1月17日,南都個人資訊保護研究中心在北京召開了"2018個人資訊安全大會暨啄木鳥安全獎頒獎典禮",明知是唯一一家獲得這兩項大獎的公司。據了解,這是使用者首次從角度看待此次安全獎。
<h5>我知道我赢得了"Force Pulling The Rage"獎。</h5>
當天,知法門易凡分享了内部如何推廣隐私政策"逆風翻車、拉風"的經驗。2018年4月,據透露,隐私政策是在網上釋出的,導緻使用者因為不同意繼續使用該應用程式的條款而嘔吐。11月,它還更新了其隐私政策,将産品功能和以前的經驗相結合,在彈出頁面上引入了"僅限浏覽"模式。
在此模式下,如果使用者不同意隐私政策,他們可以繼續浏覽網站内容,收集到的資訊量最少,一個月後将删除該資訊。以一種更友好的方式,門說它從産品設計層面知道,讓使用者更好地控制他們的個人資訊。
<h5>包括The Knowledge在内的九家公司獲得了年度隐私政策透明度獎</h5>
在Meninga看來,使用者體驗和資料合規性不是兩選一的關系,而是資料合規性已經成為使用者體驗的一部分。她發現,在資料合規方面,法律不再是流程後端的合規審查員,而是一個真正的機會,可以站在業務的最前沿,甚至上司産品設計。
孟一帆認為,法律資料合規不僅要意識到技術的重要性,還要了解技術的局限性,一個有充分根據的資料合規要求,應該從産品的角度來表達,并基于技術所能達到的要求。
在裡面,門被技術部門的同僚描述為"行走的需求"。但是,經常被要求的法律官員很少遇到與程式員的"争吵"或與産品經理的争吵。秘訣是,"法律懂技術,産品經理停不下來,"挨家挨戶,"不想做産品經理的法律不是一個好的DPO(資料保護官)。
摘自《言語的本質》
這是我第一次登上這麼大的舞台,也許有人會問我,你的夢想是什麼?我的夢想是再也不會有隐私政策了。今天在這裡,我想和大家分享一下隐私政策兩次修改的經曆,從"踩坑"到倒車,以及我個人的一些想法。
<h2>了解隐私政策如何實作逆風?</h2>
自2016年歐盟通過GDPR以來,個人資訊保護的概念在中國引發了相對廣泛的思想啟蒙,并逐漸進入了我們網際網路法律界的眼界。從2017年開始,許多大型工廠都可以在網上看到隐私政策。然後,我們開始制定隐私政策,該政策于2018年初最終确定,并于2018年4月設計。沒想到上線,瞬間引爆了負面輿論。
當天12點.m,到.m 12點,有近100個關于該站的問題被問到,"你如何看待隐私政策?"如果你不同意,你怎麼看到你不讓你的隐私政策被使用?"
為此,我們整個法務部門連續兩三天,每天盯着車站的回報,來回答使用者的問題。8 月,我們再次更改了隐私政策。首先考慮的是産品功能,我們是一個内容平台,其實我們并不需要,也沒有收集到這樣的使用者資訊,是以我們開啟了一種浏覽模式,這樣使用者在向我們提供的資訊最少的情況下,就可以浏覽網站的内容,這些資訊我們也承諾在30天内删除, 其實,要做好更好的使用者資訊保護。
<h5>門一帆緻辭。</h5>
當我們改變它時,我們很緊張。它應該在8 p.m左右釋出,這次我們将Android版本與iOS版本分開。Android版本發的什麼都沒發現,一天後我們發了iOS版本,發後什麼都沒發,很開心。使用者非常贊同我們隐私政策的第二次更改,超過90%的使用者在第一輪的第一個界面中點選同意。
從産品設計層面,我們解決了使用者的輿情回報。這是我們兩次修改隐私政策的經驗,也是逆風翻車、拉動勢頭、實力的過程。
<h2>
您越是口頭上試圖使您的隐私政策更容易獲得,您的身體就越誠實,寫的時間就越長
</h2>
當法律界談論隐私保護時,我們在談論什麼?主要問題如下:
首先,什麼是隐私政策?當第一輪了解隐私政策的修訂時,有使用者表示,你們是一家網際網路公司,用什麼釋出政策?我們不需要一個名字來代替它,這樣就可以在更廣泛的語境中更好地了解它,特别是當普通使用者看到"隐私政策"這個詞時,是以我們在第二次調整中将"隐私政策"改為"了解個人隐私指南"。
其次,隐私政策究竟說了什麼?正如我在之前的研讨會中提到的,隐私政策的第一個版本不到6000字,隐私政策的第二個版本是16,000字,其中不包括cookie指南。我們談論的是使隐私政策更容易了解,但我們是誠實的,條款寫得越長,我們就越要寫它們。
最新版本的隐私政策,我們之前和之後都換了20稿,其實中間已經做了很多權衡,但還是保留了那麼多内容。由于我們對個人資訊保護的要求越來越高,希望給使用者更多的權利,而産品功能變得更加複雜,功能互相交叉,相關公司共享資訊的使用,使得這些内容顯然需要這麼多條款。
是以,現在看看隐私政策的增長趨勢是不對的,我們可以通過其他方式改進它嗎?事實上,如果我們能夠通過設計更好地實作隐私的理念,我們能否通過更透明的産品設計和更清晰的功能呈現,使資料一目了然地顯示和管理?那麼,我們的隐私政策難道不該寫這麼久嗎?隻是描述一些使用者看不到底層功能的資料情況,真的一目了然,容易了解。這是一個想法,下一步我們必須做相應的嘗試。
<h2>像"高空抛物線"這樣的個人資訊洩露案件,如何責怪扔東西的人?</h2>
第三,關于個人資訊與資料資産的關系,現在說個人資訊本身已經是企業資産的一部分。現在,我們對個人資訊的管理仍然主要集中在個人主體的層面上。事實上,大量收集個人資訊在一定意義上已經脫離了傳統民法在隐私、人格權這一範疇。
如果我們站在資料産業發展的角度,我們可能需要損害資料資産帶來的公共利益,進而為個人資訊的披露和擷取建立新的法律規範。但當然,這并不是說我們要利用公共利益來保護私法的權利,而是我們必須在更好的技術基礎上利用法律來處理和使用個人資料,最終目标是實作公私利益的平衡。
最後,在個人資訊洩露的情況下進行法律風險管理。最近,我們看到幾起個人資訊洩露案件的判決,法官采取了"高度隐蔽"的做法。一位律師朋友評論說,這個案子已經變得有點像高空抛物線。樓上掉東西的時候砸人了,不知道是誰扔的,這次該怎麼怪呢?建築物的居民獲得豁免的唯一方法是證明"那天我不在家"或"我家的窗戶被密封了"。
這個比喻是恰當的。當發生個人資訊洩露時,整個交易鍊中與資料接觸的每個機構都被懷疑,并且很可能是将東西扔下高處的人,那麼如果我們處于嫌疑人中,免除或減輕我們責任的唯一方法是證明我們的資料合規水準高于其他公司, 并且我們在整個交易鍊中都是無辜的,以擺脫懷疑。
<h2>不想成為産品經理的法律實踐不是好的DPO</h2>
現在,使用者體驗和資料合規性不再是兩選兩用的問題,資料合規性已成為使用者體驗的一部分。我們希望資訊在技術上得到充分的保護,并在法律上得到充分的保護。在過去的一年裡,我發現資料合規性(可能)是法律公司第一次有機會真正站在業務的最前沿,參與甚至上司産品設計。
"前南都學生說,希望我講述隐私政策在流程和産品經理、程式員鬥争的故事。事實上,我想說不,因為我們都是在尊重技術和關注技術的基礎上談論的。我一直認為,法律資料合規,首先要尊重技術,注重技術,有充分根據的資料合規要求,應該從産品的角度來表達要求,也應該是技術可以實作的,已經認真考慮過要求。
那麼綜上所述,法律工作在資料合規方面如何做好呢?有兩句話要給你,法律懂技術,産品經理停不下來。猿猴,真是太好了。
撰稿:南都記者李玲
攝影:朱方遠 張劉海新