来源：南方都市报 

来自：南都新闻

滴滴出行作为一站式出行平台，为了给用户提供出行便利的需要，不可避免要收集部分用户信息。滴滴非常重视用户个人信息安全保护。

2017年6月1日，《网络安全法》正式实施，要求网络运营者收集、使用个人信息，应当“公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意”。2017年12月29日，《个人信息安全规范》发布，提出个人信息安全工作应遵循“目的明确”、“选择同意”、“公开透明”等基本原则，并且对网络运营者的个人信息保护工作提出更为细致的要求。

如何获得用户对企业收集使用个人信息的授权？制定平台隐私政策是目前企业普遍采取的方式之一。企业通过制定恰当的隐私政策，详细、充分地告知用户其收集、使用个人信息的状况，并经用户同意，是保障用户知情权的重要方式，也是保证企业收集使用个人信息合法性的必要措施。滴滴隐私政策尽量使用通俗易懂的语言、精炼的文字、清晰的架构，向用户展示滴滴平台个人信息安全保护现状。

隐私政策制定面临的困难

●《网络安全法》及《个人信息安全规范》出台前，大多数企业的隐私政策相对笼统，仅对企业收集使用个人信息的情况做概括性的描述，用户可能无法从中得到具体信息。《个人信息安全规范》出台后，对隐私政策的制定提出非常细化的要求，例如要求企业隐私政策内容应包括“各业务功能分别收集的个人信息，以及收集方式和频率、存放地域、存储期限等个人信息处理规则和实际收集的个人信息范围”。滴滴出行平台同时为用户提供“出租车、专车、快车、豪华车、小巴、顺风车、公交、代驾、单车、购买保险、办理银行卡、手机充值”等种类众多、模式各异的服务，如要详细梳理各业务功能分别收集的个人信息，需要从产品、到研发、到运营等多部门共同协作，如何高效及时的更新隐私政策相关信息，是摆在隐私政策制定面前的第一道难题。

●互联网企业通过互联网技术为广大用户提供服务，在提供服务的过程中通过技术手段来收集用户信息，有时候收集用户信息的技术方式甚至决定着个人信息收集的法律定性。比如当下很多A PP不仅提供本平台服务，还提供第三方服务链接，因第三方服务链接方式的不同，当我们通过A PP使用其他第三方服务的时候，我们的个人信息可能会有多种走向，如用户个人信息同时进入两家企业的服务器，则为两家企业同时收集用户个人信息，不涉及用户信息的共享。如用户信息仅直接进入A PP所属企业的服务器，再由这家企业将其提供给第三方，那么A PP所属企业就不仅涉及用户信息的收集，还涉及用户信息的共享。类似的例子还有很多，互联网企业信息的收集原理复杂多变，而执笔隐私政策的企业法务往往对技术了解不够深入，是互联网企业隐私政策制定的又一道难题。

●互联网平台服务种类众多，隐私政策内容如包括“各业务功能分别收集的个人信息，以及收集方式和频率、存放地域、存储期限等个人信息处理规则和实际收集的个人信息范围”，不可避免造成隐私政策篇幅过长，增加用户阅读时间。如何在内容详尽的基础上，保证隐私政策的可读性，是隐私政策亟待解决的问题。

滴滴实践

机构设置

滴滴在公司内部成立个人信息安全保护委员会，负责制定公司的个人信息保护工作策略，建立健全和落实个人信息保护的各项规章制度，组织协调相关部门开展个人信息保护工作。个人信息安全保护委员会下设个人信息安全保护工作组，工作组成员共来自公司8个部门，主要负责公司个人信息安全保护政策法律解读、保护方案设计、产品安全评估整改、个人信息安全培训宣贯等工作。个人信息安全保护委员会+工作组的设置，很好地解决了个人信息安全保护工作的资源调动和不同部门的日常交流问题。

制度保障

滴滴通过不断完善的制度设计，使个人信息安全保护理念深入员工思想，贯穿产品设计始终，使个人信息安全保护工作常态化。

滴滴制定了《滴滴出行个人信息保护制度》，对生产运营过程中涉及到的个人信息收集、使用、安全保护措施、紧急事件预防及处理流程、培训与教育、监督检查、法律责任和处罚措施等做了详细规定。特别是应对信息泄露等安全危机事件，公司特别制定了应急处理预案。

例如，滴滴对所有数据(包括个人信息)的调取和对外提供，建立严格的审核审批制度，审批流程涉及4个部门，需2位以上数据安全委员会成员同时批准方能实施，且数据对外提供时必须加密。

新项目、新系统上线前对数据安全(包括用户个人信息数据)进行项目风险评估。

公司内部主动邀请国内权威评测机构，对滴滴出行A PP开展自查评测工作，并建立了以半年为周期的自查评测机制。

滴滴与全体员工签署保密协议，并严格按照工作职责分配数据访问权限。定期开展面向公司全体员工及外包服务人员的信息安全教育及培训。

隐私政策

滴滴选择在用户下载滴滴出行A PP后、首次登录时，以弹窗方式简要提示隐私政策核心内容，提供隐私政策链接，提示用户仔细阅读，由用户手动选择是否同意隐私政策。滴滴同时取消平台各项协议的默认勾选，所有协议均需用户手动点击“同意”或主动勾选。

为方便登录后的用户能够更加便捷地找到平台隐私政策，滴滴不仅提升了隐私政策入口级别，同时还为隐私政策提供双入口展示。用户点击侧边栏“设置”后即可看到“法律条款与隐私政策”。或上滑侧边栏，即可直接在侧边栏底部看到“法律条款与隐私政策”。

滴滴隐私政策共分为十章，包括个人信息的定义，个人信息的收集，设备权限调用，个人信息的保存，使用，共享、转让、公开披露，用户权利，您共享的信息，未成年人保护，隐私政策变更，覆盖个人信息处理的全流程，篇幅长达一万余字。在这种情况下，为保证用户能够迅速找到想要了解的内容，滴滴隐私政策首部的目录，并非简单的标题列举，而是以简短的语言，说明每个章节的主要内容，帮助用户了解隐私政策整体结构，并准确找到想要了解的内容。

滴滴隐私政策响应《个人信息安全规范》要求，将滴滴出行A PP众多功能分为核心功能(包括创建账号并完善资料，出租车、专车、快车、豪华车、顺风车、代驾、租车服务，交易支付，数据分析及产品开发等)、附加功能(包括用户评价，客服服务及运营活动等)及第三方服务(包括共享单车，保险，办理银行卡，办理手机卡，手机充值、充流量，理财服务，获取周边优惠，积分商城等)。并区分各项功能分别说明滴滴收集哪些个人信息、收集个人信息的目的、用户拒绝滴滴收集个人信息可能导致的结果，进行了深度、全面的披露，以保证用户知情权。且当用户拒绝附加功能收集个人信息时，只会导致无法使用该附加功能，不影响用户使用滴滴出行核心功能。

隐私政策以图表方式列举滴滴出行可能会调用的设备权限，调用权限对应的业务功能，调用权限的目的，以及调用权限前询问的情况，让用户一目了然。

滴滴隐私政策承诺“本公司将采用严格的安全制度以及行业通行的安全技术和程序来确保您的个人信息不丢失、泄露、毁损或被未经授权的访问、使用”，并详细介绍了滴滴采取的安全保护措施，如：“用户个人信息被加密储存在服务器中，并通过数据隔离技术进行存储”“数据传输过程中使用加密传输协议”“严格控制数据访问权限，设立完善的敏感数据访问权限申请、审批制度”，“建立数据安全监控和审计制度，进行全面数据安全控制”。

滴滴隐私政策详细介绍了用户访问、更正、删除个人信息，或撤回授权的方式。用户可以通过滴滴出行APP侧边栏的“账户”、“行程”、“钱包”、“设置”等功能访问个人信息，或进行编辑更正，或进行删除。滴滴为用户提供账号注销功能。用户点击A PP侧边栏“设置”-“账号与安全”-“注销账号”，即可注销其滴滴出行的账号。