Aggregator
隐私政策精讲(中):基本要素分析与实例(1)
在数字化浪潮的冲击下,隐私政策成为了企业与用户建立彼此信任关系的重要桥梁。
继《隐私政策精讲(上):起源、核心框架》之后,本文《隐私政策精讲(中)》将进一步深入探讨隐私政策的核心要素。从透明披露基本信息到第三方信息披露,本文将讨论如何在保护用户隐私权益的同时,确保企业行为遵守法律法规。为了帮助大家更直观、清晰地理解隐私政策中的关键信息,本文也会提供一些优秀的隐私政策实例作为参考。
一、基本要素分析与实例解读
1、处理者身份、版本信息、简要声明
(1)要素阐述:
这部分内容的撰写相对容易,主要是介绍App运营者的基本情况,包括主体名称、联系方式、注册地址等;并说明隐私政策的发布日期、生效日期、适用范围、更新方式。
基本情况的介绍看似简单,同样存在合规风险。
例如,① 隐私政策未完整披露App开发运营主体的工商注册名称,仅使用简称、商号或英文缩写代替,可能会给用户增加维权难度,也属于隐私政策不合规的一种情形。
② 隐私政策仅显示更新日期,未告知生效日期,也没有对新版本和上一版本的变更内容进行明示,当用户对信息收集的更新与授权情况提出质疑时,就难以直接通过隐私政策的说明予以答复,这也属于App隐私合规问题。
(2)法规重点:
(3)合规实例:
通常此部分的撰写,可以通过1-3段的导语进行概括说明,并展示目录清单,即可做到一目了然。开头一般会说明隐私政策的时效,接着会介绍App运营者的公司名称和注册地址,个人信息保护相关负责人联系方式一般在最后的投诉联系渠道中说明。
小红书隐私政策开头案例
2、个人信息/敏感个人信息的收集和使用
(1)要素阐述:
a. 基本要求
隐私政策中应明确个人信息收集和使用的方式、范围、使用目的、保存期限;对于敏感个人信息,应遵循更高的合规要求,做到单独告知、获取用户的明示授权。同时,在隐私政策中还应该有显著的标识,如对敏感个人信息进行字体的加粗、增加下划线等。个人信息的使用方式、目的应与隐私政策中说明的保持一致,当使用个人信息的目的、方式、范围发生变化时,应当更新隐私政策或以其他适当的方式告知用户。
b. 最小必要原则
不同业务功能所需的个人数据不尽相同,因此,为保障隐私政策内容的完整性、准确性、对应性,在拟写隐私政策的文本内容前,应评估功能所需的数据需求是否符合合法性、最小必要性,是否为实现功能目的所需的必要个人信息。国标41391对39类App的必要个人信息范围进行了说明,在评估功能数据需求、设计App隐私政策的时候可以参考。
c. 功能逐项列举
根据《App违法违规收集使用个人信息自评估指南》(以下简称《指南》)的要求,隐私政策中应当将收集个人信息的业务功能逐项列举,且应说明每个功能所收集的个人数据类型。
在对各项业务功能及其所需数据进行逐项列举时,应注意一一对应性,且不能使用「等」、「例如」之类的概括性用词,避免对用户产生误导。另外,应适当地体现对基本业务功能和非基本业务功能的区分,明确告知用户如不授权同意非基本业务功能的数据收集并不影响对基本功能的使用,充分地保障用户的选择权。特别注意的是,使用用户个人信息和算法,为用户定向推送信息的,应在隐私政策中进行说明,并给用户提供非定向推送信息的选项。
(2)法规重点:
(3)合规实例:
这部分是隐私政策中最重要的部分,一般是逐一列举App的业务功能并详细说明这些活动中收集个人信息类型、目的、方式,且个人信息类型不能模糊,涉及处理敏感个人信息的需要显著标识,存在个性化推荐功能的需要在隐私政策中说明。
爱奇艺隐私政策注册登录业务说明
爱奇艺隐私政策订单支付业务说明
爱奇艺隐私政策个性化推荐说明
3、个人信息的存储
(1)要素阐述:
隐私政策中应向用户说明数据的存储地点、存储时间与存储方式。明确区分数据存储于境内或境外;且个人信息的存储时间应为实现功能目的所需的最短时间,如法律法规另有规定或需要向用户另行获取授权同意的,也应在隐私政策中向用户进行告知。
(2)法规重点:
(3)合规实例:
抖音存储期限说明
4、个人信息的共享、转让、公开披露
(1)要素阐述:
若存在对外共享、转让、公开披露个人信息等情况,隐私政策中应明确说明:
① 对外共享、转让、公开披露个人信息的目的、以及所涉及的信息类型;
② 对外共享、转让、公开披露个人信息可能产生的后果;
③ 信息接收方的类型或者身份,以及其目前的安全能力;
④ 如采取了技术处理措施(如加密/去标识)也应进行说明。
这个部分一般和第三方服务披露有所关联,因为第三方服务属于个人信息的共享部分。
(2)法规重点:
(3)合规实例:
爱奇艺隐私政策共享部分
爱奇艺隐私政策转让、公开部分
5、关于第三方服务的披露(第三方SDK披露)
(1)要素阐述:
一般在隐私政策末尾附上第三方信息共享清单、在共享模块展示或者在隐私政策中附上第三方信息共享(SDK)清单链接。内容结构一般根据标准目录内容罗列(如下图)
第三方SDK目录
同时,第三方信息共享清单根据共享方式呈现,可能是第三方合作商、第三方SDK等。
(2)法规重点:
(3)合规实例:
抖音第三方SDK目录
抖音关联方App目录
抖音其他合作方目录
二、结语
以上是对隐私政策基本要素1-5部分的分析同时结合了法规要点和实例。下篇我们将继续分析隐私政策基本要素剩下部分,同时会对隐私政策的撰写规范和呈现要求进行说明,敬请关注《隐私政策精讲(下):基本要素分析与实例②》。
来源:嘉佑安科
CVE-2017-3546 | Oracle PeopleSoft Enterprise PeopleTools 8.54/8.55 MultiChannel Framework access control (EDB-42034 / ID 370451)
每周高级威胁情报解读(2024.11.15~11.21)
CVE-2005-2470 | Adobe Acrobat Reader up to 7.0.2 PDF Document Parser memory corruption (VU#896220 / Nessus ID 21540)
CVE-2005-1857 | simpleproxy 2.2b/3.0/3.1/3.2 memory corruption (VU#139421 / Nessus ID 19529)
CVE-2005-2344 | RIM BlackBerry Enterprise Server 4.0 memory corruption (VU#646976 / Nessus ID 20982)
CVE-2005-2455 | Greasemonkey 0.3.3 api information disclosure (EDB-26017 / XFDB-21453)
CVE-2005-1609 | Sun StorEdge 6130 Arrays Stored Remote Code Execution (VU#812438 / XFDB-20542)
CVE-2005-1530 | Sophos Anti-Virus up to 5.0.1 ZIP Archive Extra Field Length infinite loop (XFDB-21373 / SBV-9684)
VAC kernel-mode bypass: Fully working kernel-mode VAC bypass
VAC kernel-mode bypass Fully working VAC kernel-mode bypass, it makes use of either SSDT hooks or Infinityhook to intercept VAC syscalls and ultimately spoof the results in order to bypass the memory integrity checks....
The post VAC kernel-mode bypass: Fully working kernel-mode VAC bypass appeared first on Penetration Testing Tools.
domain-protect: prevent subdomain takeover
domain-protect scan Amazon Route53 across an AWS Organization for domain records vulnerable to takeover scan Cloudflare for vulnerable DNS records take over vulnerable subdomains yourself before attackers and bug bounty researchers automatically create known issues in Bugcrowd or HackerOne...
The post domain-protect: prevent subdomain takeover appeared first on Penetration Testing Tools.
CatSniffer: original multiprotocol, and multiband board made for sniffing, communicating, and attacking IoT devices
CatSniffer CatSniffer (😼) is an original multiprotocol, and multiband board made for sniffing, communicating, and attacking IoT (Internet of Things) devices. It was designed as a highly portable USB stick that integrates the new...
The post CatSniffer: original multiprotocol, and multiband board made for sniffing, communicating, and attacking IoT devices appeared first on Penetration Testing Tools.
【年底冲刺】最高2倍积分奖励
CVE-2014-3631 | Linux Kernel 3.16.0/3.16.1/3.16.2 Array Garbage null pointer dereference (USN-2378-1 / EDB-36268)
NERCIS合规检测工具箱11月22日正式发布
Will Arrests Squash Scattered Spider's Cybercrime Assault?
Will the indictment of five alleged members of the loosely affiliated Scattered Spider cybercrime group disrupt its wider activities? The current count of known attacks tied to the group stands at over 130, but the accused have so far been tied by the FBI to only 45 of the attacks.
CISA Red Team Finds Alarming Critical Infrastructure Risks
The U.S., cyber defense agency is urging critical infrastructure operators to learn from the experience of a volunteer read teaming test and not rely too heavily on host-based endpoint detection and response solutions at the expense of network layer protections.
GAO: HHS Needs to Be a Better Leader in Health Sector Cyber
The U.S. Department of Health and Human Services needs to take important actions to do a better job of carrying out its duties as the lead federal agency responsible for strengthening cybersecurity in the healthcare and public health sector, said a new federal watch dog agency report.
Wiz Fortifies Application Security With $450M Dazz Purchase
Wiz acquired application security posture management startup Dazz for $450 million to provide enterprises with a unified code-to-cloud solution. CEO Merav Bahat highlights how this partnership will streamline vulnerability management and strengthen remediation capabilities for global organizations.