在网络平台的隐私政策中,主体指代不明是一个常见的问题。首先,我们来探讨这个问题。

  1. 主体定义模糊:在许多网络平台的隐私政策中,“我们”一词通常被用来指代特定的主体,但这种用法存在一些问题。例如,美团的隐私政策将“我们”定义为平台的主体企业及其关联公司,而对关联公司的界定则较为模糊。尽管美团明确指出了关联公司的定义,但它仍然将美团本身也包括在内,这导致了主体的不确定性。
  2. 未明确“我们”的定义:滴滴的隐私政策虽然提到了滴滴旗下的各个平台及其运营公司,但没有明确“我们”的定义。这种情况使得“我们”二字在《隐私政策》中的出现显得有些突兀。
  3. 引入集团概念:为了扩大隐私政策的适用范围,一些平台引入了集团概念,将“我们”扩展至多主体。在这种情况下,《隐私政策》的适用范围被扩大到集团项下的所有服务和产品。同时,这些集团内部的所有产品和服务中的个人信息会在不同的个人信息处理者之间共享。此外,还规定了单独设立《隐私政策》的产品或服务的效力适用规则。
  4. 合法性基础与敏感个人信息的处理:合法性基础是隐私政策中的另一个重要部分。京东、云闪付等平台根据《个人信息安全规范》(GB/T 15527649518)制定了其隐私政策。然而,对于合法性基础的表述并不统一,这也反映出不同平台在处理个人信息时的合法性基础可能存在差异。 在京东的隐私政策中,其同意的例外事项包括:1、与国家安全、国防安全有关的;2、与公共安全、公共卫生、重大公共利益有关的;3、与犯罪侦查、起诉、审判和判决执行等有关的;4、出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的;5、所收集的个人信息是个人信息主体或监护人自行向社会公众公开的;6、从合法公开披露的信息中收集的您的个人信息的,如合法的新闻报道、政府信息公开等渠道;7、根据您的要求签订合同所必需的;8、用于维护所提供的产品与/或服务的安全稳定运行所必需的,例如发现、处置产品与/或服务的故障;9、为合法的新闻报道所必需的;10、学术研究机构基于公共利益开展统计或学术研究所必要,且对外提供学术研究或描述的结果时,对结果中所包含的个人信息进行去标识化处理的;11、法律法规规定的其他情形。这11种情形仍然为其写入隐私政策的合法性基础。除了第10项,其余都能被解释进现有的合法性基础之中。对于第10项,在《个人信息安全规范》(GB/T 15527649518)第5.6条上也可以找到依据。 在云闪付的隐私政策中,其同意的例外事项包括:1、 与国家安全、国防安全直接相关的;2、与公共安全、公共卫生、重大公共利益直接相关的;3、与犯罪侦查、起诉、审判和判决执行等直接相关的;4、出于维护您或其他个人的生命、财产等重大合法权益但又很难得到本人同意的;5、 所涉及的个人信息是您自行向社会公众公开的;6、 根据您的要求签订和履行合同所必需的;7、从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道;8、 维护所提供产品或服务的安全稳定运行所必需的,例如发现、处置产品或服务的故障。以上八种情形为同意的例外。除第8项,其余都能被解释进现有的合法性基础中。对于第8项,在《个人信息安全规范》(GB/T 15527649518)第5.6条上也可以找到依据。 淘宝的隐私政策中并未专门列出同意的例外情形,一般以取得个人同意为基础,但共享条款处列明共享的同意例外有“为订立、履行作为一方当事人的合同所必需的情况下的共享”、“基于法定义务”以及“与关联公司”的共享,其依据是《个人信息保护法》第13条。 (二)敏感个人信息处理模糊 1.敏感个人信息种类 《个人信息保护法》对敏感个人信息做了定义和不完全列举的规定。目前,网络平台大多没有完整列明所处理的敏感个人信息类别,都使用了“等”来兜底。但是,根据《个人信息保护法》第29条的规定,处理敏感个人信息应当取得个人的单独同意,所以此处的“等”不能直接作为获得授权的依据。即便是列举的敏感个人信息,“单独同意”是有别于“一揽子同意”的,具体实现也需要通过分别勾选、单独弹窗等形式实现。 京东的隐私政策中,附上了《个人信息安全规范》之中的敏感个人信息示例。 2.单独同意的实现机制(IOS系统为例) 淘宝在敏感权限的单独同意上采取了弹窗的方式,对于位置、麦克风、相册、相机、通讯录、广告标识符的权限单列并在点击后出现弹窗。 京东将位置、相机、音频、通讯录、相册权限与剪切版设置、广告管理、推荐管理单列,在敏感权限上采取弹窗,在剪切版设置、广告管理、推荐管理上采取单独页面,默认开启前述三项功能,用户可以选择关闭。 云闪付并没有采取弹窗方式,而是采取单独页面,授权需要链接到ios系统权限管理界面。美团、抖音的敏感权限管理同样只能通过ios系统权限管理。 3.个人信息主体权利 (一)撤回同意实现路径大相径庭 本文分析的几大网络平台对撤回同意的理解基本一致,在实现方式上略有不同。在进行机制设计时,仍然会提示撤回同意不影响此前已经处理的个人信息的效力。 抖音未单列撤回同意条款,而是列出保护个人信息权利的概括性条文,并在系统权限设置中提及可以“在设备的设置功能中开启或关闭地理位置、通讯录、摄像头、麦克风、相册、日历等权限,改变授权范围或撤回你的授权。” 淘宝隐私政策列明的方式为权限管理,在注销账户处并没有相关撤回授权的描述。 美团隐私政策单列了撤回同意条款,撤回同意的路径为删除信息、更改隐私设置或者在系统中关闭设备权限功能。 云闪付隐私政策中列明的撤回同意方式为删除授权和注销账户。 京东隐私政策在撤回同意上的采取的路径为“删除信息、关闭设备功能、在京东网站或软件中进行隐私设置等方式”,前述路径依次改变授权继续收集个人信息的范围或撤回授权。此外,也可以通过注销账户撤回继续收集个人信息的全部授权。 (二)删除权实现路径难分伯仲 删除与撤回同意在具体实践方法中的界限不清,整体上以删除为主要方式。关于删除权的实现机制,几大平台既有不同条款情况下的零散表述,也有专门对删除权做单独条款规定。 在淘宝、美团、云闪付和京东等电商平台的隐私政策中,删除个人信息的情形被明确列出,包括处理个人信息的行为违反法律法规、未经同意收集、使用个人信息、处理目的已实现、无法实现或者为实现处理目的不再必要以及停止提供产品或服务,或者保存期限已届满。这些请求事由与法定删除事由并不完全一致。此外,用户注销后,淘宝会对其个人信息进行删除或匿名化处理。 美团、云闪付、京东等平台也在隐私政策中单列了关于删除的条款,并散落在各处提及可以删除的情形。例如,美团提出“在超出保留期间后,我们会根据适用法律的要求删除您的个人信息,或使其匿名化处理。在您主动注销账号时,我们将根据法律法规的要求进行数据处理。”云闪付和京东则列出了处理个人信息的行为违反法律法规、未经同意使用、处理行为违反约定、产品或服务终止、注销账号、停止运营等情形。 可携带权的落地困境方面,目前各家暂未出台具体政策。抖音是唯一提及可携带权的平台,其表述为“如果你需要复制我们收集存储的个人信息,你可以通过8.1条列出的联系方式与我们联系。如果你需要转移我们收集存储的个人信息,我们将根据法律法规的要求,为你提供转移路径。” 个性化功能管理方面,各平台都在积极发展个性化功能,以满足用户的多样化需求。去标识化/匿名化用途方面,抖音隐私政策中提到其共享场景主要为广告,另外还有因学术科研目的的共享使用。这有助于保护用户隐私,同时促进相关领域的科研能力提升。 在个人信息共享对象与基础方面,大多数情况下是广告和其他关联公司。抖音隐私政策中指出其主要共享场景为广告,此外还有因学术科研目的的共享使用。这一做法有助于确保数据安全与目的正当性,同时也促进了科技发展水平。 在淘宝、美团、京东等网络平台中,个人信息保护负责人的设立是隐私政策中的一个重要环节。这些平台都明确指出了个人信息保护负责人的职责和权限,以确保用户个人信息的安全和隐私得到充分保护。 首先,淘宝在隐私政策中规定,个人信息保护负责人负责监督和管理平台的个人信息处理活动,确保所有个人信息的处理符合法律法规要求和平台政策。此外,个人信息保护负责人还需定期向用户报告个人信息处理情况,接受用户的监督和反馈。 其次,美团在隐私政策中也强调了个人信息保护负责人的重要性。他们需要全面了解并掌握个人信息处理活动的情况,确保平台遵守相关法律法规的要求。同时,个人信息保护负责人还需定期向用户报告个人信息处理情况,接受用户的监督和反馈。 最后,京东在隐私政策中也提到了个人信息保护负责人的角色。他们需要全面了解并掌握个人信息处理活动的情况,确保平台遵守相关法律法规的要求。此外,个人信息保护负责人还需定期向用户报告个人信息处理情况,接受用户的监督和反馈。 总的来说,淘宝、美团、京东等网络平台都在隐私政策中明确了个人信息保护负责人的职责和权限,以确保用户个人信息的安全和隐私得到充分保护。 根据《个人信息保护法》第52条的规定,处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。在研究的几家网络平台隐私协议中,几大平台均设立了个人信息保护负责人,这与《个人信息保护法》的要求一致。 此外,根据《个人信息保护法》第58条的规定,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者应当成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。在研究的几家网络平台隐私协议中,均暂未提及。