公民的法鎚：隐私政策

隐私政策，并不能做成一个企业的判断标准。现在是 AI 高科技时代，如果大家要判断一家公司是好是坏，必须要用 AI 去评判、去审查，去看他们的留言，去看他们的一切。你可以用各种 AI 去调查一家企业。现在的所有企业都是不讲武德的，完全不按照游戏规则来，隐私政策只能「束缚君子，防不了小人』，所谓隐私政策、所谓隐私规范都是虚的，因为“赤马红羊劫”，报应该来的总是会来。你不需要成为律师，你也不需要成为多大的人。欧洲的 GDPR 就是各种企业搞了什么小心机。你只需要会用 AI，把所有资料、全部聊天记录复制贴上去，你就可以明白一切。

如何阅读隐私政策 | Proton Mail | Proton

原文链接： https://proton.me/blog/how-to-read-privacy-policy

隐私政策阐述了组织如何收集和保护您的个人信息,但鲜有人会阅读。本文将为您讲解如何快速检视隐私政策,以重新掌控您的数据。

当您上次在线购物时,您或许瞥过使用条款,哪怕只是为了确认配送或退货细节。但您读过隐私政策吗？如果没有,您并非个例。我们将阐述为何您应当阅读,以及如何找出细节中的魔鬼,从而保护您的隐私与安全。

什么是隐私政策？

隐私政策(亦称为隐私声明)阐释了某组织如何收集、存储及使用您所提供的个人信息。大多数网站都必须说明其如何处置您的数据,以履行法律义务,例如欧盟的《通用数据保护条例》(GDPR)（新窗口）。

隐私声明与使用条款共同构成了捍卫您基本隐私权的重要法律文件。那么,为何在对网络隐私的关切日益增长之际,美国仅有 9% 的成年人表示其始终阅读公司的隐私政策（新窗口）？

为何人们忽视隐私政策

隐私政策通常篇幅冗长、措辞拖沓,且出了名地难以理解,正如《纽约时报》隐私项目（新窗口）所展示的那样。面对密密麻麻的法律术语,大多数人甚至不会尝试去读。

对许多公司而言,这正是其意图所在。它们有意将政策写得如此,以赋予自身处置您数据的最大自由度。它们往往希望兑现利益,将您的个人详情出售给第三方广告商与数据经纪人,同时让您难以选择退出。

但您的数据将遭遇何种命运,这是您的选择。您只需充分理解这些隐私声明,即可做出该选择。

为何您应当阅读隐私政策

我们对使用条款与隐私声明的盲目接受,正是肖莎娜·祖博夫所称监控资本主义（新窗口）的核心所在。您给予了"同意",尽管您几乎未曾阅读或理解同意的内容。随后公司便可肆意滥用您的数据——这对您与社会都将产生重大后果。

对您而言,心理剖析（新窗口）与日益精密的定向广告意味着的绝不仅仅是您收件箱中恼人的垃圾信息。其意在预测乃至可以说控制您的行为方式以及您在生活中做出的选择——布鲁斯·施奈尔将其称为基于监控的操纵（新窗口）。

对整个社会而言,剑桥分析丑闻（新窗口）揭示了此类个性化定向如何有可能破坏我们的自由与民主。"'个性化'听起来像是贵宾待遇",卡丽莎·维利兹在《隐私即权力》一书中（新窗口）论述道,"直至您意识到这是一个用于描述旨在篡改您独特心智之技术的术语"。

阅读隐私政策是您可以反击的一个虽小却意义重大的方式。首先,您需要确定某组织将收集何种个人数据,以及其将用这些数据做什么。

其次,其是否提供退出这种数据收集的途径？或者是否存在限制与第三方(如数据经纪人与广告商)共享信息的选项？

第三,其如何保障您个人信息的安全是否清晰明了？这些信息是否在各处均得到安全加密？他们将保留这些信息多长时间？

总体而言,注册是否值得冒此风险？您泄露的个人数据越多,您成为数据泄露或身份盗窃（新窗口）受害者的可能性就越大。

最重要的是,在您点击"同意"之前检查隐私政策。而如果其根本没有隐私政策,就此止步。

（新窗口）

在隐私政策中应关注什么

让我们面对现实：除非您是律师,否则您可能既无法律知识,也无时间逐字逐句地阅读隐私声明。那可能会把您逼疯。

因此我们将专注于 10 个关键问题,并建议您可以通过浏览政策来解答这些问题的方法。

1. 哪部法律规制我个人数据的处理？

首先,您需要了解该组织是否受到强有力的数据保护立法的约束,该立法将赋予您某些权利,而隐私政策应当明确说明这些权利。例如,如果该组织位于欧盟成员国,或处理欧盟境内人员的个人数据,则大多数情况下将适用 GDPR。

该政策是否说明了何种法律管辖该隐私政策？(关于 GDPR 以及美国和英国法规的更多信息,请参见下文的法律常见问题解答。)

2. 他们收集哪些个人数据？

组织可以收集一系列个人信息,从您的姓名和地址到您的银行详情与物理位置。

他们是否列出了所收集的个人信息？所收集数据的类型与数量对于您所注册的产品或服务而言是否恰当？

3. 他们如何收集您的个人数据？

组织可以通过两种主要方式收集您的数据：

您在注册或下订单时提供详细信息。
他们使用 Cookie 或其他追踪技术来追踪您的购买与浏览历史,这可用于构建关于您的更详细画像,以便与广告商或数据经纪人共享。

他们是否清楚地描述了如何收集信息、使用了何种 Cookie 或其他追踪技术,以及您如何选择退出？(他们可能会将您引导至单独的 Cookie 声明。)

4. 他们如何使用您的个人数据？

其对您数据的处置有时被称为"处理"或"处理活动"。他们应当列出其将您的个人信息用于何处,例如：

履行您的订单并管理您的账户
就其服务的更新与您联系
就产品或服务的特别优惠向您发送电子邮件

他们是否明确说明了将如何使用您的数据？依据 GDPR,营销通讯需要您的同意,因此他们应当为您提供简便的方式选择加入或退出营销电子邮件。

5. 使用您个人数据的法律依据是什么？

他们应当解释"处理"您数据的"法律依据"。依据 GDPR,两种最常见的依据是：

合法利益：大多数人会认为合理的事项,例如保护用户或防止欺诈
同意：当您明确同意某事时,例如接收营销电子邮件

他们是否说明了以不同方式使用您数据的法律依据？如果是您的同意,他们是否解释了如果您改变主意,如何撤回同意？

6. 他们与谁共享您的个人数据？

可以访问您数据的各方有时被称为"处理者"与"分处理者"。这些可能是服务提供商(如会计师或独立承包商)、公司的关联方或子公司;或第三方广告商或数据经纪人。

他们是否明确说明了谁有权访问您的数据？如果他们与广告商或数据经纪人共享您的信息以向您投放"个性化"或"基于兴趣"的广告,他们是否为您提供了便捷的退出方式？

7. 他们将如何保障您的个人数据安全？

隐私声明应当描述其将在何处存储您的数据、其是否可能将数据转移至国外,以及用于保护数据的安全措施。

他们是否详细说明了将如何以及在何处存储您的数据？他们是否解释了您的数据是否以及何时将被加密？

8. 他们将保留您的个人数据多长时间？

组织应当在尽可能短的时间内保留您的数据。隐私政策应当解释其计划保留您数据的时长,包括任何迫使其在固定时间内保留数据的法律义务(例如,出于税务或反欺诈目的)。

他们是否解释了为何以及将在删除数据之前保留数据多长时间？

9. 您能否更正或删除您的数据？

GDPR 的一项基本要求即所谓的"被遗忘权"：您有权访问和删除您的个人详情。

您能否随时向该组织请求您的个人数据,并要求对其进行更正或永久删除？他们是否解释了如何做到这一点？

10. 如果他们更改隐私政策,您将如何得知？

随着产品与情况的变化,隐私政策应当定期更新。

他们是否说明了将如何让您知晓政策的变更,以及如果您不接受这些变更,如何选择退出？

如何快速审查隐私政策

不要尝试逐行阅读隐私政策。以章节标题为导引,浏览全文以找到上述主要问题的答案。

找到您需要更详细阅读之段落的最简便方法,是搜索以下关键词(在 Windows 或 Linux 计算机上按 Control+F,或在 Mac 上按 Command+F):

share(分享)：他们与谁共享您的个人数据以及为何共享？
third parties(第三方)：哪些第三方——分包商、关联方、广告合作伙伴与数据经纪人——有权访问您的数据？
control(控制)：您对所共享的数据拥有何种控制权？
consent(同意)：他们是否明确说明了哪些共享需要您的批准？
choice(选择), opt out(退出)：您有哪些选项？您如何选择退出营销电子邮件与电话,或停止与第三方共享您的数据？
cookies：他们使用了何种 Cookie 或其他追踪技术？您能否阻止第三方在您的设备上放置 Cookie？
retain(保留), correct(更正), delete(删除)(或 erase(清除))：您是否有权请求您的个人信息并将其删除？
store(存储), storage(存储), encrypt(加密)：他们将以多安全的方式存储您的数据以及存储多长时间？
right(权利)：您的权利是什么,尤其是在数据共享与删除方面？
contact(联系)：您可以联系谁来投诉其对您数据的处理方式？

为帮助您决策,您可以在Terms of Service; Didn't Read (ToS;DR)（新窗口）上搜索,以大致了解许多公司的隐私惯例。

同意,还是不同意,这是您的问题

现在您已阅读或浏览了隐私政策,在决定是否接受之前,以下是一些最终思考。

首先,不要被"我们不出售您的数据"的虚假声明（新窗口）所愚弄。虽然某组织可能不会直接出售您的数据,但如果他们使用个性化广告,其他公司将能够为广告付费,并以此换取您的个人信息。

其次,谨防含糊措辞。如果一家公司不断谈论其"可能"或"或许"会对您的数据做什么,请三思是否要将自己托付给这样一家对您隐私如此漫不经心的公司。

最后,借鉴 Proton 法务主管马克·勒贝肯的建议,他在阅读(或撰写)隐私政策时有一条黄金法则："说您所做。做您所说。"

该组织是否真诚地试图解释其所作所为,定期更新其隐私政策并践行其内容？或者他们拥有一份陈旧、不透明的隐私声明,以及可疑的数据共享与安全漏洞历史？如果是这样,请再三思量。

如果您致力于重新掌控您的个人数据,您也可以使用我们的免费加密Proton Mail来保护您的电子邮件安全。在 Proton,我们的使命是创造让每个人都能始终在线安全并掌控自己信息的方法,因此请加入我们。携手共进,我们可以构建一个以隐私为默认的互联网。

隐私政策法律常见问题解答

GDPR 是《通用数据保护条例》（General Data Protection Regulation（新窗口））的简称,是欧盟的数据保护法律,于 2018 年生效。它规定了公司应当如何保护与保障个人数据,包括对隐私政策的要求(见下表)。任何处理欧盟境内人员个人数据的组织,无论该组织位于世界何处,都必须遵守 GDPR。如需更多详情,请参见我们的《GDPR 合规完全指南》（新窗口）。

美国没有与 GDPR 等效的联邦法律,但各州已开始通过类似的数据保护立法,例如《加州消费者隐私法》（新窗口）。有关美国法规的更多信息,请参见《美国隐私法完全指南》（新窗口）。

是的,英国在脱欧后以一部被称为《英国 GDPR》（新窗口）的国内法律保留了 GDPR。

检查您的权利：规制隐私政策的主要 GDPR 条款

GDPR 条款标题涵盖主题第 5 条个人数据处理相关原则（新窗口）规定了总体原则：您的个人数据应当如何透明地为特定、合法目的进行处理,并在有限时间内安全存储。第 6 条处理的合法性（新窗口）解释了合法处理您数据的六项依据,包括"合法利益"与"同意"。第 12 条透明信息、沟通以及数据主体[您]行使权利的方式（新窗口）规定了隐私政策的要求,尽管其未明确使用该术语：组织必须如何"以简洁、透明、易懂且易于获取的形式"阐述其隐私惯例。第 13 条数据主体[您]直接提供个人数据时应提供的信息（新窗口）描述了当您直接提交个人详情(例如通过填写表格或下订单)时,组织应当向您提供何种信息。第 14 条未从数据主体[您]处获取个人数据时应提供的信息（新窗口）描述了当组织收集您未直接提交的关于您的详情(例如通过追踪您的购买历史或浏览活动)时,应当向您提供何种信息。第 15 条数据主体[您]的访问权（新窗口）您有权访问某组织持有的关于您的个人数据并获取副本。第 16 条更正权（新窗口）您有权让组织更正其持有的关于您的个人数据。第 17 条删除权("被遗忘权")（新窗口）您有权让组织永久删除其持有的关于您的个人数据。第 18 条限制处理权（新窗口）您有权限制组织对您个人数据的处理方式。

我们深入剖析了 Dropbox 隐私政策——结论令人担忧 | Proton

原文链接： https://proton.me/blog/dropbox-privacy

Dropbox 是全球首家主流云存储服务提供商，至今依然是该市场的最大玩家，截至 2022 年已拥有 7 亿用户（新窗口）。我们对 Dropbox 的隐私政策进行了深入剖析，以检视该公司究竟如何保护这数亿用户的个人数据。

结果表明，其中存在诸多严重问题。Dropbox 不仅收集了大量关于用户的信息，还可以将这些信息分享给任何其希望分享的对象，包括商业合作伙伴与执法机构。成为 Dropbox 用户，意味着将数据的相当部分控制权让渡给该公司。

本文将对 Dropbox 隐私政策进行拆解分析，并阐明我们的私密替代方案 Proton Drive 在本质层面上的差异所在。

审视 Dropbox 的隐私状况

Dropbox 隐私政策（新窗口）实质上分为两个部分：第一部分描述该服务所收集的数据类型，后续部分则列举 Dropbox 可能与之共享用户数据的所有实体。值得一提的是，Dropbox 以任何人均可理解的方式清晰阐述了所有条款。另有一份常见问题（新窗口）页面对特定议题做出了更深入的说明。

Dropbox 收集何种数据

隐私政策中首先引人注意的，便是 Dropbox 所收集信息量之巨大。除用户的电子邮箱地址——这是网络身份的核心组成部分——之外，Dropbox 还会收集用户的姓名、电话号码、实体地址以及支付信息。

Dropbox 还会收集并存储与用户所上传文件相关的数据，在政策中称为"您的资料（Your Stuff）"。这包括文件大小、上传时间与地点、文件共享对象——Dropbox 同样会收集用户联系人列表的相关数据——以及文件内部的一切操作活动。

事实上，"文件活动"在隐私政策中单独成节，其原因一目了然。Dropbox 似乎对用户针对文件进行的几乎所有操作均予以记录。无论是创建、编辑还是共享等行为——一切都被记录于某处，供 Dropbox 使用。

最后，Dropbox 还会收集大量关于用户访问该服务所使用设备的信息，以及用户的 IP 地址（新窗口）——这是一种可协助确定物理位置的唯一标识符。尽管此类收集可能存在合理用途（如故障排查），但 Dropbox 预先性地收集这些信息的做法仍显得异常。

尚有其他内容，但以上似乎是 Dropbox 针对其客户所收集的主要数据点。然而，该公司究竟如何处置这座数据宝库？

Dropbox 如何处置这些数据

Dropbox 声称其不向广告商或第三方出售用户数据。

然而，这并不意味着其不会共享这些数据。

最令人震惊的是接收用户数据的第三方之数量与类型。其中包括多家在隐私保护方面记录极度不佳的公司，如 Google、Amazon 与 OpenAI。

在 Dropbox 所提供的服务语境下，其中部分合作尚属合理，例如客户支持门户 ZenDesk、支付服务商 Stripe，乃至可能托管 Dropbox 服务器的 Amazon Web Services。然而，也有部分合作应当令任何人再三斟酌，例如 Google——一家以数据销售为核心商业模式的公司。

其他知名度较低的公司还包括 Kissmetrics（为广告商提供数据分析）与 OpenAI——即 ChatGPT 的开发公司，该公司以在用户隐私问题上投机取巧而著称。

然而这还远非全部。作为总部位于美国的企业，Dropbox 必须遵从美国搜查令及其他司法命令，而这些命令可能具有保密性质（新窗口），且往往极易获批（新窗口）。这意味着用户数据可能在极其牵强的借口下遭到查封。因此，Dropbox 收到了大量来自执法部门的请求（新窗口）。

然而情况更为严峻：Dropbox 还明确表示，其完全乐意依据自身判断主动向当局提供数据。所有云服务在收到搜查令时均被迫配合执法机构，而 Dropbox 则白纸黑字地表明其将自愿提供信息。难怪爱德华·斯诺登将其称为"渴望成为 PRISM 合作伙伴者（新窗口）"。

对消费者的意义

Dropbox 并未将自身标榜为隐私服务，但即便考虑到这一点，其所收集数据之庞杂、共享范围之广泛依然令人震惊。该公司几乎掌握了关于用户的一切可能掌握的信息，并且毫不吝惜地将其分享给营销人员——既包括其自有营销体系，也包括第三方。

更糟糕的是，该政策还明确表示将出于"公共利益"向警方共享数据，而这一措辞极度模糊，足以为任何情境提供正当性理由。我们唯一能够确定的是：依据 Dropbox 的逻辑，隐私并不属于公共利益的范畴。

使情况进一步恶化的是，为了收集所有这些数据，该公司实际上削弱了用户的安全性。若要追踪用户在平台上的操作，必须能够解密其文件。换言之，Dropbox 并未采用端到端加密——这是最安全的数据保护形式。这种对安全性的漠视已导致一系列 Dropbox 安全事故接连发生。

即便用户对 Dropbox 知悉其私密数据并无异议（而这本身便令人费解），这种做法同时导致其不安全的事实亦应令人警醒。

一种私密的 Dropbox 替代方案

我们开发 Proton Drive 的目的，在于为社区提供一项真正重视用户隐私的安全云存储服务。与 Dropbox 不同，用户的隐私并非我们可以随意剥夺之物——它是默认内置的。

例如，我们不会收集关于客户的过多数据。我们掌握用户的电子邮箱，若用户升级订阅方案，我们还会掌握支付信息，仅此而已。（用户可在我们的隐私政策中了解我们如何将数据收集降至最低限度。）我们对持有这些数据本无兴趣，因为我们的商业模式建立在向客户提供私密且安全服务的基础之上。我们完全依靠社区资助，因此无需向广告商出售数据。

由于总部位于瑞士，我们受瑞士隐私法管辖——这是全球最严格的隐私法律体系之一，这也使我们受执法命令约束的风险大为降低。

即便我们有意访问或共享用户数据，我们也无能为力。Proton 在所有应用程序中均采用端到端加密。这意味着用户文件在上传至我们的服务器之前，就已在其设备上完成加密。这不仅保护了用户隐私，也确保了即便发生数据泄露，黑客亦无甚可窃。

所有这一切，都是我们构建更美好互联网这一使命的组成部分。若这些理念以及一个更安全、更私密的云存储替代方案正是您所期望参与之事业，欢迎创建免费 Proton Drive 账户并加入我们。