随着法律法规的日趋完善,以及数字化程度的进一步深入,数据合规建设在近年成为焦点话题。随着这一趋势,36氪观察到,近期在国内市场上也出现了一批帮助企业进行数据合规工作的公司。比如36氪曾报道过的「数安信」,就希望依托自身的法律解读和IT技术能力,帮助企业进行数据合规。
36氪近期了解到,2022年11月1日,也就是《个人信息保护法》一周年时,「数安信研究院」发布了《企业应用程序(APP)隐私政策合规风险报告(2022)》。「数安信研究院」介绍,为评估各大企业在过去一年落实《个人信息保护法》及相关技术标准对APP收集使用个人信息方面的合规情况,其选取了15家企业的APP隐私政策文本及实际处理活动进行合规评估,形成此次报告。
研究院负责人介绍,该报告有以下几个特点:
1、梳理国内现行法律法规与相关技术标准对隐私政策的规范,总结实践中常见的8大风险项以及26个风险点。
报告评估的8大风险项分别为隐私政策文本规范、个人信息收集使用规则、对外共享、转让、公开披露个人信息规则、存储个人信息规则、用户权利保障机制、未满十四周岁未成年人信息保护、个人信息的跨境流动、隐私政策更新等方面。
摘自《企业应用程序(APP)隐私政策合规风险报告(2022)》表4部分页面
2、梳理选取的15款APP隐私政策文本对应的风险项及风险点,总结出实践中隐私政策文本风险频率出现较高的风险项及风险点。
报告梳理出15款APP出现的风险点数量,总结出现频率较高的风险点。其中与个人联系较紧密的“个人信息收集使用规则”以及“用户权利保障机制”是合规风险“重灾区”。“个人信息收集使用规则”合规风险表现为APP收集与其提供服务无关的个人信息、使用概括性语言综述所收集个人信息、收集敏感个人信息未单独告知;“用户权利保障机制”合规风险表现为撤回授权同意、获取个人信息副本以及关闭个性化推荐等功能界面设计不健全或不便捷。
摘自《企业应用程序(APP)隐私政策合规风险报告(2022)》图2页面
3、结合隐私政策文本风险频率较高的风险点,总结出15款APP在实际个人信息处理活动中是如何执行隐私政策文本规定。
报告重点分析了15款APP在“个人信息收集使用规则”与“用户权利保障机制”的合规情况。《个人信息保护法》强调收集使用个人信息时需遵循公开透明原则、最小必要原则、授权同意原则,部分APP收集与其提供服务无关的个人信息违反了公开透明原则,使用概括性语言综述所收集个人信息违反了公开透明原则,收集敏感个人信息而未告知违反了授权同意原则。
另外报告中还总结出隐私政策文本模版等内容,希望为企业提供合规参考。
课题组成员北京工商大学法学院张新宇副教授总结表示,隐私政策作为企业APP和网页端最常使用的个人信息授权文本,对企业在个人信息保护方面具有重要作用。它一方面可以向用户说明企业收集使用个人信息的规则,保障用户权利的有效实现,另一方面可以构成对企业自身行为的约束,也是企业获取用户授权的重要依据。但从现实情况看,相当一部分企业的隐私政策仍然不够规范,主要体现在隐私政策文本不规范、APP实际收集使用个人信息行为不规范、APP运营者对用户权利保障不规范等方面。本次以报告形式总结隐私政策模板以及模板,希望供各企业进行有益参考。
相关推荐
一轴全息:数据合规立法
安全行业月报 | “App个人信息保护合规评估工具”发布,多家安全公司完成过亿元融资
数据隐私管理服务平台「OneTrust」,为企业提供合规解决方案
如何让人工智能“负起责任”?盯住隐私合规
让数据合规流动,「富数科技」发布Avatar本地化安全计算平台
谷歌在欧洲被开天价罚单,出海企业如何合规“避险”
36氪首发|专注隐私合规管理,「凯馨科技」完成数千万元级别的Pre-A轮融资
税务合规,切莫轻视
灵活用工平台如何打造数据安全合规体系:风险评估与数据安全管理制度
这些APP在偷窥你的隐私
网址: 总结APP合规风险点,「数安信研究院」发布《企业应用程序(APP)隐私政策合规风险报告(2022)》 http://m.xishuta.com/newsview65577.html