四部委评审微信淘宝隐私条款，互联网企业隐私政策评析（下）

四部委微信淘宝隐私互联网

吴丹君 | 2017-09-07 14:30

【数据猿导读】据新华社报道，8月24日，中央网信办、工信部、公安部、国家标准委等四部门组成的专家工作组结束对首批10款网络产品和服务的隐私条款评审，规范其收集、保存、使用、转让用户个人信息的行为，督促整改不合法的条款

来源：数据猿作者：吴丹君王渝伟周天一北京观韬中茂（上海）律师事务所

据新华社报道，8月24日，中央网信办、工信部、公安部、国家标准委等四部门组成的专家工作组结束对首批10款网络产品和服务的隐私条款评审，规范其收集、保存、使用、转让用户个人信息的行为，督促整改不合法的条款。首批被评审的网络产品和服务包括：航旅纵横、京东商城、百度地图、滴滴出行、腾讯微信、携程网、淘宝、高德地图、新浪微博、支付宝，由专家工作组对网络产品和服务的隐私条款内容、展示方式和征得用户同意方式等进行综合评判。此次中央网信办等四部门联合启动的隐私条款评审工作，采取分批选取重点网络产品和服务，对隐私条款进行分析评审，希望通过评审和宣传形成社会示范效应，提升行业整体个人信息保护水平。首批网络产品和服务的评审结果将在9月下旬予以公布。

报道出现后，在登陆上述部分网络产品和服务的关联App时，有关信息收集和隐私条款的告知内容会在打开后主动弹出，显然，在提供相关产品服务之前，各大网络运营者对于保证个人信息收集条款的合法合规已经给予了高度重视。为此，大数据法律研究团队特对上述网络产品和服务的隐私条款进行详尽分析，探讨总结其中的合规风险，篇幅所限，分为上下两篇，供读者参考，本周是下篇。

各大平台隐私条款评析

携程网

携程作为国内大型的综合性旅行服务公司之一，在互联网基础上整合传统旅游行业，向超过2.5亿会员提供集无线应用、酒店预订、机票预订、旅游度假、商旅管理及旅游资讯在内的全方位旅行服务。打开携程app后，隐私政策并未通过弹窗或链接形式提示用户阅读，但可点击“设置”中的“关于携程旅行”查看，携程的隐私政策显示发布时间为今年6月15日，早于大部分参与审查的网络产品和服务的隐私条款，内容主要包括信息收集、信息分享使用、个人敏感信息提示与信息安全保护四部分。其中，信息分享使用中的特别授权条款要求用户不可撤销并免费提供注册信息与交易数据给携程及其关联公司、合作伙伴，同时保证携程及第三方对上述信息在数据分析后商业利用的权利，携程在上述内容中并未给予用户自主选择权，我国《合同法》规定，采用格式条款订立合同的，提供格式条款的一方应当遵循公平原则确定当事人之间的权利和义务，并采取合理的方式提请对方注意免除或者限制其责任的条款，按照对方的要求，对该条款予以说明。提供格式条款一方免除其责任、加重对方责任、排除对方主要权利的，该条款无效。虽然携程通过加粗标黑方式提示用户注意其特别授权条款，但该部分内容可能存在因限制用户自主选择权而被认定为无效的法律风险。

淘宝

淘宝关于用户个人信息的收集使用主要通过官网的《法律声明及隐私权政策》予以规定，类似京东在隐私政策末尾附上上一版隐私政策全文的做法，淘宝在“八、本隐私权政策如何更新”中提供了旧版本隐私权政策的网站链接，用户可以浏览自2015年4月24日至今的所有版本的隐私政策，但在登陆淘宝手机客户端时，通过《软件许可使用协议》打开的隐私政策仍为今年4月的版本，而非8月21日的最新版，手机客户端并未更新，只能通过网页版浏览。

在如何收集和使用个人信息的条款中，淘宝要求用户提供的仅仅是成为会员所必要的手机号码和电子邮箱地址，用户可根据个性化及特权服务的需要自愿提供个人真实姓名、性别、出生年月、居住地以及真实头像。淘宝会根据用户的搜索记录、设备信息、位置信息、订单信息等进行用户画像，但保留了用户退订商业广告的权利。关于个人信息匿名化与去标识化处理，淘宝着重提示单独的设备信息、日志信息无法识别特定自然人身份，但在结合其他信息或个人信息用于识别自然人身份时，上述两者将被作为个人信息纳入数据脱敏的范围。

值得一提的是，淘宝《法律声明及隐私权政策》对个人信息在关联公司与合作伙伴间的共享仍以用户同意为前提，相比携程的特别授权条款更加尊重用户的自主选择，同时限制第三方不得将共享的个人信息用于提供产品或服务以外的其他用途，既履行了《网安法》第二十二条“向用户明示并取得同意”的义务，又强调了第四十一条所规定的“必要”原则。

高德地图

高德地图作为阿里巴巴集团旗下的地图应用平台，主要提供定位、地图、导航、位置搜索、周边检索、地理编码及逆地理编码、实时路况等功能，其《高德隐私权政策》也于今年7月28日更新到最新版本，在打开app后会有提示窗口弹出，点击隐私权政策链接会显示内容全文。个人信息的收集方式主要包括直接和间接两种，前者范围包括设备信息、位置信息、网络身份标识信息以及系统产生的日志信息，后者范围主要是用户使用第三方产品或服务时向第三方提供的相关信息。与淘宝类似，高德地图授予了用户基于特定服务需要提供或拒绝提供个人信息的权利，用户可以根据自身需要手动设置或关闭软件对信息的收集。此外，高德地图保证通过技术手段对用户信息去标识化处理，但又着重强调了在不透露个人信息的前提下对用户数据的挖掘、分析及利用（包括商业化利用）。

高德地图在获得用户明确授权同意前保证不会向任何第三方公司、组织和个人分享用户个人信息，相较于百度地图及携程网笼统要求用户向第三方合作伙伴共享个人信息的内容更加规范合理，其授权合作伙伴包括软件服务提供商、智能设备提供商、系统服务提供商、供应商、广告、分析服务类合作伙伴、金融、征信服务合作伙伴等。

关于个人信息的保存及保护，高德地图首先明确了匿名化处理后36个月的保存期限；其次，构建了内控制度，对可能接触到个人信息的工作人员采用最小够用授权原则，访问和修改个人信息前采取合理措施验证员工身份；最后，高德地图制定了网络安全事件应急预案，保证事件发生后及时采取补救措施并向主管部门履行报告义务。

新浪微博

新浪微博在注册时会提示隐私条款并链接至《微博个人信息保护政策》，涉及的个人信息种类有基本信息、个人身份信息、个人位置信息、网络身份标识信息、通讯录、个人上网记录、个人常用设备信息等，其中微博就个人敏感信息特别提示用户注意，诸如身份证、军官证、护照、驾驶证、户口本、账户名、邮箱、密保问题及答案、通讯录、电话号码、位置信息以及银行账号均包含在内。

《微博个人信息保护政策》有关个人信息收集的条款主要涉及搜索、身份认证、营销以及第三方服务四个方面，上述服务都以用户提供相关个人信息为前提。此外，新浪微博在注册时要求用户进行实名验证，否则将拒绝提供服务。这符合“后台实名、前台自愿”的合规要求，去年8月1日正式实施的《移动互联网应用程序信息服务管理规定》第七条规定移动互联网应用程序提供者严格落实信息安全管理责任，按照“后台实名、前台自愿”的原则对注册用户基于移动电话号码等真实身份信息认证，而将于今年10月1日生效的《互联网论坛社区服务管理规定》也要求版块发起者和管理者实施真实身份信息备案、定期核验，互联网企业应当严格遵守实名制要求，及时落实用户身份信息认证和登记备案，保证注册程序的合法合规。

在安全措施方面，新浪微博的规定较为完善，数据传输和保存加密、设置多重身份认证、数据分类分级制度、设立数据安全专项部门以及应急响应组织等措施进一步完善了用户个人信息的保护。

支付宝

支付宝对个人信息的收集通过《支付宝隐私权政策》进行规定，进入主文界面后，右下方会出现一个标有“目录”的灰色按钮，点击该按钮，右侧会滑出文中包含的11个板块，点击即可跳转至相应板块。

除去作为支付平台履行转账结算服务所必须收集的用户身份信息、联系方式、银行卡信息外，针对用户资金及个人信息可能被不法分子获取的风险，支付宝专门规定了风险防范条款，通过记录IP地址、移动设备版本、设备识别码、设备标识符、位置以及日志等信息，对比用户平时的网络使用习惯来判断风险。2012年全国人大常委会发布的《关于加强网络信息保护的决定》第四条要求网络服务提供者采取技术措施和其他必要措施，确保信息安全，防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失；《网安法》第四十二条要求网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。显然，互联网企业应当根据提供产品和服务的范围具体分析用户个人信息泄露、毁损、丢失的风险点，对症下药，完善自身合规政策，支付宝的这一条款值得广大互联网企业借鉴。

结语

本次国家四部委联合评审互联网企业隐私条款，不仅体现出国家对个人信息保护的力度的不断加强，也反映了《网安法》及其配套法规正被逐步贯彻落实，互联网企业应当对相关法律法规保持足够重视。具体而言，首先，对于个人信息保护，应当依据《网安法》规定，收集和使用个人信息时遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意；不得泄露、篡改、毁损收集的个人信息；未经被收集者同意，不得向他人提供个人信息；采取技术或其他措施确保收集的个人信息的安全，防止信息泄露、毁损、丢失；及时处理保证相关信息无法识别特定个人。

其次，互联网企业应对涉及个人信息保护的行政和刑事责任予以足够重视，《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条就“非法获取、出售或者提供公民个人信息”的“情节严重”进行了认定，“非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的”，“非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的”均会构成《刑法》第二百五十三条规定的侵犯公民个人信息罪。

最后，我们建议广大互联网企业应当构建健全的用户信息保护制度，明示告知收集和使用用户个人信息的目的、方式和范围，授予用户充分的自主选择权，同时积极落实“后台实名、前台自愿”合规政策，对用户进行实名认证，必要时根据提供产品和服务的范围具体分析用户个人信息泄露、毁损、丢失的风险点，进一步减少可能产生的行政和刑事责任风险。

来源：数据猿

收藏分享

声明：数据猿尊重媒体行业规范，相关内容都会注明来源与作者；转载我们原创内容时，也请务必注明“来源：数据猿”与作者名称，否则将会受到数据猿追责。