隐私协议是告知用户网站或者移动端软件如何收集和使用用户信息和数据的文档。欧美国家一般有很硬性的规定,比如如果用户有13岁以下小孩应该怎么办,搜集医疗金融等相关信息应该怎么办。
而用户使用协议相当于是网站和用户之间的合同,比如知识产权归属,账号禁封权利等等。具体分析可以看我的附录2回答里面对于大众点评网站和APP用户使用协议的分析。
这两者是不同的东西,但是因为一般网站和APP都需要,很多人会混为一谈,甚至不合格的法务会把这俩写作同一类东西。
如何搜集,保护和保存个人信息需要详细写出来吗?
一般写隐私协议写到如何使用Cookie已经差不多了,这种文档是由法务和IT部门一起合作完成的,但是由我和软件工程师们沟通的经验来看,他们说的很多话我是不会写在隐私协议里的,因为用户也看不懂。要知道这份协议是面向大众的,而不是给专业人员去研究的,所以没必要披露的那么仔细。比较好的隐私条款应该和合同一样,简洁明了易懂但是重点都写到。
如何拟写一份隐私协议?
最后来总结一下我常用的一份checklist,感兴趣的可以上practical law company查看详细的内容,美国有个公司叫termsfeed专门帮人拟写隐私协议,大概100刀一份。
- 网站或者APP搜集哪些信息,如何搜集,为什么搜集这些信息,将会如何使用这些信息
- personal-identifiable information(可辨认私人信息?):例如姓名,家庭住址,电话,证件号,信用卡银行卡信息等等
- Non-personal identifiable information:搜索历史,设置喜好等等
- 法律法规要求 (这个在中国好像就是用“在法律法规及主管部门要求下”来概括,美国和EU就很复杂)
- 自动信息搜集:包括地理位置,设备信息,储存信息和文件等
- 信息搜集技术:Cookie和Web Beacon
- 第三方信息披露: 在什么情况下对第三方披露什么信息,这些信息由己方还是第三方隐私协议保护,第三方会如何使用这些信息等
- 披露搜集到的信息:在什么情况下公司有权披露用户信息,给哪些对象,做哪些用途
- 用户如何选择取消自动搜集功能,如何修改提供的信息,能否拒绝公司向第三方披露信息,如何通知公司消除个人信息等
- 数据安全:公司如何储存信息,信息会储存在哪里,一般储存多久,可否由用户通知公司进行消除等
- 未来修改隐私协议的通知方式