对于跨国企业来说,数据保护的规则正在改变。5月25日,备受关注的欧盟《一般数据保护条例》(GDPR)正式生效。据悉,GDPR的影响范围不局限于欧洲,只要企业数据处理活动涉及欧盟公民数据,都会受到该法规的限制。
南都记者注意到,在GDPR实施前,很多大型互联网公司早已开始进行合规调整。一个较明显的变化是,不少主流APP纷纷修订隐私政策,并推出了相关的隐私控制工具。
这些APP具体是如何进行调整的?近日,南都记者选取了6款国外知名APP分析发现,为满足GDPR的合规要求,绝大多数的APP隐私政策透明度更高,不仅文本通俗易懂,呈现方式多样,且上线了特殊的隐私保护功能。
相比于国外企业积极应对GDPR,国内涉及欧洲客户的跨国公司似乎还在观望。但即便不受GDPR限制,这些APP在隐私保护上的合规实践,仍可供国内企业借鉴和思考。
隐私政策化繁为简增加视频和注解
不久前,谷歌给用户发送了这样一封邮件,称正在更新隐私政策和上线了隐私保护的小工具。这些调整面向谷歌的全球用户,适用于YouTube等旗下多款产品。最近两个月,和谷歌一样,不少互联网公司均调整了隐私政策,并宣布更新后的条款将在GDPR实施当天,即5月25日生效。
据南都记者了解,2016年4月欧盟通过的GDPR确立了个人数据处理的统一规范,增加了用户个人数据保护的权利,同时对企业收集和使用个人数据,提出了更高的透明度要求。一旦违反相关规定,有些公司甚至可能面临高达全球年营业额4%的罚款,堪称史上最严格的数据保护条例。
为遵循GDPR规定,各大企业早已开始着手应对。近日,南都记者选取了Facebook、爱彼迎、领英、eBay、YouTube和Twitter等6款知名APP,对其隐私政策文本和隐私控制设置进行分析。
南都记者发现,为了让用户知晓协议变更,上述APP基本采用邮件或弹窗的方式告知。以国内APP常见的弹窗为例,今年5月1日《个人信息安全规范》生效前,知乎也选择以此告知隐私政策变更,但由于弹窗页面的“不同意”选项经常是摆设,引起了很大争议。
此次,在产品设计上,爱彼迎通知协议变更的方式,有值得借鉴之处。因为它充分保障用户说“不”的权利。当点击“不同意”选项,页面再次向用户提示是否“不同意条款并退出”。如用户坚持退出,那么页面将跳转到爱彼迎官网,平台表示,“对于您的离开,我们表示遗憾!”且再次给予用户多种选择,比如“准备回来”、“注销房源”,或者“取消账号”等。尽管最终的结果仍是不同意条款即无法继续使用服务,但至少给用户提供了一个清晰的退出途径。
根据GDPR规定,信息主体有权要求数据控制者以清晰易懂的语言,透明简洁的形式及时提供相关信息。南都记者对比发现,相比于旧版,上述6款APP的新版隐私政策在呈现方式上均有很大的改变。过去一年,南都个人信息保护研究中心测评了将近2000家网站和APP的隐私政策,其中普遍存在冗长晦涩,通篇法律术语的问题。
针对上述问题,自称以“会员为先”宗旨撰写隐私权政策的领英,尝试给出了解决之道。去年底,南都个人信息保护研究中心发布《2017年个人信息保护报告》。结果显示,领英的隐私政策透明度得分高,在设计上也对用户较为友好。比如,在查阅条款目录前,用户首先可观看时长一分半钟的《隐私政策》视频,在内文部分摘要概括重点条款,同时领英对部分术语和相关操作指示进行颜色区分,并提供注解和跳转链接。
和领英一样,Facebook、Twitter和YouTube也在新版隐私政策内文中,提供示例和注解。
在呈现方式上,美国两大社交APP———Facebook和Twitter不约而同选择使用颜色区分隐私政策的章节标题,谷歌和eBay则采用形象化的配图加以区分,同时各自有另有创新之处。
比如,谷歌的隐私政策新增了4个短视频,分别从整体条款、收集的信息、为什么要收集数据、您的隐私控制项等方面,对文本进行可视化呈现。而eBay隐私政策设计的巧妙之处在于,每个章节页面呈现的是一份简单的概要,如果用户对此感兴趣可以点击“learnmore”了解更多信息。
如此化繁为简,采用示例、图片和视频的方式辅助说明,不仅文本画面感极佳,而且更方便用户阅读。据南都记者观察,这样的隐私政策呈现方式在国内APP中基本不多见。
与第三方共享和披露信息方面作补充说明
具体到文本,在被考察的6款APP中,均可以找到新旧版隐私政策全文。谷歌更是对所有隐私政策文本都作了归档处理,用户可在隐私权政策选项中,点击“更新”查看过往28个版本的隐私政策,上可追溯至1999年6月9日,彼时谷歌仅成立不到一年。
南都记者发现,过半APP告知用户隐私政策的更新内容,比如领英、爱彼迎、YouTube等。领英不仅在醒目位置提供了修订摘要,而且当用户点击查看重大修订说明,页面自动滑至更新的条款部分并配有注解。
对比新旧版隐私政策可以看到,为适应GDPR规定,6款APP在文本上新增了不少内容。仅从目录来看,Facebook在旧版的基础上新增了一章“旗下公司如何协同工作”。
结合GDPR规定,南都记者拎出隐私政策的9项内容进行比较分析,由图可知,6款A PP在定义个人敏感信息、未成年人保护和数据保护专员等方面,略有差异,其余都有相关说明。除此之外,南都记者对比各家新旧版隐私政策发现,在与第三方共享和披露信息方面,6款APP基本都作了补充说明。
以不久前深陷数据外泄事件的Facebook为例,在旧版隐私政策,Facebook所罗列的第三方类型包括“广告、衡量和分信息服务”、“供应商、服务商和其他合作伙伴”。新版隐私政策则进一步细化,涵盖“使用我们分析服务的合作伙伴”、“广告主”、“供应商和服务提供商”、“研究机构和学术机构”等。同时,在信息的分享方式中,Facebook特别以倾斜字体强调,正在进一步限制开发者的数据访问,以帮助防止违规行为。
提供隐私工具链接 用户可拒绝个性化广告
除了在文本上适应GDPR的要求,南都记者发现,在隐私政策里,多数APP还提供了隐私工具链接或操作路径。
在3月爆出数据外泄丑闻后,Facebook在设置中新增“隐私快捷设置”,允许用户一个集合的菜单里,来控制个人信息显示、管理接收到的广告推送、调整个人页面访问权限等。同时,Facebook也引导用户通过3个步骤进行隐私设置检查。具体而言,用户可选择动态消息发布的分享对象,比如公开,好友,部分好友,指定好友,仅限自己等。此外,用户还能在该设置中移除使用脸书登录的第三方应用和网站。比如,当南都记者选择移除爱彼迎后,Facebook称爱彼迎将不再能获取账号信息。
与Facebook一样,Twitter、谷歌和领英也有相似的隐私功能。比如Twitter承诺,用户可自主决定是否让Twitter与业务伙伴分享用户的数据,用于广告和品牌影响等用途。不仅如此,在“兴趣与广告数据”设置中,用户能查看Twit-ter平时根据用户的行为标记出来的用户兴趣爱好、Twit-ter合作伙伴标记的用户的兴趣爱好,以及用户自身添加的广告商猜测的兴趣爱好。这些数据相当于各方平台对用户的数据画像,不仅可以查看,用户还能自主删减被收集的特征值。
不难发现,各大平台推出隐私工具的目的,旨在让用户掌控自己的数据。具体包括,由用户决定信息分享的范围,广告推送内容以及个人数据的查看或下载。在隐私政策里,这些隐私工具的链接被嵌入其中,在APP内也有明显的进入路径提示,便于用户熟悉和操作。
从这点来看,企业隐私政策从原本的书面承诺,变成实际可感的功能操作,这对于增强用户体验感,提高平台的美誉度都具有积极意义。
究竟GDPR影响范围多大,实施效果如何,涉及欧洲业务的国内企业又会就此作出怎样的合规调整,这些问题有待后续观察。但是不管怎样,一家企业在隐私政策上愿意花费心思,且有诸多保障用户权利的功能设计,并非坏事。
通过6款APP隐私政策内容对比,值得注意的是,有4款APP均提到了未成年人保护的问题,其中YouTube有专门针对儿童的隐私声明。南都未成年人网络保护中心今年5月发布的《未成年人网络保护报告》显示,鲜少有APP像YouTube这样提供单独的儿童隐私政策,且近两成平台缺乏相关的儿童信息保护条款。
据南都记者了解,GDPR的一大亮点在于增加了数据主体的权利,规定用户享有访问权、更正权、删除权、限制处理权、数据可携权和拒绝权等。其中备受争议的是删除权(又称被遗忘权)和数据可携权,前者允许数据主体在特定情形下,有权要求数据控制者立即清除相关的个人数据。而数据可携权是指,用户有权以结构化、通用、机器可读的格式获取个人信息副本,并移至其他数据控制者。
南都个人信息保护研究中心研究员:李玲 尤一炜
