当前时间:

当前位置: 首页 > 网络安全 > 安全动态 >

网安贴士|隐私政策这么长,如何抓住重点,发现雷区?​

发布时间:2020-08-10

如今,为落实法律法规要求,撰写、发布隐私政策成为App运营者公开收集使用个人信息规则的主要措施,打开App后首先看到隐私政策几乎成了标配。虽说隐私政策体现了App公开透明规则的意识有所提高,但很多网友似乎对“隐私政策”的好感度始终不是很高,究其原因还是因为“太长”“太专”,有时候也“太坑”。

41.jpg

  由于App功能多样化、自动化、交互化,收集使用个人信息的规则不可避免的变得比较复杂、难懂,隐私政策需要交代的内容也变得越来越多,但是只要掌握了其中的规律,要快速阅读隐私政策的重点内容,发现其中的雷区,也并非难事。下面,本文教大家几招实用技巧,让大家面对隐私政策时,不再“纠结”。

一、快速找到隐私政策中的重点内容

1.查看隐私政策的发布/生效日期

  隐私政策注明发布/生效日期是一种规范化的体现,作为公开的规则,如果无法进行透明化的内容变更和有序的版本管理,其公信力恐怕要大打折扣。此外,随着法律法规的不断出台和规则的细化,对隐私政策提出了更多要求,产品也会因为更新换代在个人信息收集使用规则上有所变化,因此,适时、合理更新隐私政策也是一种个人信息保护工作得到重视和常态化的体现。如下图。

42.jpg

2.查看业务功能及收集的个人信息

  收集规则是用户关心的焦点,也是隐私政策的重点内容。因此,该部分的介绍既要详细也要明了,比如将业务功能根据用户使用App的习惯进行分类,便于用户找到自己所关心的部分了解其收集的个人信息。如果将业务功能混杂在一起,则收集个人信息的目的交代会变得含糊,对用户理解构成干扰。如下图展示了“下单及订单管理”业务所需要收集的个人信息范围,清晰的向用户展示了业务功能与所收集的个人信息的对应关系。

43.jpg

3.查看阅读加黑、加粗等内容

  隐私政策通常会对提及的个人敏感信息通过加黑、加粗、下划线等显著方式进行标识,以强调内容的重要性,提醒用户着重关注。如下图可以看出“收件人的姓名,性别、地址”等个人敏感信息已经加黑。用户可以通过查看该部分内容迅速判断个人敏感信息是否可能被强制、过度收集。

44.png

4.查看个人信息存储及出境情况

  个人信息是否被存储、如何存储、存储多久是非常关键的个人信息处理规则,如果用户的个人信息被超期存储,则泄露、滥用、违法对外提供等风险将显著增加。其次,个人信息是否存在出境情形是应该被高度关注的重点,如是否涉及出境?是所有个人信息出境还是个别情形下出境且涉及部分个人信息?

45.jpg

5.查看个人信息是否向第三方提供

  与个人信息存储规则一样,个人信息是否会向第三方提供?提供的目的是否与业务功能密切相关?是应当关注的重点。尤其是需要关注是否存在与业务功能无密切关联但还是会被提供给第三方的情形,或者会被不间断、长期对第三方提供的情形。一旦存在上述情形,则个人信息被滥用的风险将会增加。

6.查看是否可关闭或退出定向推送机制

  App使用用户画像的方式对用户提供精准推荐、定向推送等服务的现象非常普遍,根据相关标准和技术规范,隐私政策中应当说明用户画像的应用场景和可能对用户产生的影响。除此以外,越来越多的App提供了不同形式的关闭或退出定向推送机制的功能,以及所提供业务功能中不包含定向推送等服务的部分,用户可通过查阅隐私政策了解是否提供该类功能,从而根据自己的需求灵活选择。

7.查看用户拥有的权利

  通常,隐私政策中会提及以下用户的权利,浏览隐私政策时,可查找是否在内容中提及。

  (1)用户查询、更正或删除个人信息的权利

  比如,当用户在购物网站完成交易后,想删除相关购物信息,查看隐私政策中“更正或删除个人信息”的相关内容,可以获知具体方法,如下图。

46.jpg

  (2)用户注销账户的权利

  当用户决定账号不再使用时,如不注销,则绑定的姓名、手机号、身份证号、地址等个人敏感信息会长期保留,是否会被滥用或泄露将是个未知数。通常,用户可以查看隐私政策中关于用户注销账号的步骤等内容,如下图所示。如果隐私政策未提及注销账号,则大概率该App未提供该功能,注册使用该App则可能面临无法注销账户的境地。

47.jpg

8.查看投诉举报渠道

  App建立有效的投诉举报渠道,及时处理用户的投诉建议,是对用户负责任的一种重要体现。如下图中App既有个人信息保护专职部门邮箱地址,也有儿童个人信息保护客服。如果App未能提供投诉举报渠道,一旦个人信息方面出现问题很难得到响应和解决。

48.jpg

二、快速识别出隐私政策中的“雷区”

  看完以上八点,大家是不是对隐私政策已经有了一个大概的了解?如果只是阅读这些关键内容,可能2-3分钟就能快速浏览完隐私政策,得出对于App的基本印象,如果连这些内容找不到,或内容过于粗糙,恐怕其隐私政策的质量就要打个问号,这个App该不该下载使用需要“掂量”。

  当然,即便隐私政策具备以上内容,也只是在完备性上有所体现,而个别App还是会在形式完备的表象下,要么“敷衍了事”,要么“挖坑埋雷”。教完大家隐私政策如何抓重点后,本文再来教大家快速揪出隐私政策常见的5个雷区:

1.使用模糊化词语“浑水摸鱼”

  有些隐私政策使用“某些功能”“特定产品”等词模糊所指,实际上并没有说明App的具体业务功能,有些隐私政策没写清个人信息到底用来实现什么功能,只是泛泛提到为用户改善功能、优化体验等(如下图)。

49.jpg

50.jpg

2.“狮子大开口”式索要信息

  有些隐私政策中尽可能罗列了所有可能涉及的个人信息(如下图),或者将不必要的信息写成必要信息,将无关的信息写成有关信息,比如在隐私政策中描述如用户要使用拍照功能,则需先提供位置信息等,显然“拍照”与“位置”两者并不是必要关系。

51.jpg

3.“甩锅式”的不合理免责条款

  有些隐私政策要求用户承担黑客攻击、数据泄露等风险,App运营者自身却不承担任何责任。

52.jpg

53.jpg

  有些隐私政策要求用户同意永久不可撤销使用授权,个人信息从此可能“彻底失控”。

54.jpg

  有些隐私政策说明其将不定期修改,且不会通知用户,默认若用户只要继续访问则等同接受政策里的所有修改。

  还有些隐私政策中要求用户同意将个人信息在全球范围内随意转移,而投诉举报或维权渠道仅指定了国外的机构等等。

4.给用户的权利“形同虚设”

  有些App提供给用户的权利无法正常行使,如隐私政策写明用户查询、更正或删除个人信息可以通过发送客服邮件进行操作,但当用户发送邮件时,邮件却被退回。(如下图)有些隐私政策提供的“注销”功能说明,在App中根本无法找到。有的隐私政策提供的客服电话等举报投诉联系方式,拨打电话却一直无人接听,或接听之后推诿扯皮,根本无法响应投诉、举报诉求。

55.jpg

5.“移花接木”转移用户注意力

  有些App运营者直接抄袭了其他公司的隐私政策,造成了隐私政策“完备”的假象,有些甚至直接复制了其他App的名称、公司名称,复制了自己并不存在的“功能”和“目的”,贻笑大方。

  还有些隐私政策使用专业用词,将自己的责任予以自行“排除”,比如将本是个人信息的数据解释为非个人信息,或将简单去标识化处理的数据称为“匿名化数据”,声称不在隐私政策涉及的范畴等等。

  如发现App隐私政策上述问题,都可以向微信公众号“App个人信息举报”进行举报!

结语

  经过一年多的App专项治理工作,可以说大多数App已经拥有了隐私政策,完成了“隐私政策从无到有”的一个突破。然而,面临监管部门的压力,部分App未做实质性加强App个人信息保护的工作,而是仅做表面功夫,甚至有“不到一天时间上线隐私政策”的情况。显而易见,这样的隐私政策,很大程度上无法让人信服内容真实性,无法有效响应用户关切,成为在落实个人信息保护措施上“做样子”“两层皮”的佐证。

  “隐私政策”作为公开收集使用个人信息规则的体现,重要性不言而喻。隐私政策的撰写、发布,事实上需要有严谨的态度、扎实的调研、充分的讨论、措施的改进、合理的展现等一系列工作为基础,绝非一日之功。通过加大对隐私政策的真实性、一致性评估、曝光,推进隐私政策“从虚到实,从实到优”,是后续监督管理工作的急切需求和可行思路。

来源:“网信中国”微信公众号

中共河南省委网络安全和信息化委员会办公室 河南省互联网信息办公室  版权所有     联系我们
      邮编:450008   豫ICP备17047339号  技术支持:大河数字
  • 二维码手机站
  • 二维码微信公众号