Nova Kwok's Awesome Blog

对于微信「隐私政策」的一点小的发现

2021-09-05 更新,加入不同区域的 Weixin/Wechat 功能对比,来自:https://twitter.com/jike_collection/status/1434345153091674117/photo/1

我们知道,在中国大陆,很多地方都开始「微信化」,在前些年可能我们还能脱离微信活着,带来的损失也就仅仅是丢失一些只会用微信的联系人。

但是随着时间的推移,越来越多的服务开始依托这个难用的微信,无论是办公(企业微信)还是出行(车库出场扫码),微信带给部分使用者(企业管理,车库管理)的少量便利性已经开始慢慢变为强制大家将微信作为一个他们所宣传的「一种生活方式」的形式出现在自己的生活中。

处处要微信扫一扫,腾讯从垄断人的嘴,转变成垄断人的数字生活,最后升级成垄断人的一生。 最后由于一些莫须有的原因,一个微信号被封了,就相当于人权被剥夺…

微信的难用是有目共睹的,企业微信那文档质量也是大家懂的,微信小程序开发环境的蹩脚程度,可能相关开发者也所感触,不过本文并不想来过多地吐槽微信作为产品有多垃圾和反互联网化,我们来看看一个大家少有的关注点:「隐私政策」。

我知道你们注册任何东西的时候都不会仔细阅读那一行仅能看清的「我已阅读并同意「安全守护」用户协议 和 隐私政策」(可参考:「当代人最违心的话,是“我已阅读并同意隐私政策”_新浪科技_新浪网」),但是这个里面可能会藏有许多的坑和意想不到的事实,例如租车行业,可以参考之前我的文章「谈谈我对大陆分时租车的理解」,这种长期实名使用的玩意,还是多看一眼吧…

由于微信和我们的生活存在了一个相当强的耦合关系,很多时候没法直接剥离,所以有必要多了解一些政策机制,最近在一个好友分享给我了微信隐私政策的截图后,挖掘了一下微信隐私政策中一些或许值得我们关注的点,在此分享出来。

「微信隐私保护指引」和「WeChat 隐私保护概述」

第一点,微信(WeChat)有两套「隐私政策」,分别为:

通过下文的对比,上面两份「隐私政策」的面相对象应分别为:中国大陆用户和非中国大陆用户。

数据存放位置

在 「微信隐私保护指引」中,我们发现:

2.1 信息存储的地点

我们会按照法律法规规定,将境内收集的用户个人信息存储于中国境内。

而在「WeChat 隐私保护概述」中,我们看到:

我们在哪里处理您的数据?

我们的服务器设在加拿大安大略省和中国香港。我们还有遍布世界各地的支持、工程和其他团队,支持向您提供WeChat。我们可能会从这些位置访问您的数据。我们采取严格的内部控制措施,严格限定仅指定团队成员才能访问您的数据。

我们会将向您收集的个人信息传输至以下地点并在其中对信息进行存储或处理:

  • 加拿大安大略省(根据 2001 年 12 月 20 日发布的欧盟委员会第 2002/2/EC 号决议,认定此地点能为个人信息提供足够的保护级别);
  • 中国香港(我们依赖欧盟委员会关于向第三国传输个人数据的范本合同(即,标准合同条款),依据第 2001/497/EC 号决议(如果传输给控制者)和第 2004/915/EC 号决议(如果传输给处理者)。

我们的支持向您提供WeChat的工程、技术支持以及其他团队分布在我们遍布世界各地的办事处(包括新加坡、中国香港和荷兰),为了向您提供服务(例如,为解决您报告的技术问题),这些团队有时可能会访问您的某些数据。我们依赖欧盟委员会关于向第三国传输个人数据的范本合同(即,标准合同条款),依据第 2001/497/EC 号决议(如果传输给控制者)和第 2004/915/EC 号决议(如果传输给处理者)。

数据控制者

在 「微信隐私保护指引」中,并没有明确说明,这里参照文末的:

腾讯《隐私政策》是腾讯统一适用的一般性隐私条款,其中所规定的用户权利及信息安全保障措施均适用于微信用户。

找到:

中国广东省深圳市南山区科技园科技中一路腾讯大厦法务部数据及隐私保护中心(收)

而在「WeChat 隐私保护概述」中:

数据控制者:

  • 欧洲经济区和瑞士境内 的用户:Tencent International Service Europe BV.(腾讯国际服务欧洲私人有限公司)
  • 欧洲经济区或瑞士以外的用户(受以下条件的约束):Tencent International Service Pte. Ltd.(腾讯国际服务新加坡私人有限公司)

如果您符合下列条件之一:

(a) 通过绑定中华人民共和国(此处仅限“中国大陆”,不含港澳台地区)境内购买的手机号码进行注册(即使用国际区号 +86 的联系电话);或

(b) 就微信或 WeChat 与深圳市腾讯计算机系统有限公司 (Shenzhen Tencent Computer Systems Company Limited) 签订了合同(例如,您已从 PRC iOS 应用商店或 PRC Android 应用商店下载了微信或 WeChat),

您将受微信服务条款微信隐私政策的约束,而不受本隐私政策的约束。

数据保护官:

  • 电子邮件:[email protected]
  • 邮政邮件:26.04 on the 26th floor of Amstelplein 54, 1096 BC Amsterdam, the Netherlands

简单来说,你的数据取决于你注册微信时的手机号和所使用的软件版本,出于方便理解起见,我画了个图:

个人信息的使用期限

在 「微信隐私保护指引」中:

一般而言,我们仅为实现目的所必需的最短时间保留您的个人信息。但在下列情况下,我们有可能因需符合法律要求,更改个人信息的存储时间:

为遵守适用的法律法规等有关规定;
为遵守法院判决、裁定或其他法律程序的规定;
为遵守相关政府机关或法定授权组织的要求;
我们有理由确信需要遵守法律法规等有关规定;
为执行相关服务协议或本政策、维护社会公共利益,为保护们的客户、我们或我们的关联公司、其他用户或雇员的人身财产安全或其他合法权益所合理必需的用途。

当我们的产品或服务发生停止运营的情形时,我们将采取例如,推送通知、公告等形式通知您,并在合理的期限内删除或匿名化处理您的个人信息。

但是具体是多久,并没有说明,类似的问题在国内许多 APP 上都有体现,可以参考「个人信息保存时间的标准不明确或不合理,存储地域未告知」。

在「WeChat 隐私保护概述」中,则写的详细很多:

信息类型保留期限
注册信息:你的名字、用户昵称、密码、性别、IP地址直到您指示WeChat删除您的帐户或未登录时间到达 180 天。您的帐户将于验证帐户所有权与帐户删除请求后的 60 天内永久删除。
注册信息:用于注册微信账号的手机号码、QQ、Facebook、Google或邮箱帐户直到您指示WeChat删除您的帐户或未登录时间到达 180 天。您的帐户将于验证帐户所有权与帐户删除请求后的 60 天内永久删除。微信账号删除后,将保留聚合注册信息,以防止垃圾邮件,保障系统安全。
登录数据自登录之日起,信息保留 3 个月。
用户个人资料搜索数据直到您请求删除或修订个人信息,或者您的帐户被删除,以两者中时间较早的为准。
个人信息(所有用户均可查看)直到您请求删除或修订个人信息,或者您的帐户被删除,以两者中时间较早的为准(然而,缓存在第三方服务中的数据可能仍可用)。
个人信息 - 头像(所有用户均可查看)直到您请求删除或修订个人信息,或者您的帐户被删除,以两者中时间较早的为准(但是,若在第三方服务上缓存达60天,该信息则可能仍然存在)。
个人信息 - 名字(所有用户均可查看)在请求移除、修改你的信息或你的微信账号删除后(以较早发生者为准),信息最多会保留60天。
其他帐户安全直到您请求删除或修订个人信息,或者您的帐户被删除,以两者中时间较早的为准(然而,缓存在第三方服务中的数据可能仍可用)。
聊天 — 用户间的非持久性和半持久性通信数据自相关交互开始时间起保留 120 小时,然后会被永久删除。
聊天 - 图像、视频、音频和文件等方式数据自相关交互开始时间起保留 120 小时,然后会被永久删除。
联系人列表直到您请求删除或修订个人信息,或者您的帐户被删除,以两者中时间较早的为准。
基于位置的服务和基于位置的媒体数据自相关交互开始时间起保留 24 小时,然后会被永久删除。
朋友圈和收藏夹 – 数据和媒体直到您请求删除或修订个人信息,或者您的帐户被删除,以两者中时间较早的为准(然而,缓存在第三方服务中的数据可能仍可用)。
OpenID 和 Open ID 媒体(已提供给第三方)直到您取消关注第三方开发商的应用程序、公众号、小程序或类似程序,或者您的帐户被删除,以两者中时间较早的为准。
提供第三方产品和服务(即,您是公众号或小程序的提供商)直到您指示WeChat删除您的帐户。您的帐户将于验证帐户所有权与帐户删除请求后的 60 天内永久删除。请注意,披露给第三方的信息由第三方控制。我们将尽合理的努力谋求他们像我们一样删除此类信息。
提供给公众号/小程序的信息直到您指示WeChat删除您的帐户或撤销许可/取消关注此类第三方。请注意,披露给第三方的信息由第三方控制。我们将尽合理的努力谋求他们像我们一样删除此类信息。
提供给客户服务的信息直到您指示WeChat删除您的帐户。您的帐户将于提出帐户删除请求后的 60 天内永久删除。
元数据/日志数据数据自登录之日起保留 3 个月,然后会被永久删除。
设备数据直到您指示WeChat删除您的帐户。您的帐户将于提出帐户删除请求后的 60 天内永久删除。
社交联系信息直到您指示WeChat删除您的帐户或取消您的社交帐户与您的WeChat帐户的绑定。您的帐户将于提出帐户删除请求后的 60 天内永久删除。
Cookie数据自登录之日起保留 3 个月,然后会被永久删除。

数据共享方式

在 「微信隐私保护指引」中:

目前,我们不会主动共享或转让你的个人信息至腾讯集团外的第三方,如存在其他共享或转让你的个人信息或你需要我们将你的个人信息共享或转让至腾讯集团外的第三方情形时,我们会直接或确认第三方征得你对上述行为的明示同意。

我们不会对外公开披露其收集的个人信息,如必须公开披露时,我们会向你告知此次公开披露的目的、披露信息的类型及可能涉及的敏感信息,并征得你的明示同意。

根据相关法律法规及国家标准,以下情形中,我们可能会共享、转让、公开披露个人信息无需事先征得个人信息主体的授权同意:

1) 与国家安全、国防安全直接相关的;

2) 与公共安全、公共卫生、重大公共利益直接相关的;

3) 与犯罪侦查、起诉、审判和判决执行等直接相关的;

4) 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的;

5) 个人信息主体自行向社会公众公开的个人信息;

6) 从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道。

在「WeChat 隐私保护概述」中:

除非下文中另有规定或者您同意我们这样做,否则我们不会将您的个人信息传输给任何其他第三方。

我们会在具有法律依据和有效管辖权的选定接收方请求此类数据时与其共享您的信息。这些接收方的种类包括:

  • 政府、公共部门、监管、司法以及执法机关或机构:我们需要遵守适用法律或法规、法院命令、传票或其他法律程序,或以其他方式具有响应此类实体的数据请求的法律依据,同时请求实体具备有效管辖权才能获得您的个人信息;
  • 相关集团公司:我们会出于以下目的在我们的集团公司内共享您的个人信息,这些公司包括运行中国香港和加拿大服务器的 Tencent International Service Europe BV(在荷兰)、Tencent International Service Pte. Ltd(在新加坡)、WeChat International Pte Ltd(在新加坡)、Oriental Power Holdings Limited(在香港)和 WeChat International (Canada) Limited(在加拿大):
    • 向您提供WeChat、帮助我们实现上文"我们如何收集和处理您的信息"部分中所述的目的,以及按照《WeChat服务条款》或本隐私政策履行我们的义务和行使我们的权力;
    • 如果我们或我们的关联公司进行了内部重组,或者我们将WeChat或其任何资产卖给第三方,则后续运营WeChat的实体可能不再是我们,在这种情况下,我们会相应地转让您的信息,以便您能继续使用服务;

注销帐号的权利

在 「微信隐私保护指引」中:

6.5.1注销微信帐号

  1. 进入微信后,点击“我”;

  2. 点击“设置”;

  3. 点击“帐号与安全”;

  4. 点击“微信安全中心”;

  5. 点击“注销帐号”。

注: 当你注销帐号后,我们将删除或匿名化处理你的个人信息

在「WeChat 隐私保护概述」中:

您可以登录您的WeChat帐户并按照此处的帐户删除说明删除您的帐户,或移除某些个人信息。如果您认为我们应擦除我们所处理的任何其他个人信息,请在此处填写请求表。

在以下情况下,您可以请求我们擦除我们所持有的关于您的个人信息:

  • 您认为我们不再需要持有您的个人个信息;
  • 我们已获得您的同意可以处理您的个人信息而您撤销了这一同意(并且我们没有任何其他理由要求处理个人信息);
  • 您认为我们在对您的个人信息进行非法处理;或
  • 在我们收集您的个人信息时您未满 13 岁并且我们可以验证您的年龄。

另请注意,在我们考虑您的数据擦除请求时,您可以行使您的权利限制我们处理您的个人信息(如下文中所述)。

不过还请注意,如果我们有充分的法律依据(例如,为了就法律诉讼进行辩护、言论自由或一些其他法律义务),我们可能会保留个人信息,而如果属于这种情况,我们会通知您。

如果您已请求我们为您擦除我们已公开的个人信息且有擦除理由,则我们将采取合理步骤尝试告诉当前显示您个人信息或提供指向这些信息的链接的其他人也将其擦除。

如何分辨我们的数据在哪儿

2020-02-23 更新:感谢评论区的一些小伙伴,这里修正一下,应该会有一个或者两个链接显示,可能取决于 APP 下载渠道,之前误认为的没有显示可能是各别“全面屏”机型强制拉伸后被下方按键挡住。

不过,不同的注册号码似乎的确可以稳定复现打开不同的隐私政策。

由于变量较多,建议评论的伙伴们加入一些细节信息,比如:下载来源(国区AppStore/美区AppStore/GooglePlay/国产应用商店)、当前 APP 版本、注册号码(是否+86,是否欧盟区手机号)、目前号码。

很遗憾,除了上图以外,我们没有办法知道自己的数据属于哪一部分管理,不过这里分享一个发现的点,不一定正确,在「Wechat -> 设置 -> 隐私」页面的最下方,有两种不同的显示:

其中,在自己和朋友的测试下,对于只显示一个链接的用户来说,如果注册时使用的 +86 号码,无论之后如何调整,点开都是「微信隐私保护指引」的内容,而 +852 注册号码点开后为「WeChat 隐私保护概述」。

热心读者"季缶"分享了一下自己的情况:

可能通过判断打开链接后是「微信隐私保护指引」还是「WeChat 隐私保护概述」比较准确一些。我的一个小号,用 +86 注册,也有两个链接;主号用 +86 注册,后换成 +1,还是两个链接。不过这些链接点开都是「微信隐私保护指引」而不是「WeChat 隐私保护概述」,语言变更与否没有影响,供参考。

我们能做什么

可以参考:

我想中国人可以更加开放,对隐私问题没有那么敏感。如果他们愿意用隐私交换便捷性,很多情况下他们是愿意的,那我们就可以用数据做一些事情。

——李彦宏

我已阅读并同意隐私政策,了解如果不输入手机号,就用不了,输入手机号则表示同意注册协议,同意注册协议则表示公司可以推送各种广告,并理解自己的数据控制权在「Tencent International Service Europe BV.」,那么,腾讯微信是否会遵守GDPR呢?

#Chinese #Wechat