【VIP专属直播回看】薛颖:隐私政策难避坑? 资深法务带你扫雷!

 

隐私政策跟业务实践紧密契合

隐私政策的合规要求

隐私政策的开发路径-工作方法论,不止是写word

业务成熟化程度,同质化程度,隐私政策成本权衡,收集极度敏感……细化颗粒度

1.数据处理活动尽调

产品调研,摸排产品数据流,包括数据收集存储使用分享等数据全声明周期情况

基于前段业务的尽调披露

产品界面与流程设计方案

paper本身

律师可以做一部分工作

“在系统上获取了什么”

sdk第三方,委托处理?都是视为app服务方控制处理

机读语言变成法律语言尽调,业务披露

排除高风险

法务 业务 技术-多方交互过程

第三方接入列表

注销-属于合同终止?适合放在用户协议

cookie政策/说明,有的是单行链接,

出具产品端的设计方案,每个界面/环节,全流程文案都要有

更新后的生效,看更新了什么,保留历史版本?邮件短信重新授权?

详细还是简明,更符合透明度?

c端的数据收集,b端的数据流

工具 契机和视角 真正切入业务,过程中开展风险排查与合规治理

 

 

 

 

 

[展开全文]

隐私政策公法性质和私法性

增强认知 单方同意 有同意不同意 

满足透明性原则

 

隐私政策必须与业务相结合

[展开全文]

定义:明示其收集、使用信息的目的、方式和范围

目的:满足信息处理的透明度原则,获得数据处理的合法性基础

性质:公法和私法兼具;公法:to c 关于用户数据的数据处理陈述披露和说明书(产生用户投诉的诉讼时效的抗辩依据),履行数据控制者的合规义务(没有意思自治空间)私法:就用户信息使用和保护的承诺/披露,构成用户协议的一部分,有一定的自治空间

单独成文,逐项授权说明,动画视频展示落地弹窗告知,全面的隐私

以同意为正当性事由,确保获得有效“同意”的必要条件

b端:给友商看的权利边界书(对抗竞争对手数据滥用时的工具

g:应对监管和媒体监督的自证合规手段 写给监管看的披露保证书,最常见的审查入口

为什么不能抄:功能字段不一样(与技术代码契合)

合规要求:

场景一:产品入口环节的告知和同意,在基本业务功能告知前(读取信息前)推送,用户做出肯定性动作

场景二:产品内展示隐私政策/个人信息保护政策,进入产品后点击4次(含)以内,设置路径

场景三:文本页面(合适的字号、间距、当页链接、伸缩页面、单行静态页跳转)

场景四:集团多层级隐私政策 层级参引与展示

开发路径

覆盖的产品范围:单一产品或多款产品,是否可以共享?

可以参考的底稿

1-数据处理活动尽调(data Mapping)

进行产品调研,摸排产品数据流,包括数据收集、存储、使用、分享等数据全生命周期情况

主导:法务 相关方:产品经理 技术经理 箬方:信息安全管理员

2-高风险处理活动排查

排查整改不合规、非必要、高风险、敏感信息处理,必要时进行pia

3-隐私政策文本与界面与流程设计方案

提供产品个人信息保护政策的全套文件

提供产品页面pbd设计设计方案

 

 

[展开全文]
 
【VIP专属直播回看】薛颖:隐私政策难避坑? 资深法务带你扫雷! VIP专享
开通会员