国家标准里的隐私保护,这12款常用手机APP做到了吗?

澎湃新闻 王亚赛 见习记者 邹熳云 实习生 蓝星宇
2018-05-07 08:48
来源:澎湃新闻

拒绝同意隐私政策会影响到什么?App在什么情况下需要用户授权?注销账户的权利是否是必须的?5月1日起,推荐性国家标准《信息安全技术个人信息安全规范》(以下简称“《规范》”)正式生效,以上问题都有了解答。同时,《规范》也填补了国内个人信息保护在具体实践标准上的空白。

我们常用手机APP的现有隐私条款,是否符合标准呢?澎湃新闻(www.thepaper.cn)进行了测评:基于“隐私政策应公开发布且易于访问”的原则,澎湃新闻在12款常见手机APP(注①)的官网上找到了相关条款,并对照《规范》进行分析:阿里系手机应用的隐私条款最周全,不过仍存在部分漏洞;个别隐私权利,如获取信息副本,基本被所有应用的隐私政策所遗漏或模糊化处理。

公布第三方授权名单 仅有一款APP提到

在应该告知用户的内容方面,第三方授权名单的公布是重灾区。《规范》指出,在第三方通过应用获得用户个人信息后,用户可以在该应用上查找到相关第三方的身份或类型。但在12款应用中,除支付宝提到查找被授权第三方的流程外,其余产品均无相关表述。

此外,许多条例对个人信息存储期限的表达是含糊的。大部分应用的政策提到,会在服务期间存储信息,在用户注销后删除信息,但没有给出具体的时间。高德地图是唯一一个给出清晰时长的产品:“当您删除个人信息或注销账户后……高德有权在36个月内继续单独保存您的信息”。

少数应用默认注册时授权等于一直授权

用户授权是12款产品表现最佳的一个方面。但值得注意的是,有些产品的政策显示,一旦注册时选择同意,就默认同意接下来的一切授权请求。《规范》指出,除少数情况外,产品的隐私政策应遵守选择同意原则,即需要获得用户的明示同意,包括注册时、共享或转让时、公司结构变化时、公开披露信息时等。总之,企业使用个人信息一旦超出所声称目的时,即需要用户重新授权。

获取信息副本的权利被集体忽略

获取个人信息副本是唯一一项“全军覆灭”的权利。《规范》提到,用户可以通过产品获取个人信息的副本,包括个人基本资料、身份信息、健康生理信息、教育工作信息等。但12款应用中,没有任何政策提到副本相关的条例或流程。

同时,撤回同意的相关条例也不太全面。按照《规范》,撤回同意包括两个方面,改变授权范围和拒绝接收个性化广告。除酷狗音乐、滴滴出行和百度完全没提到这项权利外,其他9款应用都仅提到了其中的一个方面,或疏漏了具体操作方法。

隐私问题的申诉 多家未提具体操作方法

申诉方法是各应用隐私政策中容易被忽视的一点。12款应用中,有些政策或完全没提到申诉,或没有提供任何具体的操作信息。《规范》指出,企业应向用户提供隐私相关的申诉方法,包括时间周期、联系方式、费用相关等。

如何阅读隐私政策?下列条款可供参考

读到这里,如果你对隐私政策产生了兴趣,并想今后在授权前好好阅读一番相关政策,我们准备了些范文给你。下面是12款应用政策中一些相对全面的条款案例,我们高亮了其中的重点,供你参考。

①基于App Annie的《2017年回顾报告》和猎豹大数据的《猎豹大数据2017中国app报告》,从12个场景中选出月活跃用户量或周活跃渗透率最高的手机应用:社交、交通、零售、支付、游戏、音乐、视频、短视频、搜索、导航、功能和新闻。当两个场景的手机应用隐私政策重复时,则在第二个场景中,选取第二位手机应用的隐私政策。

②如果手机应用配有独立的隐私政策,则取该政策为样本;若手机应用没有独立的隐私政策,则取母公司的隐私政策为样本。比如,开心消消乐的样本来自其母公司,乐元素公司的隐私政策。

    责任编辑:吕妍
    校对:丁晓