在众多企业都还只专注于产品开发的时候,360公司就已开展用户个人信息的保护工作。2012年,360公司正式宣布任命谭晓生为首席隐私官,成立了用户隐私审核部门,专门负责处理360软件产品可能涉及到用户数据的各项事务,包括制定公司的隐私政策,保证在收集过程中、收集后的用户数据的安全性,并透过《隐私保护白皮书》,使得360公司变得更加透明、公开。同时,360公司时刻关注个人信息保护相关法律的动态,在已做好充分的用户个人信息保护工作的基础上,更加清楚自己将从哪些角度对隐私政策的文本进行完善,更是躬行实践,以实际成果呈现在用户个人信息保护方面的投入与付出。
(一)文本完善
随着国家政策和法律对用户个人信息的重视程度逐渐增加以及360公司对自身的严格要求,360公司对内部产品的隐私政策不断进行修改和完善。旧版本的《隐私政策》内容繁复冗杂,不便用户阅读和理解。新版本内容更加完善充实,语言从旧版的晦涩难懂的偏技术说明转变成通俗易懂、可读性更高、更便于用户理解的详细介绍。隐私政策不存在暗藏格式,获取入口浅、位置清晰明显,用户可随时获取并阅读,其内容主要围绕360公司如何收集和使用、存储、共享、转让、公开披露、保护用户的个人信息、用户权利的维护、未成年人个人信息的保护、隐私政策的适用范围、隐私政策的变更和修订、用户意见反馈途径、政策的生效和生效版本等十个方面进行展开,内容结构清晰,语言简明易懂,便于用户阅读,及时知悉权利义务以及理解隐私政策内容。
在获取用户同意方面,当用户使用360产品时,360公司会以显着的方式告知并引导用户阅读每个产品的隐私政策,并获得用户明确同意。隐私政策新版本采取加粗及下划线的方式对需要用户注意的重点内容进行突出显示。用户可以更清晰快捷的了解文本中内容,也便于对突出显示内容的关注,通过此方式提醒用户关注文本中内容,利于360公司与用户达成用户个人信息保护的共识。
在文本中强调用户信息保护的相关内容,一方面提高用户个人信息保护的意识,并使得用户可以提前知晓自己信息的保护方式,对产品服务的保障有充分的了解。另一方面,也使360公司变得更加透明、公开,接受用户以及社会的监督、政府的监管,达到所声明的安全保护水平,并不断创新技术,完善制度,提高用户信息保护水准。
(二)产品功能实现
1、在个人信息收集时的增强式告知
在用户安装程序、首次使用产品或更新软件时,会以弹窗的形式明示用户360公司需要收集信息的类型和收集信息的用途,并告知、引导用户阅读产品《隐私政策》。在《隐私政策》中,严格遵循业务对用户个人信息收集的合理性、必要性和最小性原则,明示用户360公司所需收集的个人信息类型,以及所对应的核心业务功能,用户可以清楚的了解到个人信息会用于哪些用途,知晓自己的个人信息是否发生不正当使用。获取用户同意拒绝默认勾选的方式,需要用户主动作出是否“同意”的选择并继续使用产品,若产品功能增加,用户更新产品之后,会在用户初次使用新增功能时再次以弹窗或是手动输入、勾选的方式获取用户的主动同意,最大程度上的保护用户个人信息,同时增加了用户的主动性,如此,满足增强式告知的基本模型,有利于实现收集信息的合理合法。《隐私政策》的语言简洁精炼、可读性强,使得用户能够更直观、更容易、更充分地理解产品服务的功能,引导用户快速了解产品需要收集的用户信息类型,以及基于这些信息所提供的服务,如缓存清理、短信清理、垃圾清理、文件清理、隐私粉碎等多种手机内存清理服务,保障用户手机使用顺畅。
2、实现在线注销功能
为了实现用户在使用产品中的自主选择权,更好的保障用户注销账户的权利,360公司严格把控和审核所有产品中注销功能和途径的设计和呈现,保障用户可在线注销个人的权益。通常是在“个人”的“设置”中有“注销账户”的功能,按照指引流程即可完成在线注销。360公司在线注销功能做到流程清晰,操作方式简单易懂,并明示用户注销的结果和影响,做到保障用户权利的同时注重个人信息的保护。
重点·难点
在《隐私政策》撰写方面,360公司旗下的产品众多,产品的功能、形式多种多样,不同产品、不同功能所需要收集的用户信息各不相同,因此,针对不同的产品和功能,360公司设立的隐私审核部门都会单独针对该产品的功能需求规划并制定一个《隐私政策》,帮助用户在使用产品的过程中对其《隐私政策》有更好的理解。
在用户个人信息保护的落地实践中不断学习和总结经验,360公司独创出一套完整的用户个人信息保护体系和政策,如在产品(或服务)收集和使用用户个人信息的时候,遵循政策中“四不三必须”的七个规范,即:不该看的不看、不该传的不传、不该存的不存、不该用的不用、一切行为必须明示,尊重用户的知情权和选择权、必须经过用户许可、必须对收集的用户隐私信息负责,基于此规范的指导下,360公司落实为用户提供安全可靠的产品服务以及信息保护服务的宗旨和目标。
在对用户数据收集后存储过程中的保护措施方面,360公司在政策中不仅明确企业存储用户数据的方式和地点,更是向用户说明保护用户个人信息完善的机制和先进的技术。用户个人信息采用分级分层管理,并设置信息访问权限,做好访问日志记录和存储工作,做到有据可查;同时对信息进行强效加密,操作系统经过严格的安全加固以及不断进行升级,并成立信息安全部,有八十多人的工程师团队负责360公司的信息网络安全保障,建立了完善的安全开发全生命周期防护体系。
在用户数据共享方面,360公司在《隐私政策》中强调暂不涉及用户信息的跨境传输和存储,实现用户信息存储的本地化,以避免信息在传输中被盗取或篡改的风险。同时,若需和关联公司共享用户个人信息,360公司会明示用户并获得用户同意,且会和合作的第三方签订信息保护协议,并在信息传输的过程中采用高超的信息加密技术,保障信息安全。
