作者:南都个人信息保护研究中心
一、引言
今年9月24日,中央网信办等四部委在2017年网络安全宣传周“个人信息保护主题日”上,公布了对首批十款互联网产品和服务隐私条款的评审结果,其中包括微信、新浪微博、淘宝、京东商城、支付宝、高德地图、百度地图、滴滴、航旅纵横、携程网。
隐私政策是企业与用户之间关于如何处理和保护用户个人信息的基本权利义务的文件,用以告知用户个人信息将如何被收集、使用、与第三方共享,用户一般会在注册时看到相关链接。
这是国家部委首次展开针对隐私条款的专项工作。自专项工作从7月下旬开展以后,上述十款产品和服务陆续修改了隐私政策。评审结果显示,十款产品和服务在隐私政策中,均明示其收集、使用个人信息的规则,并征求用户的明确授权,较旧版均有不同程度的提升。
二、背景
南都个人信息保护研究中心从年初就已经开始持续关注互联网产品的隐私政策透明度问题。
今年3月,南都个人信息保护研究中心随机选取了50个网站和APP,对其隐私条款进行测评,并发布了隐私政策透明度排行榜。5月,依照网络安全法的相关要求,通过综合参考欧美相关规定和中国国情,联合北京玺泽律师事务所制定了“用户隐私政策测评标准”。6月1日,发布《一千家网站和APP隐私政策透明度测评报告》,对十大行业的500个网站和500个APP的隐私政策进行了测评。
随后,南都个人信息保护研究中心比照由网信办指导、中国电子技术标准化研究院主要负责的测评标准,对上述标准进行了进一步修改。8月起,又陆续测评了招聘、互联网金融、社交、旅游和购物等5个行业最常用的550个网站和APP的隐私政策,并逐一发布了测评报告。
由于一千家测评和单个行业测评都选取了最常用的平台,所以这1550个网站和APP中的有些平台会出现在前后两次的测评周期里。在第一次的一千家测评和之后的单个行业测评相隔的3个月里,不少企业相继修改了隐私政策。
三、主要发现
3.1总体分析
测评结果分为透明度高、透明度较高、透明度中等、透明度较低、透明度低等五个层级。表一显示,无论是一千家测评还是单个行业测评,平台按照透明度的分布非常一致,都是陡峭的金字塔型,即透明度高的极少,透明度低的占绝大多数。
表一:各次测评透明度分布
一千家平台的测评结果显示,没有平台达到透明度高的层级,而透明度“较低”和“低”的平台个数加起来占总数的81%。行业之间对比来看,社交交友类平台的总体隐私政策透明度比其他行业略高。
而此后的单个行业测评也再次证实了这一结果。从图一可以看出,只有招聘类和社交类处于透明度“较低”和“低”的平台占比与一千家测评的结果最接近,分别为82%和79%,其他的都远远超过这个百分比,这意味着其他行业的隐私政策透明度比平均水平更低。其中,互联网金融类和购物类的占比都高于90%。
图一:各次测评透明度分布
不过,与早期的一千家测评相比,下半年的单个行业测评在透明度“高”上的表现有明显提升。在5个单个行业的测评中,3个行业都有平台的隐私政策达到透明度“高”的层级,其中互联网金融类和购物类有4个,旅游类有2个。
表二:透明度“高”的平台名单
上述10个平台里有8个都出现在了前后两个测评周期里,而且这8个平台基本都被选入了四部委的首批评审范围,并在评审期间修改了自己的隐私政策。然后,通过南都个人信息保护研究中心的再次测评,跃入透明度“高”的层级。
3.2单个平台分析
从单个平台来看,透明度“高”的以大型企业旗下平台居多,但这并不代表平台知名度越高,隐私政策的透明度就越高。这一点在招聘类和购物类平台中表现尤为明显。
在50家招聘类平台中,一些在社会招聘、校园招聘、招聘交友领域较为知名的平台的隐私政策透明度与知名度不完全成正比,而是均匀的分布在各个透明度层级当中。比如58同城、领英、中华英才网、看准网排在前列,处于透明度中等以上的阵营;而前程无忧、拉勾网、大街网在透明度较低的区间内;智联招聘、猎聘、赶集网则排在倒数。
购物类平台也存在同样的情况。成立多年、口碑尚可的知名平台在测评中分数垫底,典型如当当网、乐蜂网、聚美优品、什么值得买。因海淘兴起风头正劲的小红书、丰趣海淘、达令全球好货、洋码头等平台的隐私政策透明度也相当糟糕。
在南都个人信息保护研究中心测评的1550个平台中,被重复测评的共有252个,有些平台在此期间修改了隐私政策。但是,只有18个平台的隐私政策透明度有明显提升。其中4个平台是“从无到有”,即从没有隐私政策到有隐私政策;9个表现为“有所提升”,即透明度提升;还有5个则是“精益求精”,即从透明度“较高”晋升为“高”。
表三:隐私政策透明度明显提升的平台名单
其中最突出的是携程网,直接从透明度“低”跃入透明度“高”的层级。在旧版隐私政策(见图二)中,携程网只满足了注册页面提示、向第三方披露用户信息等最基本的告知。在四部委开展隐私政策专项工作后,9月21日更新的版本做到了明确告知收集的个人信息以及收集方式;明确告知使用个人信息的规则,例如形成用户画像及画像的目的,是否用于推送商业广告等;明确告知用户访问、删除、更正其个人信息的权利、实现方式、限制条件等。
图二:携程网新旧版隐私政策对比
还有不少平台隐私政策本来就较为全面,经过修改之后,透明度达到了最高层级,它们的隐私政策也有不少亮点。比如支付宝设有“目录”按钮,用户点击可实现不同章节之间的跳转;滴滴用图表的方式清晰呈现了APP调用设备权限的情况;京东为用户注销提供了一个月的“后悔期”;百度则将隐私条款中的关键信息制作成动漫页面,用拟人化形象“图图”以讲故事的口吻阐述其隐私条款。
然而,有17个被重复测评的平台在第二次测评中依然没有提供隐私政策(见表四):
表四:两次测评均无隐私政策的平台名单
3.3测评标准分析
测评使用的标准分为网站和APP两个版本,具体标准和分数比重都略有不同,满分均为100。所有平台得分较低的标准极具普遍性,通常只有个位数的平台能够做到。主要是以下几个方面:
1、用户拒绝附加功能不得影响核心功能使用。平台若提供附加功能,应给予用户选择权。当用户拒绝时,可不提供相应的附加功能,但仍应保证向用户提供核心业务功能。
2、将用户信息用于新的目的需获得用户再次明示同意。当平台出于运营或功能增加等原因需要收集比之前声明的更多的用户个人信息时,应向用户逐一说明收集的必要性,并再次取得用户的明示同意,比如采用“弹窗”模式提醒用户再次阅读相关条款。
3、发生信息泄露后,企业应采取救济措施。企业应在隐私政策中描述提供个人信息后可能存在的安全风险;针对已发生或可能发生的个人信息泄漏、毁损、丢失事件,采取启动应急预案、及时通知受到影响的用户、向政府相关主管部门报告等救济措施。
4、企业停止运营后用户信息的处理方式。产品和服务停止运营时,企业应及时停止收集用户的个人信息,以逐一送达或网站公告的形式通知用户停止运营的情况,并承诺将在一定限期内删除用户的个人信息。
5、用户的注销权。用户应拥有撤回同意、删除个人信息、注销号码或账号的权利;用户撤回同意和注销账号的,企业不得再保存、处理该个人信息。
此外,这1550个平台的隐私政策还存在文本雷同的问题,更出现了不少令人啼笑皆非的“霸王条款”。
关于数据跨境 关于与第三方共享信息
关于免责
四、结论和建议
需要说明的是,南都个人信息保护研究中心的评测标准仅针对网站和APP公布的隐私政策,透明度高并不意味着平台对用户的个人信息具有最高的保护力度,仅代表其在个人信息保护政策制订方面的相对完善。
不难看出,参评平台的隐私政策普遍存在用户权利条款缺失、文本雷同、更新缓慢、暗藏格式条款等弊病。不过,随着国家和社会对个人信息保护越来越重视,已经有不少平台按照网络安全法以及相关法规的要求,积极修改了隐私政策,并加入了有企业特色的呈现方式,使企业责任和用户权利更加清晰。
同时我们也应该看到,隐私政策透明度分布的两极分化极为严重。大型互联网企业对隐私政策的重视程度较高,并在不断提升个人信息保护力度。同时,隐私政策透明度低的平台个数占到总数的八成以上,且一直居高不下,凸显出绝大多数平台不重视用户个人信息保护的严峻问题。
因此,我们提出以下建议:
(一)持续开展隐私政策测评工作。
中央网信办等四部委开展隐私条款评审专项工作以来,积极推动了各企业尤其是大型互联网企业完善隐私政策。但我们也应该注意到,仍然有不少企业没有隐私政策或使用不合理的隐私政策,因此,我们希望相关部委扩大评审范围,继续对更多行业的更多网络产品和服务进行评审。
同时呼吁第三方社会组织持续关注平台的隐私政策,并按照一定周期持续测评,督促企业加强行业自律,也为用户提供了解隐私政策重要性的渠道。
(二)细化现有法规规章,出台相关标准和规范。
目前网络安全法和相关法规并未细化到隐私政策层面,企业在制定隐私政策时,无论是展示位置、内容还是结构都具有较大的随意性,给用户造成不便。
因此,我们建议相关监管机构依照现有法规,规范隐私政策内容及表述,比如在隐私政策的开始,进行梗概和摘要介绍;统一隐私政策所处位置,并保证链接有效,让用户易于了解政策结构和找到重要条款。
此外,还希望应用商店要求APP开发者统一在APP上架时提供隐私政策,让用户在安装前就能详细了解需要提供的个人信息。
(三)拓展测评范围至实操层面。
截至目前,各方对隐私政策的测评还停留在文本层面。事实上企业将如何落实隐私政策中对用户的承诺,比如如何与第三方共享用户信息、用户注销后何时删除个人信息等,我们还无从知晓。
因此,我们建议相关监管机构和第三方组织拓展测评范围至实际操作层面的测评,进一步督促企业切实完成隐私政策中的内容。