按照核心功能和附加功能进行区分。例如,购物为核心功能,浏览商品等为附加功能。对于附加功能所需收集的信息,在隐私政策中均已列明,并且可以自行开启关闭,关闭附加功能所需收集的信息不影响购物这一核心功能的正常使用。
事实上,尽管保护个人信息安全已成为共识,对企业在收集信息阶段不得“过度”收集的理念也一直存有争议。有声音认为,大数据时代信息收集无可避免,过度管控反而可能导致企业难以推出满足用户期待的产品,因此可将对个人信息安全的监管后移至使用阶段,即严格限制企业对于已收集信息的使用。
就此,本次参与评审的专家,北京大学互联网发展中心研究员洪延青回应指出,信息被越多的人掌握,就越可能造成对个人信息自由的限制,提升隐私条款,实质是加强个人信息收集环节的管控,坚持数据最小化原则。此外,如果放弃对于信息收集环节的控制,在信息的使用环节,对于网络运营者可能更难控制。
除隐私政策文本的重大更新外,值得关注的是,多个互联网公司法务部门负责人介绍,为实现隐私政策文本对于用户权利的保障,这些产品的相应功能和企业内部架构等均有所调整。
参加国家层面相关标准制定和本次评审的专家,工信部电子工业标准化研究院网络安全测评中心审查部总监何延哲指出,除本次个人信息保护提升行动之隐私条款专项工作外,多个与《网络安全法》配套的相应规范正在制定过程中。例如,《个人信息安全规范》已经提交国家标准化管理委员会报批,其对个人信息的性质界定,收集、使用和转让,以及发生信息泄露等安全事件的处置要求等,均作出详细规定。
