隐私协议是什么?如何拟写一份隐私协议

知乎昨天更新了移动端版的隐私协议(网络版看起来用的是同一份),看到很多的群在讨论这个隐私协议,想法里面也有人转了各类猜测,正好最近我自己替客户写了好几份隐私协议,所以来写一篇文章科普和总结一下。


什么是隐私协议(privacy policy)和用户使用协议(terms of use)?

隐私协议是告知用户网站或者移动端软件如何收集和使用用户信息和数据的文档。欧美国家一般有很硬性的规定,比如如果用户有13岁以下小孩应该怎么办,搜集医疗金融等相关信息应该怎么办,相关分析请看附录1。

而用户使用协议相当于是网站和用户之间的合同,比如知识产权归属,账号禁封权利等等。具体分析可以看我的附录2回答里面对于大众点评网站和APP用户使用协议的分析。

这两者是不同的东西,但是因为一般网站和APP都需要,很多人会混为一谈,甚至不合格的法务会把这俩写作同一类东西。


为什么昨天进入APP还需要重新同意一次,不同意就不能使用?

知乎本来是有一版隐私协议的,但是写得非常的烂此处就不吐槽了。一般网站或者APP在更新隐私协议的时候都需要告知用户,尤其是当这种修改影响了用户的权利。告知方式我见过非强制性的网站底下显示通知,邮件通知,或者是像知乎那样在进入界面需要点同意等等。新版用户协议也写了未来修改的通知内容,

本政策为《知乎协议(草案)》的重要组成部分。知乎保留不时更新或修改本政策的权利。如果该等修改造成您在本政策下权利的实质减少,知乎会通过不同渠道向您发送变更通知,包括但不限于网站公示、私信通知等方式。
若您不同意修改后的隐私政策,您有权并应立即停止使用知乎的服务。如果您继续使用知乎的服务,则视为您接受知乎对本政策相关条款所做的修改。

至于不同意不能使用我觉得至少还是尊重用户权利保护用户的,总比百度新浪这种不问你主观意志上的同意,直接在条款里写“你用我们产品就相当于同意我们的隐私协议和用户条款”来的好。


如何搜集,保护和保存个人信息需要详细写出来吗?

一般写隐私协议写到如何使用Cookie已经差不多了,这种文档是由法务和IT部门一起合作完成的,但是由我和软件工程师们沟通的经验来看,他们说的很多话我是不会写在隐私协议里的,因为用户也看不懂。要知道这份协议是面向大众的,而不是给专业人员去研究的,所以没必要披露的那么仔细。比较好的隐私条款应该和合同一样,简洁明了易懂但是重点都写到。


依照法律要求披露搜集到的用户信息是常规操作吗?

Google的语言,

知乎的语言,

基于法律法规、法律程序、诉讼或政府主管部门强制性要求。但我们保证,在符合法律法规的前提下,当我们收到上述披露信息的请求时,我们会要求必须出具与之相应的法律文件。

其实算是此类文件里面的样板语言,没必要那么敏感。


如何拟写一份隐私协议?

最后来总结一下我常用的一份checklist,感兴趣的可以上practical law company查看详细的内容,美国有个公司叫termsfeed专门帮人拟写隐私协议,大概100刀一份。

  1. 网站或者APP搜集哪些信息,如何搜集,为什么搜集这些信息,将会如何使用这些信息
    1. personal-identifiable information(可辨认私人信息?):例如姓名,家庭住址,电话,证件号,信用卡银行卡信息等等
    2. Non-personal identifiable information:搜索历史,设置喜好等等
  2. 法律法规要求 (这个在中国好像就是用“在法律法规及主管部门要求下”来概括,美国和EU就很复杂)
  3. 自动信息搜集:包括地理位置,设备信息,储存信息和文件等
  4. 信息搜集技术:Cookie和Web Beacon
  5. 第三方信息披露: 在什么情况下对第三方披露什么信息,这些信息由己方还是第三方隐私协议保护,第三方会如何使用这些信息等
  6. 披露搜集到的信息:在什么情况下公司有权披露用户信息,给哪些对象,做哪些用途
  7. 用户如何选择取消自动搜集功能,如何修改提供的信息,能否拒绝公司向第三方披露信息,如何通知公司消除个人信息等
  8. 数据安全:公司如何储存信息,信息会储存在哪里,一般储存多久,可否由用户通知公司进行消除等
  9. 未来修改隐私协议的通知方式



附录1: 陈诺:如何看待百度李彦宏表示的「中国人更开放,愿用隐私换效率 」?

附录2:陈诺:如何看待 @藥師 将差评其于杭州的niuniupark 西餐厅的顾客之用餐视频上传到知乎这一行为?

发布于 2018-04-29

文章被以下专栏收录