首页 >  威科专题 > 专题查看

 

 

返回本专题首页

个人信息保存时间的标准不明确或不合理,存储地域未告知

网络运营者应告知用户数据保存期限或确定保存期限的标准,且个人信息保存期限应为实现目的所必需的最短时间。此次APP隐私政策调研发现虽然绝大多数APP的隐私政策包含个人信息保存期限条款,但仍然如下典型问题:1)隐私政策无数据保存期限无确定保存期限标准的条款的;2)未承诺个人信息保存期限为实现特定目的所必需的最短时间的(见下图示例1);3)确定个人信息保存期限的标准不明确未说明超过期限后的处理方式的(的见下图示例2);4)或规定个人信息最低保存期限不合理的(见下图示例3)。

  • 示例1
    “存储期限:除法律或相关法规另有约定外,我们在为提供我们的服务之目的所必需的期间内保留您的个人信息,但您要求我们立即删除或注销账户的、或法律法规另有规定的除外。对于已匿名化的信息的存储期限和处理,我们无需取得您的授权同意,也无需做出通知。”
    评论《个人信息安全规范》要求个人信息的保存时间应为实现目的所必需的最短时间,而本条款仅满足了提供服务之目的所必需的期间而未指出该期间还应是最短期间。
  • 示例2
    “数据保留期限:我们会采取合理可行的措施避免收集无关的个人信息。我们只会在达成本政策所述目的所需的期限内保留您的个人信息,除非您同意延长保留期或受到法律的允许。”
    评论同上。本条款未指出数据保留期限为实现所述目的的最短期间。此外,根据《个人信息安全规范》,超出个人信息保存期限后,应对个人信息进行删除或匿名化处理,本条款缺失超出数据保留期限后个人信息的处理规则。
  • 示例3
    “信息存储的期限  XXXXX平台会依照个人信息的不同等级存储不同期限,存储期限严格按照法律及相关法规规定,且保证最低期限不低于6个月。”
    评论“保证最低期限不低于6个月”明显与个人信息保存时间最小化要求相违背,“不低于”的表述方式导致难以确定个人信息存储时间,不利于个人信息保护。

隐私政策还应当告知用户数据的存放地域,如涉及向境外传输个人信息的,则应明确向用户告知个人信息出境的目的、接收方、安全保障措施等情况,并向用户征得同意。在所调研的近四十家企业中,不存在隐私政策撰写方式完全符合个人信息保存地点与传输规则的情况,有三分之一的隐私政策缺失数据存储地域条款,此外部分APP的隐私政策仅告知用户信息可能被存放于境内或境外,却未列明在何种情形下会将信息存储在境外(见下图示例)。

“如上所述,在某些情况下,本公司可能会将个人资料交托第三者服务供应商(包括中国境内外的服务供应商)保管,规定他们对个人资料保密以及只可将其用于本公司指定的用途。关于阁下个人资料披露和转移的进一步详情请参阅以下第6部分。”

评论本条款未详细说明需要数据跨境传输的情形及安全保障措施。如确实难以提前告知数据跨境传输情形的,至少应增加跨境传输单独征得用户授权同意的条款以及跨境传输的安全保证措施。