查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
【期刊名称】 《互联网法律通讯》
互联网企业个人信息保护抽样测评报告(2017)
【作者】 北京大学互联网法律中心中国科学技术法学会
【作者单位】 北京大学互联网法律中心中国科学技术法学会
【分类】 行政管理法【期刊年份】 2017年
【期号】 1【页码】 122
【全文】法宝引证码CLI.A.1242020    
  一、前言
  北京大学互联网法律中心(以下简称“本中心”)自2014年开始以学术研究、民间观察视角关注互联网企业的个人信息保护问题。基于《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《消费者权益保护法》,工业和信息化部《电信和互联网用户个人信息保护规定》,国家工商行政管理总局《网络交易管理办法》,国家质量监督检验检疫总局、国家标准化管理委员会《信息安全技术公共及商用服务信息系统个人信息保护指南》以及OECD《关于保护隐私和个人数据跨国流通的指导原则》,APEC 《隐私保护纲领》,欧盟个人信息保护指令等国内外规范性和指导性文件,于2014年3月15日,本中心联合中国科技法学会,针对互联网企业个人信息保护政策发布了《互联网企业个人信息保护测评标准V1.0》简称“《测评标准》1.0版”),应用此测评标准测评了20家企业的互联网个人信息保护政策,旨在促进企业制定规范的个人信息保护政策,合法利用在经营活动中收集的个人信息。2015年12月,在1.0版的基础上,本中心升级发布了《互联网企业个人信息保护测评标准V2.0》,形成了较为稳定的测评标准版本,制定了相应的测评指标体系。应用该测评指标,本中心对50家互联网企业的个人信息保护政策文本及相应产品进行了测评,同期发布了《50家互联网企业个人信息保护抽样测评报告》。本中心希望借助测评报告的发布,推动中国域内的互联网企业在有关用户个人信息和隐私保护上建立完善的政策体系以及与政策相适应的产品服务。
  2016年-2017年,本中心在《测评标准2.0》版本的基础上,结合《网络安全法》的相关内容,将测评重点放在对互联网企业个人信息保护政策与产品服务的一致性评价上,进一步推动行业自律环境建设,改善域内互联网用户在知晓、理解、管理和控制个人信息方面的用户体验;促使域内互联网企业在完善个人信息保护政策的同时为用户提供具有可选择性的,更为便捷、清晰、透明和安全的个人信息管理、控制、保护途径。本中心应用《测评标准V2.0》确立的测评指标,从普通用户的可操作和可感知的角度出发,形成了基于用户体验的测评指标体系,并选取79项共计17类互联网应用产品进行测评,得出本研究报告。
  本次报告选取的互联网应用产品的17个类别以及对应的产品是:
  综合社交:人人网、新浪微博、Facebooklnstagram、QQ空间;
  即时通信:Skype、微信、QQ、WhatsApp;
  旅行:携程、去哪儿、飞猪、艺龙旅行网、Airbnb、Booking、Agoda;
  打车:滴滴出行、神州专车、易到用车;
  租车:一嗨租车、神州租车;
  求职社交:大街网、智联招聘、前程无忧、LinkedIn、脉脉;
  婚恋社交:世纪佳缘、百合网、珍爱网、Tinder;
  云存储服务:Google drive、DropBox、iCloud、腾讯微云、百度网盘;
  支付与理财:支付宝、京东金融、微众银行、Apple pay、Paypal、微信支付;
  电子邮箱:网易邮箱大师、Yahoo mail、QQ邮箱、Gmail、outlook;浏览器:360浏览器、Firefox、UC浏览器、手机百度、Chrome、Safari、QQ浏览器
  外卖:饿了么、百度外卖、美团外卖、到家美食会;
  网购:淘宝、京东、网易考拉海购、Amazon、eBay、唯品会
  地图导航:百度地图、高德地图、Google地图;
  在线视频:爱奇艺、腾讯视频、Bilibili、YouTube、优酷;
  快递:顺丰、圆通、天天快递、FedEx、EMS;
  团购:美团、大众点评、糯米。
  二、测评指标体系
  根据《互联网企业个人信息保护测评标准V2.0》,指标体系共分三个层级:
  第一层级包括四个类别:1.个人信息保护政策的形式;2.处理周期;3.申诉机制;4.安全与维护。
  第二层级在第一层级四个类别下共有9个子项,分别为:1.个人信息保护政策的形式包含三个子项:(1)个人信息保护政策的表现形式;(2)个人信息保护政策的变更;(3)个人信息保护政策的咨询与解释;2.处理周期包含四个子项:(4)收集;(5)转移;(6)删除;(7)变更;3.申诉机制包含一个子项:(8)申诉机制;4.安全与维护包含一个子项:(9)技术手段。
  第三层级在9个子项下包括19项具体指标,与第一、第二层级的关系下图2-1所示,依据19项指标,测评小组给予每项分三级从0分到2分的评分。
  (图略)
  测评小组使用移动客户端应用程序对各项指标进行打分,每项指标满分2分,指标体系满分38分,由于“经用户同意的转移”一项指标在本次测评中均未评价,因此本次报告中指标体系满分采36分。为便于以更为熟悉的记分方式观察得分,各应用产品四级指标均以36满分打分后所得数值除以0.36的方式换算为百分制,所得分值小数点后四舍五入保留两位。指标中个四类别总分满分如表2-1所示:
  表2-1

┌──────────┬────────┬────────┬─────────┐
│第一层次分类    │第三层次指标个数│相应分数(36满分)│36满分换算成百分制│
├──────────┼────────┼────────┼─────────┤
│个人信息保护政策的形│7        │14       │38.89       │
│式         │        │        │         │
├──────────┼────────┼────────┼─────────┤
│处理周期      │9        │16       │44.44       │
├──────────┼────────┼────────┼─────────┤
│申诉机制      │2        │4        │11.11       │
├──────────┼────────┼────────┼─────────┤
│安全与维护     │1        │2        │5.56       │
└──────────┴────────┴────────┴─────────┘

  三、测评操作标准
  为保证具体操作过程的客观性,减少测评人员的主观因素对于本次测评结果的干扰,在测评开始之前,测评团队经过多轮商讨和论证,形成以下测评操作标准。
  1.测评时间:本报告中针对所有应用产品的测评均在2017年2月27日至2017年8月13日间完成。
  2.测评设备:本报告针对所有应用产品的测评均在移动终端上完成。考虑到同一应用产品的操作体验不可避免地受到移动设备操作系统的影响,同一应用产品在Android设备和iOS设备上有关个人信息采集授权及相关设置的体验存在差异。为了减少测评过程中由于操作系统差异导致的评分差异,测评小组统一采用安装iOS系统的移动设备作为测评设备。
  3.测评场景:考虑到本次测评以普通用户的日常实际操作为视角,测评场景定位于各应用产品的操作界面之内,即:有关隐私或个人信息保护政策的获取;个人信息收集、转移、删除、变更过程中的通知与同意,与之对应的用户设置,咨询以及安全监测手段等均需在产品操作界面内呈现,或经由产品操作界面提供的清晰的引导路径实现。考虑到本次测评统一使用苹果iOS设备,其内置的应用产品的相关设置均在系统设置中,因此苹果内置的应用产品测试场景包含了系统设置部分。
  4.交叉测评:为尽量减小测评过程中个体主观感受对测评结果的影响,本次测评中每一个应用产品均由两名测评人员首先分别独立进行测评。若同一应用产品在同一指标下存在评分差异,独立测评人员须进一步针对测评结果及理由进行详细讨论,并取得一致结论。
  5.测评指标操作逐项说明
  (1)个人信息保护政策的显著性对于一个应用产品而言,在下载之后登录注册页面,如果在注册页面的显著位置显示“用户协议”或者“隐私条款”,则可以认为个人信息保护政策有显著性,得2分;否则没有显著性,得0分,如果在页面上没有显著提示,在用户不宜找到之处有相关的个人信息保护条款,酌情的1分。以图3-1为例,隐私条款出现在注册页面的下方,具备显著性。
  图3-1
  (图略)
  (2)个人信息保护政策的独立性
  在此基础上,如果有独立于用户协议或服务条款的“隐私协议”,则认为个人信息保护政策有独立性,得2分;如果只是在用户协议中包含隐私保护部分或者个别隐私条款,则认为没有独立性,得0分。仍以图3-1为例,该应用产品具备独立的隐私条款,得2分。若为图3-2情形,则为0分。
  (图略)
  (3)增强告知
  对于个人信息/隐私协议或者个人信息/隐私条款,如果对协议的标题或者条款中涉及:(1)收集用户个人信息的类型或项目;(2)收集使用的目的和方式;(3)用户有关个人信息的权利;(4)企业在保障个人信息与隐私方面的义务;(5)免责条款等重要内容上通过字体加粗、倾斜、改变颜色、下划线等手段予以强调或者突出,使用户能够较容易地注意到,可以认为满足增强告知的标准,得2分。如图3-3。
  若为以下任意一种情形:(1)没有个人信息/隐私协议或者个人信息/隐私条款;(2)突出显示的内容仅笼统提示“个人信息”或“隐私”,但未提供或未对应上述关键信息;(3)没有针对上述信息的突出显示,则认为没有增强告知,得0分。如图3-4。
  图3-3
  (图略)
  图3-4
  (图略)
  (4)变更通知
  对于变更和变更后用户的退出机制,如果隐私条款中对其有专门规定,并且在实际变更后会通过用户预留的联系方式通知到用户个人,或使用户在使用变更隐私政策的产品前必须先了解并同意相关的隐私政策,得2分;如果规定及实际变更后仅在网站上予以统一公布,用户须特别关注变更信息方能了解变更详情,得1分;如果没有规定或者规定可以不通知用户,或实际未通知用户,得0分。以图3-6为例,规定了若内容发生变动则在网站上公布,得1分。
  (5)变更后的退出机制
  变更后的退出机制是在变更通知的基础上考察变更后的隐私政策及是否专门提示用户在不接受变更后的隐私政策的情况下如何拒绝并退出相关服务。如果提供了相应的拒绝并退出相关服务的路径,以及对相应数据的处理方式,得2分,如图3-5;如果仅表明继续使用则表示接受,停止使用即为拒绝,得1分,如图3-6;如无相关内容,得0分。
  图3-5
  (图略)
  (图略)
  (6)有效的咨询联系方式
  如果在隐私协议、条款或操作界面中留下电话、邮箱、网页、在线服务窗口等咨询个人信息保护或隐私保护政策的联系方式,用户可以通过这些方式进行咨询,且能获得及时(我们将“及时”设定为5个工作日内)的反馈,得2分,如图3-7;如果未提供相应的联系方式或用户通过所提供的联系方式不能取得联系或获得及时的反馈,得0分。
  图3-7
  (图略)
  (7)咨询效果
  在有效联系方式的基础上如果用户能够获得有关个人信息或隐私保护问题的反馈(此处不区分答复为自动回复还是人工回复),得2分;若用户没有获得反馈或反馈内容与所咨询的个人信息或隐私保护问题无关,得0分。以图3-8为例,提供了咨询途径,但未提供有效反馈,得0分。
  图3-8
  (图略)
  (8)个人信息收集的“通知同意”
  在收集用户的信息之前,若清晰告知用户需要收集哪些信息,且通知收集的信息与隐私政策中声明收集的信息相一致得2分;若收集信息的通知来自应用本身,提供了详细的需要收集的信息内容,但少于政策文本中列明的信息收集项目,或收集信息的通知来自操作系统,但通知内容带有应用产品特征,得1分,如图3-9,图3-10;若无通知,或通知来自于操作系统设定的提示而非应用本身,得0分。如图3-11,得0分。
  图3-9
  (图略)
  图3-10
  (图略)
  图3-11
  (图略)
  (9)告知用户拒绝提供相应个人信息的后果或收集的目的
  在收集用户个人信息时,如果应用产品独立且明确告知用户拒绝提供的信息项目以及相应的不可使用的功能,得2分,如图3-12、图3-13;若仅通过应用产品提示或结合系统提示告知拒绝提供个别信息所造成的后果,但未将每一项(类)所收集的信息与拒绝提供的后果将对应,得1分,如图3-10;如果仅是通过系统提示一般性地通知“会导致某些功能不能使用”但未指明,得0分,如图3-13。
  图3-12
  (图略)
  (10)用户选择权
  在注册时,如果用户可以选择所填写和提供的个人信息(主要表现为与账号绑定的关键信息,如电话号码、邮箱、微信号、QQ号等)来注册,完成注册所必要填写的信息内容符合信息收集的必要性,得2分;如果用户虽可以选择所填写和提供的个人信息,但完成注册所必要填写和提供的内容不具有必要性,得1分;否则得0分。测评过程中,信息收集的必要性主要考虑应用产品功能与服务对用户个信息真实性保证的要求,如“中国12306”和婚恋类应用产品对用户真实姓名、联系方式以及性别的要求,如图3-14。
  图3-14
  (图略)
  (11)经用户同意的转移
  本项指标暂不测评。从用户使用的角度目前仅能在社交媒体账号上感知到授权其他应用程序使用该账号的信息,但实际发生个人信息的转移的应用产品类型以及情形要远大于目前可感知的范围。考虑到信息转移在现有个人信息保护的立法例中是一项重要内容,测评小组仍然保留了这一指标;同时为公平起见,测评小组决定在本次测评中对该项指标暂不评测。
  (12)用户能否删除自己录入的基本信息
  如果用户能够删除自己录入的基本信息,得2分;如果不能删除,得0分。以图3-15为例,用户可以删除自己之前录入的信息,得2分。
  (图略)
  (13)用户能否删除自己使用过程中的活动记录数据
  如果用户能够删除使用过程中的活动记录数据,得2分,如图3-16;如果不能删除,得0分。活动记录数据设备登录记录,搜索记录,位置记录,收藏、下载记录等。
  图3-16
  (图略)
  (14)用户注销的权利
  如果账号能够注销,并能控制和删除账号中的个人信息和数据,得2分,如图3-5;若注销账号须满足一定的前置条件,得1分;若不能注销账号,或仅能删除账号但无法控制和删除账号中的个人信息和数据,得0分,如图3-17。
  图3-17
  (图略)
  (15)用户能否控制或要求停止被收集的信息
  如果应用产品操作界面中提供了特定途径使得用户可以控制其所被收集的个人信息,且其控制范围与声明收集信息的范围一致,各项被收集的信息提供了独立的控制选项,得2分;若仅提供了部分被收集信息的控制选项,得1分,如图3-18;如未提供可选择的控制途径,得0分。
  图3-18
  (图略)
  (16)用户能否在使用过程中更改自己录入的基本信息
  如果用户在使用的过程中能够修改之前录入的基本信息,得2分,如图3-19;如果不能更改,得0分。测评过程中,应考虑信息收集的必要性。
  图3-19
  (图略)
  (17)提供有效的申诉途径
  考察应用产品服务提供者针对用户个人信息或信息的泄露或错误个人信息或隐私记录及其造成的不利影响等,是否提供了有效的申诉途径。如果用户可以通过这些方式进行申诉,且能取得联系或得到及时反馈(我们将“及时”设定为5个工作日内,在这一指标下不考虑反馈与申诉内容的相关性)得2分,如图3-20;如果未提供相应的申诉途径或用户通过所提供的申诉途径不能取得联系或获得及时的反馈,得0分。
  图3-20
  (图略)
  (18)申诉效果
  在有效申诉途径的基础上,如果用户所获得的反馈是针对其所申诉事项的具体反馈,得2分,如图3-21;若反馈信息与申诉事项无关,得0分。
  图3-21
  (图略)
  (19)保护账号安全的检测手段
  如果有异地登录、异常登录提醒等检测手段保障账号和个人信息,得2分;如果检测手段意义不大,得1分;如果没有检测手段,得0分。以图3-22为例,会向用户及时告知异地登陆等异常信息,得2分。
  图3-22
  (图略)
  四、测评对象

┌──┬──────┬──┬─────────────────────────────────┐
│编号│类别名称  │数量│应用产品名称                           │
├──┼──────┼──┼────┬────┬────┬────┬───┬────┬────┤
│1  │综合社交  │5  │人人网 │新浪微博│Facebook│Instagra│QQ空间│-    │-    │
│  │      │  │    │    │    │m    │   │    │    │
├──┼──────┼──┼────┼────┼────┼────┼───┼────┼────┤
│2  │即时通信  │4  │Skype  │微信  │QQ   │WhatsAPP│—  │-    │—   │
├──┴─┬────┼──┼────┼────┼────┼────┼───┼────┼────┤
│3    │旅行  │7  │携程  │去哪儿 │飞猪  │艺龙旅行│Airbnb│Booking │Agoda  │
│    │    │  │    │    │    │网   │   │    │    │
├────┼────┼──┼────┼────┼────┼────┼───┼────┼────┤
│4    │打车  │3  │滴滴出行│神州专车│易到用车│-    │-   │—   │-    │
├────┼────┼──┼────┼────┼────┼────┼───┼────┼────┤
│5    │租车  │2  │一嗨租车│神州租车│-    │-    │—  │-    │-    │
├────┼────┼──┼────┼────┼────┼────┼───┼────┼────┤
│6    │求职社交│5  │大街网 │智联招聘│前程无忧│LinkedIn│脉脉 │-    │-    │
├────┼────┼──┼────┼────┼────┼────┼───┼────┼────┤
│7    │婚恋社交│4  │世纪佳缘│百合网 │珍爱网 │Tinder │-   │-    │-    │
├────┼────┼──┼────┼────┼────┼────┼───┼────┼────┤
│8    │云存储服│5  │Google d│DropBox │iClould │腾讯微云│百度网│-    │-    │
│    │务   │  │rive  │    │    │    │盘  │    │    │
├────┼────┼──┼────┼────┼────┼────┼───┼────┼────┤
│9    │支付与理│6  │支付宝 


  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
本篇【法宝引证码CLI.A.1242020      关注法宝动态:  

法宝联想
【作者其他文献】