8月24日,中央网信办、工信部、公安部、国家标准委等四部门组成的专家工作组结束对首批10款网络产品和服务的隐私条款评审,规范其收集、保存、使用、转让用户个人信息的行为,督促整改不合法的条款。
首批被评审的网络产品和服务为:京东商城、航旅纵横、滴滴出行、携程网、淘宝、高德地图、新浪微博、支付宝、腾讯微信、百度地图。
据新华社报道,专家组对网络产品和服务的隐私条款内容、展示方式和征得用户同意方式等进行了综合评判。评审结果将于9月中下旬出炉。
据了解,目前,阿里、京东等多家互联网企业已经修订了隐私条款,有的产品专门设立独立的隐私政策,并增设目录,有的以一图读懂的形式告知用户将会调用的系统权限及目的等。
10款产品均使用独立隐私条款
今年5月,新闻曾发布1000家常用网站和APP隐私政策透明度报告。结果显示,没有1家能够达到透明度高的标准,而透明度较低和透明度低的平台个数加起来多达806个,超过总数的80%,而且存在诸如“霸王条款”、措辞晦涩难懂等问题。
记者梳理参与首批评审的10款产品发现,与5月的版本相比,已经有8款更新了隐私条款。6月15日,携程网发布新的《隐私政策》,其余7款均在四部门7月26日宣布联合开展隐私条款专项工作后更新。
其中,高德地图在专项工作两天后,即于7月28日就发布了隐私权政策调整公告。从8月17日到8月23日,近一周内,有6款产品上线了新的隐私条款,光是8月21日就有淘宝和百度地图两家更新。
对比新旧版本,变化较大的是携程、百度地图、高德地图。此前它们关于隐私保护的条款散布于用户服务协议中,并未单独列出,现在所有10款产品的隐私条款都是独立于用户服务协议列出的。
记者发现,在首次下载或注册之前,绝大多数产品都会以弹窗或链接形式,明确提示用户同时阅读用户协议和隐私条款。
其中有些产品,比如高德地图、京东商城、滴滴出行、百度地图、航旅纵横等,还会进一步给出“同意”或“不同意”选项,即用户可以点击任一选项或是选择性钩选“已接受该隐私政策”。其余产品也标注有类似“点击‘注册’即表示同意”等字样。
7款产品设立目录 重要条款特别标注
点击进入隐私条款页面之后,记者发现,截至8月25日,除了暂无对外宣布更新隐私条款的微信和新浪微博外,其余8款产品无一例外地在协议开头或末尾标明了更新日期;如存在更新日期与生效日期不同的情况,也会另外写明。
比如,航旅纵横8月17日发布了《隐私声明》,注明同日生效;京东的《隐私政策》8月20日更新,8月27日生效。支付宝的《隐私权政策》则是8月23日发布,将于一个月后生效。
南都记者注意到,淘宝隐私权政策的第八项“本隐私权政策如何更新”里,给出了发布更新公告以及旧版本政策的链接。用户不仅可以看到2015年4月24日之后所有版本的隐私政策,还能清楚知晓更新了哪些内容。京东商城也在新版隐私条款伊始,简要描述了更新内容,并在末尾附上了上一版隐私政策全文。
另一较为明显的变化是,较此前版本,不少产品的隐私条款内容均有所增加。比如,淘宝原本隐私条款全文仅有5371字,新版的则有10409字,百度地图从用户服务条款中独立出来的隐私政策,全文也有9522字。
为了方便用户阅读,绝大多数产品采用加粗或加下画线的形式标出了与用户权益相关的重要条款。
特殊标注的条款包括:列举可能收集的“个人敏感信息”有哪些内容,明确表示如将用户信息用于新的目的或范围将重新获取用户同意,提供如何关闭位置、通知等授权的具体操作步骤等。
在展现形式上,有7款产品以目录介绍的方式,呈现整个隐私条款的结构,将个人信息的收集和使用,如何共享、转让、公开披露用户个人信息,以及怎样保护个人信息等分成不同板块。南都记者注意到,划分的板块数量大多为8-10项。
比如在《支付宝隐私权政策》页面,右下角始终有一个标有“目录”的灰色按钮。点击“目录”,右侧滑出文中包含的11个板块,点击即可跳转至相应板块。
强调“最小化”收集信息原则
南都记者深入分析上述产品近期调整的隐私条款发现,在个人信息收集、使用、共享和转让等问题上,调整后的描述更为清晰,并向用户告知了相关的操作路径。
根据统计,有5家互联网企业在隐私条款中,明确指出将遵循“合理、相关、必要原则”收集个人信息。携程网和航旅纵横表示,不会收集法律法规禁止收集的信息。淘宝和京东均称会采取合理可行的措施,避免收集无关的个人信息。百度地图则提及会以“最小化”原则收集、使用、存储和传输用户信息,并告知相关信息的使用目的和范围。
以百度地图为例,在“如何收集和使用个人信息”上,新版本明确告知用户使用个人信息的不同场景。当通过百度地图使用团购、酒旅、票务服务等第三方服务时,百度地图可间接获得用户的敏感信息,比如用户的订单、身份和设备信息,以及交易状态和联系方式。
同时,也有不少平台表示,如果将用户个人信息用于条款中未载明的其他用途,或将基于特定目的收集而来的信息用于其他目的时,会事先征求用户同意。
值得一提的是滴滴,用一张图表展示了调用设备权限的情况。内容包括这些设备权限对应的业务功能、调用权限的形式和目的以及用户可否关闭权限等。
图表显示,滴滴会调用的iOS系统权限有9项,包括位置、通讯录、照片、麦克风等。其中获取麦克风是滴滴的核心业务功能,为了在语音叫车或紧急情况下录音取证,用户首次进入APP时会看到该弹窗,也可选择不授权。
而滴滴会调用的A ndroid权限有13项,包括短信、拨打电话、获取手机拓展SD卡等。其中读取短信是为了登录账号时自动获取验证码。这一权限的开启不会事先询问用户。
南都记者注意到,近日,江苏省消协发布了一项调查,显示下载了100多个手机应用,79个应用可获取定位权限,有23个应用可以直接向通讯录上的联系人发送短信。手机应用过度获取权限,引起了广泛的讨论。
而像滴滴一样,在隐私条款中以图表的形式标明会获取哪些权限,并告知使用的目的,确实较为少见。
7款产品提供注销账户功能
南都记者还发现,在各款产品的新版隐私条款中,用户被赋予的权利不但更为明确,而且有所增加。大体而言,用户的权利包括访问权、更正权、删除权和注销权等。
《京东隐私政策修改公告》称,在8月20日生效的版本中,以增强告知或即时提示的方式在收集、使用及共享个人信息时给予用户明示选择权,并在产品设置中允许用户即时撤销授权。同时明确了用户查询、更正和删除其个人信息的方式,且增加了用户账户的锁定/解锁和注销功能,并提供给用户了30日注销后悔期。在一个月的“后悔期”内,用户可以随时申请恢复已注销的账号。
支付宝此前关于“用户如何访问和控制自己的个人信息”说明仅有80字,内容大致为用户可查询管理个人信息,如遇到障碍可联系客服。新版隐私条款则拓展至8条规定,在访问路径、改变授权范围、删除信息及注销账户等问题上,均有具体操作说明。
值得注意的是,除携程网、微信、新浪微博外的其余7款产品均在隐私条款中,为用户提供了注销账户的权利,并详细提供了注销的步骤。南都记者注意到,微信近日其实已经在安全中心里上线了注销功能,但相关隐私条款暂未更新。
在账户被删除或注销后,有的产品进一步说明了对个人信息的存储期限。航旅纵横称,在注销账户或提出删除要求后,会对用户的信息进行删除。滴滴表示,将按法律法规的最短期限保留现有个人信息,并且不会进行商业化使用,超出保存期限,将对其进行匿名化处理。高德地图和京东则明确指出了保存期限,前者称将在36个月内继续保存;后者则称根据法律法规规定,相关交易记录可能保存5年甚至更长时间。
设立个人信息保护责任部门
与此同时,南都记者梳理发现,有6款产品增设“安全事件处置”板块,并明确了相应的救济措施。这是此前国内绝大多数互联网企业在隐私条款中,普遍缺失的部分。
这些产品的隐私条款明确,当发生个人信息安全事件后,将以邮件、电话、推送通知、公告等方式告知用户事件基本情况、可能产生的影响及补救措施等。同时,还将按照监管部门要求,主动上报个人信息安全事件的处置情况。如因产品自身原因导致用户合法权益受损,承诺将严格按照法律规定承担责任。
南都记者注意到,10款产品涵盖社交、购物、金融和旅游交通等方面,掌握着用户大量的个人信息,其中几款还曾被爆出发生用户数据泄露事件。
新版隐私条款中,上述产品所属企业都称从安全技术和内部管理制度上加强了对个人信息保护的力度:采取安全防护措施,如加密技术、保护机制、部署访问控制机制;加强内部管理,定期举办安全和隐私保护培训课程。
更有企业为此专门设立相关部门。高德设立了个人信息保护责任部门,并建立相关内控制度,对可能接触到用户信息的工作人员采用“最小够用”授权原则。航旅纵横设置了信息安全生产小组,负责信息安全审计检查工作。京东也建立了数据安全委员会,推进和保障个人信息安全。
专家建议逐渐扩大测评范围 并公开测评结果
隐私条款作为企业对用户的法律承诺,一方面对规范企业个人信息处理行为具有约束力,另一方面也可保障用户的知情权。对于企业和用户而言,都承担着十分重要的功能。
然而,据南都记者采访了解到,对大多数用户来说,“隐私条款”并不是一个熟悉的词语,很少有人完整阅读过相关协议,只有遇到诸如个人信息被泄露等问题后,才会被关注到。
对此,有专家建议,用户应该重视自身权益,提高个人信息保护意识。南都记者注意到,不少产品的隐私条款特别提醒用户注意信息安全。比如,航旅纵横建议,不要泄露个人密码;在社交媒体上分享二维码和行程过程中,注意遮盖敏感信息等。淘宝则提醒用户在进行产品评价时,谨慎上传包含个人信息的图片,并且使用复杂的密码。
针对此次四部门开展的个人信息保护专项行动,北京玺泽律师事务所高级合伙人程贞认为,“这次是个人信息保护路上的一个里程碑”,显示出在《网络安全法》出台后,有关部门对隐私保护的重视程度。
程贞认为,隐私条款测评及多数企业修改调整的事实显示,标杆企业尚且不够完善,可见国内互联网行业个人信息保护的整体水平还有改善的巨大空间。在她看来,“推动其改正、改善的最好办法就是测评”,但仅仅依靠政府的力量开展评测工作是远远不够的。
南都记者注意到,北京大学互联网法律中心曾连续三年发布《互联网企业个人信息保护抽样测评报告》。今年的报告发现,在79个测评对象中,不论是国外企业还是国内企业,都存在产品与服务低于所声明的个人信息政策的保护水平的问题。
在接受南都记者专访时,报告发布者、北京大学法学院教授张平表示,希望通过社会中立机构促进企业完善个人信息保护政策和产品服务,寻求互联网企业的自律准则。
程贞告诉南都记者,隐私政策的测评需要更多地吸收社会各界的专业人士参与,培育个人信息保护的第三方力量和公益组织,从执行层面真正促进行业自律,引导消费者重视个人信息保护、维护自身权益。
“个人信息保护永远在路上,没有完成时,这次行动仅仅是一个良好的开端”,程贞建议,今后逐渐扩大测评范围,动态性测评相关网络产品和服务对隐私政策的执行情况,并向全社会发布测评结果,以此推动个人信息保护的相关工作。