4款应用领域合规性评定严重不足60分。
我国《对个人个人隐私安全法》于2021年11月1日起施行。法律明确了对个人个人隐私处置活动中的权利义务边界,以“知会—一致同意”为核心原则对网络平台展开对个人个人隐私处置不予规范化。
为了解企业在对个人个人隐私为保护方面的落实情况,南方财经合规性科技研究院如前所述《对个人个人隐私安全法》与《App违规违规搜集采用对个人个人隐私行为判定方法》的有关条款,对网络平台的对个人个人隐私为保护合规性展开系列评定。评定含知会、退回一致同意、服务器端处置者原则上知会、个人化所推荐、敏感对个人个人隐私、未成年人对个人个人隐私、统计数据可携带权、重要信息控制权、对个人为保护重要信息负责人这9大方面共20个评定项,评定总分为100分。
结合采用者量与机能差异等因素,评定选取了20款乘车旅途类(含货运)APP展开对个人个人隐私为保护合规性实测。评定结果表明,百度世界地图APP罚球在80分以上,同时实现了对对个人个人隐私高等级的为保护;嘿乘车、携程旅游观光、花毛毛坐车、携程旅途、金蝶世界地图等14款APP罚球在60分至80分,对个人个人隐私为保护处于中等;Gofun沙唐瓦县、嘀嗒乘车、货娜拉、如祺乘车罚球严重不足60分,对采用者对个人个人隐私的为保护还需加强。
退回一致同意、个人化所推荐、统计数据可携带权、服务器端处置者原则上知会,成为网络平台的高频合规性问题。对于采用者许可的对个人个人隐私处置,14款APP无法直接退回一致同意;携程旅途、携程坐车、货娜拉等8款APP未对个人化广告和内容所推荐的停用明确界定,或未提供更多个人化所推荐停用按钮;服务器端SDK同是合规性重灾区,19款服务器端SDK未知会处置形式,仅1款获取采用者的原则上一致同意;统计数据可携带权的同时实现也不尽如人意,10款同时实现对个人个人隐私“复制权”,无APP明示提供更多对个人个人隐私转移服务。
(注:因滴滴乘车APP尚未在应用领域商店上架,评定版为iOS控制系统的6.2.4版)
20款乘车旅途类APP合规性评定(制图:张晓凤)
退回一致覆议难同时实现,仅6款可应用领域内停用
退回一致覆议已成为全球对个人个人隐私为保护立法的趋势与共识,《对个人个人隐私安全法》中也对此展开了回应。第十五条明确规定,如前所述对个人一致同意处置对个人个人隐私的,对个人无权退回其一致同意。对个人个人隐私处置者应提供更多快捷的退回一致同意的形式。
此次评定对退回一致同意聚焦于APP内是否提供更多了采用者自主退回一致同意的有关机能快捷键。评定发现,20款乘车类APP中,仅百度世界地图、携程旅游观光、金蝶世界地图、携程坐车、花毛毛坐车、百度世界地图等6款能够在APP内或重定向至智能手机控制系统增设对有关许可退回一致同意,其他14款无有关按钮,需直接在智能手机设备中自行停用。
携程旅游观光可同时实现采用者许可的退回一致同意
退回一致同意的快捷性值得关注。《对个人个人隐私安全法》二第三十条中对退回一致同意增加“快捷”的明确要求,与欧盟《通用统计数据为保护条例》(GDPR)“退回一致同意应和表示一致同意一样简单”的宗旨以及《对个人个人隐私安全规范化》等有关明确规定相呼应。
参照国家外宣办、国务院法制办、公安部、市场监管总局2019年11月联合制定的《App违规违规搜集采用对个人个人隐私行为判定方法》中,关于“个人隐私政策等搜集采用规则难以出访,如进入App主界面后,需多于4次点选等操作才能出访到”的明确规定,评定将打开APP后如经过4次点选仍无法停用有关许可,视为不快捷。
评定结果表明,20款乘车类APP在提供更多应用领域内部停用许可或重定向控制系统停用许可的6款APP中,退回一致同意机能均不快捷。以携程旅游观光的退回机能定位许可为例,需透过“我-增设-关于-个人隐私职权增设-开启世界地图机能定位增设-职权管理-机能定位”路径展开7次操作。
8款未界定停用个人化所推荐,仅7款可快捷停用
《对个人个人隐私安全法》从一第三十条到成文,在不断强化对智能化重大决策的规制。第二十五条明确要求,透过智能化重大决策形式向对个人展开重要信息推送、商业营销,应同时提供更多不针对其对个人特征的快捷键,或者向对个人提供更多快捷的婉拒形式。透过智能化重大决策形式做出对对个人权益有重大影响的决定,对个人无权明确要求对个人个人隐私处置者不予说明,并无权婉拒对个人个人隐私处置者仅透过智能化重大决策的形式做出决定。
对于乘车类应用领域而言,搜集采用者的浏览历史记录、搜索历史记录、地理位置等展开算法的智能化重大决策机制分析形成间接采用者画像,用以为采用者提供更多更具有个人化需求的内容或广告服务。
针对个人化所推荐,网络平台是否增设了停用个人化内容所推荐及个人化广告所推荐的机能、是否提供更多快捷的婉拒形式、停用个人化所推荐后是否会影响产品采用,这三项内容成为合规性焦点。
多款APP在个人隐私政策中都同时提及提供更多个人化内容和广告所推荐服务。评定发现,仅携程旅途、金蝶世界地图、滴滴乘车、嘿单车、百度世界地图、神州专车、嘀嗒乘车、携程旅游观光、百度世界地图、花毛毛坐车、智行火车票和同程旅途12款APP在提供更多相应的个人化所推荐时,分别增设了停用按钮。
其中,百度世界地图和花毛毛坐车的个人化所推荐分类明确,按钮数量多,采用者能有针对性地停用机能。百度世界地图个人化按钮齐全,按照各种机能分布:有程序化广告增设停用按钮,首页智能所推荐增设(允许展示首页个人化所推荐),个人化所推荐增设分为周边个人化内容增设、乘车助手智能所推荐增设、公共交通个人化方案增设、智行个人化乘车增设、搜索个人化所推荐增设,针对不同个人化,可逐一停用。花毛毛坐车的个人化所推荐按钮分类详细,有乘车建议(常用上下车点)、乘车车型所推荐、个人化消息推送,可逐一停用。
花毛毛坐车的个人化所推荐管理页面
T3乘车、去哪儿旅途、Gofun沙唐瓦县、曹操乘车、携程坐车、如祺乘车、携程旅途、货娜拉等8款APP在机能增设上未对停用个人化广告所推荐和停用个人化内容所推荐展开明确界定,或未提供更多个人化所推荐停用按钮。
以携程旅途为例,个人隐私政策在“限制智能化重大决策”部分提到,采用者在APP登录后可透过“我的-增设-新消息通知与所推荐增设”路径对个人化推送展开停用。但采用者如未在控制系统增设中开启携程旅途的“通知”机能,则无法在APP内对个人化所推荐展开管理。开启“通知”后,携程旅途APP页面方显示“新消息通知与所推荐增设”快捷键,可点选进入对对个人喜好的所推荐消息停用或开启,APP未对个人化消息和个人化广告所推荐的停用展开界定。
在“是否提供更多快捷的婉拒形式”上,评定同样参照《App违规违规搜集采用对个人个人隐私行为判定方法》,打开APP后如经过4次点选仍无法停用个人化所推荐,则视为不快捷。
结果表明,20款APP中仅7款APP在所提供更多的个人化所推荐上完全同时实现了不超过4次点选即可停用,包括嘿乘车、百度世界地图、神州专车、Gofun沙唐瓦县、去哪儿旅途、T3乘车、携程旅途。
10款同时实现对个人个人隐私“复制权”,无APP提供更多对个人个人隐私转移服务
统计数据可携带权是《对个人个人隐私安全法》三审新增的一项权利。第四十五条明确规定:“对个人无权向对个人个人隐私处置者查阅、复制其对个人个人隐私;有本法第十八条第一款、第三十五条明确规定情形的除外。”
可携带权分为两个维度:其一,对个人请求查阅、复制其对个人个人隐私的,对个人个人隐私处置者应及时提供更多,即对个人可获得对个人个人隐私副本;其二,对个人请求将对个人个人隐私转移至其指定的对个人个人隐私处置者,符合国家外宣部门明确规定条件的,对个人个人隐私处置者应提供更多转移的途径。
评定发现,10款APP未明确提及可提供更多对个人个人隐私复制服务,仅去哪儿旅途、货娜拉、花毛毛坐车、同程旅途、嘿乘车、百度世界地图、携程旅游观光、携程旅途、滴滴乘车、携程坐车等10款APP为采用者提供更多了对其对个人个人隐私的“复制权”。获取的快捷程度有所区别,一般可透过机能按键自主或透过邮件、电话等形式可获得对个人个人隐私的副本。
携程坐车可提供更多对个人个人隐私下载服务
其中,花毛毛坐车APP内可导出的重要信息副本分为重要信息副本(不含金融业务)和金融重要信息副本,采用者可以在对个人个人隐私管理中心自行导出重要信息副本。不含金融业务的重要信息副本导出将于24小时内完成导出,结果将发送至采用者对个人邮箱,每日限提交一次。金融重要信息副本导出需要认证采用者身份证号。
但可携带权的另一维度——对个人个人隐私的转移服务,执行的情况则不容乐观,仅携程旅途、曹操乘车2款APP在个人隐私政策中提到为采用者提供更多将对个人个人隐私转移的服务。例如,曹操乘车的个人隐私政策在采用者权利中包含“转移对个人个人隐私”,在法律法规许可且技术可行的前提下,例如统计数据接口匹配,曹操乘车可将采用者对个人个人隐私传输给其指定的服务器端。
19款服务器端SDK未知会处置形式,仅1款获原则上一致同意
《对个人个人隐私安全法》第二十三条明确规定,对个人个人隐私处置者向其他对个人个人隐私处置者提供更多其处置的对个人个人隐私的,应向对个人知会接收方的名称或者姓名、联系形式、处置目的、处置形式和对个人个人隐私的种类,并取得对个人的原则上一致同意。接收方应在上述处置目的、处置形式和对个人个人隐私的种类等范围内处置对个人个人隐私。
APP内通常会接入多个SDK(软件开发工具包),利用SDK技术为采用者提供更多多样化的服务。目前,所测20款电商类APP都在个人隐私政策中明示了接入有关合作方SDK的目录,但因详细度不同而存在一定合规性问题。依据法律明确要求,APP应向对个人知会服务器端的“名称或者姓名、联系形式、处置目的、处置形式和对个人个人隐私的种类”。
评定发现,大多数APP知会了服务器端的名称或者姓名、对个人个人隐私的种类、处置目的,以及服务器端的个人隐私政策链接。除百度世界地图外,其他19款APP对处置形式均未明确知会。
百度世界地图首页弹窗服务器端重要信息搜集的知会
针对“取得对个人的原则上一致同意”,仅百度世界地图在首次下载APP后的许可一致同意弹窗中,包含服务器端SDK列表的链接。多款APP虽在首次弹窗中提到“未经您的许可一致同意,我们不会将上述重要信息共享给服务器端或用于您未许可的其他用途”,但服务器端SDK的详细重要信息需要APP内的个人隐私管理中查阅。
南财合规性建议
1、对于相机、位置重要信息、麦克风等许可的退回一致同意,APP内可设职权管理专区,并明确在何种场景下采用及用以哪些目的等。为同时实现快捷性的明确要求,停用许可的点选步骤不应超过4次,建议在应用领域内可直接停用。
2、部分APP的个人化所推荐管理虽然较为全面,但仅能从个人隐私政策内点选进入,从采用者的操作体验来说并不快捷,建议在增设页面的显著位置明确提供更多相应个人化所推荐的停用快捷键,操作步骤不应超过4次。
3、服务器端原则上知会问题方面,目前大多数APP提供更多了服务器端SDK重要信息搜集的原则上列表,应对当前未落实的联系形式、处置形式展开明确知会。在取得对个人的原则上一致同意上,可在首次开启APP的弹窗中设计。
4、对于采用者的对个人个人隐私可携带权,APP应在个人隐私政策明确列明《对个人个人隐私安全法》中赋予采用者的权利,并提供更多同时实现路径。企业应为此提供更多专门的联系形式获取或在APP内设计直接获取导出按钮。
5、因乘车类APP与采用者人身安全密切有关,多家企业在运营时采取了录音录像机能。出于对公共安全的考虑并平衡司乘双方的权益,APP应设有专门的录音录像重要信息搜集及个人隐私为保护协议,更详细地知会采用者有关重要信息的许可情况,并在采集申请许可的同时,获得采用者的原则上一致同意。
6、由于《对个人个人隐私安全法》11月1日生效,不少应用领域在前后时间节点更新了个人隐私政策,完善了对采用者对个人个人隐私的明确规定与表述。但部分APP在产品设计机能上,并未与个人隐私政策的内容同步更新,建议企业及时排查并落实产品设计的对个人个人隐私为保护有关机能。
评定补充说明
评定时间:11月11日至12日
APP所测版(括号内为个人隐私政策更新或生效时间):
IOS版:滴滴乘车6.2.4(2021.7.8),携程旅途8.41.6(2021.11.4),金蝶世界地图11.11.1.2639(2021.10.30),如祺乘车2.15.0(2021.8.5),曹操乘车5.2.6(2021.11.5),携程坐车2.7.0(2021.10.31),携程旅途9.9.4(2021.11.5),去哪儿旅途5.0.21(2021.10.29),百度世界地图15.10.1(2021.10.31),货娜拉6.5.85(2021.11.15),T3乘车2.1.26(2021.10.11)、花毛毛坐车1.3.18(2021.11.8)、智行火车票9.8.0(2021.10.3),同程旅途10.2.2.0(2021.11.5)
Android版:嘿乘车6.2.1(2021.6.28),百度世界地图9.16.2.1251.1(2021.11.1),神州专车7.0.7_135_35(2021.8.31),嘀嗒乘车8.16.2(2021.10.16),携程旅游观光10.58.2(2021.9.26),Gofun沙唐瓦县9.1.5(2021.8.23)
关于网约车问题,添加 微信: gua561 备注:备注问题!
如若转载,请注明出处:https://www.didizcw.com/18109.html