昨日,10款参评产品和服务的所属企业签订个人信息保护倡议书。中国网信网
昨日,中央网信办等四部门公布十款移动互联网产品和服务隐私条款的评审结果。据了解,十款产品和服务在隐私政策方面有不同程度的改善,明示收集与使用个人信息的规则、征求用户的明确授权成为各家“标配”。中央网信办网络安全协调局局长赵泽良告诉南都记者,此次评审落实《网络安全法》、维护公众安全利益的具体举措,在公众个人信息保护上迈出了重要一步。今年7月,中央网信办、工信部、公安部、国家标准委等四部门开展“隐私条款专项工作”,首批选取十款用户数量大、与民众生活密切相关、社会关注度高的产品和服务(京东商城、航旅纵横、滴滴出行、携程网、淘宝网、高德地图、新浪微博、支付宝、腾讯微信、百度地图)为评审对象,由四部门推荐组成的专家组对其隐私条款内容、展示方式和征得用户同意方式等进行了综合评判。
隐私条款笼统“霸道”被点名
“为改进服务,我们需要收集、分析您使用手机的情况,并可能与第三方共享。”装载新的手机A PP时弹出以上消息,已成为现代人生活中的常见情景。然而,改进什么服务?收集哪些消息?共享的第三方都有谁?许多网络运营者对此语焉不详。
不主动展示隐私条款,展示的内容晦涩冗长,隐私条款笼统不清晰,隐私条款深深“藏匿”在六级目录下,不说明个人信息收集、使用的目的、方式、范围、保存期限……诸如此类看似不起眼却暗藏安全风险的问题,其实长期普遍存在。
在征求用户授权同意时,部分网络运营者采取默认勾选、“一揽子”打包授权等形式,用户稀里糊涂地就交出了个人信息的收集使用权。有的产品和服务甚至相当“霸道”,用户如果不同意将信息授权给第三方,就会直接退出服务。
此外,一些运营者超越与用户的约定,在暗中大量收集与服务无关的个人信息,擅自扩大收集、使用的范围,私自共享、转让个人信息。如有的天气类应用要收集用户的通讯录,有的手电筒应用在安装时显示会调用手机的位置信息。
昨日发布会上,这些问题被一一点名。
五款产品可撤、关授权
今年6月起正式实施的《网络安全法》,对个人信息保护提出明确要求。据了解,此次隐私条款专项工作具体由全国信息安全标准化技术委员会秘书处组织,中央网信办等四部门推荐的法律、标准、技术专家和企业代表共同组成专家组,依据《网络安全法》制定了评审要点。
评审认为,十款产品和服务在隐私政策方面均有不同程度的提升,均做到了明示其收集、使用个人信息的规则,并征求用户的明确授权。
其中,微信、淘宝网、支付宝、京东商城、滴滴出行、航旅纵横、百度地图、高德地图八款产品和服务做到了向用户主动提示、并提供更多选择权。例如运用增强式告知、即时提示等方式,在注册、使用环节引导用户阅读、了解隐私条款的核心内容;主动区分核心功能和附加功能供用户选择。
有五款产品和服务在满足前述功能的基础上,提供了更便利的在线“一站式”撤回和关闭授权,在线访问、更正、删除其个人信息,在线注销账户等功能。这五款产品和服务是:京东商城、微信、淘宝网、支付宝、滴滴出行。
南都记者注意到,支付宝此前关于“用户如何访问和控制自己的个人信息”的说明仅有80字,内容大致为用户可查询管理个人信息,如遇到障碍可联系客服。新版隐私条款则拓展至8条规定,在访问路径、改变授权范围、删除信息及注销账户等问题上,均有具体操作说明。
《京东隐私政策修改公告》则展示,在8月20日生效的版本中,明确了用户查询、更正和删除其个人信息的方式,增加了用户账户的锁定/解锁和注销功能。同时,京东为用户提供了30日注销“后悔期”。京东集团副总裁曲越川介绍,结合电商特点,在30天的后悔期内,京东用户可以随时申请恢复已注销的账号,从而统筹兼顾保护用户信息与保护消费者退换、修理等售后权益。
鼓励更多企业自评自估
据了解,为确保隐私条款专项工作落地做实,相关部门近期将组织开展对参评产品和服务的抽查检测。
中央网信办网络安全协调局局长赵泽良告诉南都记者,此次评审是维护公众网络信息安全与利益的具体行动,落实了《网络安全法》关于加强个人信息保护的规定,在个人信息保护上迈出了重要一步。
“十家企业是具有代表性的企业,他们主动参与评审工作,本身就值得肯定。”赵泽良表示,下一步,四部门将继续按照《网络安全法》的要求,调动、鼓励更多的企业对隐私政策进行自检自评。中央网信办等部门会主动指导企业评估工作,使企业将隐私保护政策当成自己的责任。他强调,当今的网络安全问题、个人信息保护问题不仅仅是企业的法定责任,更应该是企业发展的内在需求。
在国家层面,赵泽良认为,政府要进一步加强指导监管,加大对个人信息违法犯罪打击力度,维护好的网络安全秩序。
链接
参评企业签署个人信息保护倡议书
昨日适逢2017年国家网络安全宣传周“个人信息保护主题日”。当日,参评产品和服务的所属企业签订了个人信息保护倡议书。倡议书共八条,包括尊重用户知情权、控制权,遵守用户授权,保障用户的信息安全。
其中,尊重用户知情权内容包括用易懂的语言、直观的方式,明确告知收集、使用个人信息的目的、方式、范围、保存地点和期限、保护制度措施等。一旦发生个人信息泄露、毁损、丢失时,应及时告知用户。
在尊重用户控制权方面,倡议企业不使用“一揽子计划”的方式强迫用户打包授权对个人信息的收集,为用户提供撤回授权、关闭权限、注销账户的途径和方式。用户可在线访问、更正、删除其个人信息。
倡议书还提出遵照国家相关标准要求,采取充分有效的技术管理措施,防止个人信息泄露、毁损、丢失。向第三方提供个人信息时,确保责任和义务能有效传递。
采写:南都记者 冯群星
实习生 刘嫚