近日更新iOS 17时,弹出了个人信息跨境传输的单独同意提示框。
这个弹窗语焉不详,不知道到底在iCloud中存储的哪些个人信息为了什么会被提供到境外的哪些主体。研究一番,结论依然是:不清楚。
【出境目的模糊】为向您提供产品及服务,如管理订阅、保护服务安全和防止欺诈
【字段不清】用于改善服务的使用分析数据/改进 iCloud 的分析数据/您的个人信息
【接收方未穷尽列举】境外接收方是Apple集团中各个实体及聘请的第三方服务商,明确列了1家(Apple Inc.),推理可知2家(苹果分销国际有限公司和苹果公司),具体多少家未知。
大概率无法满足《个人信息保护法》第39条个人信息出境的告知同意要求。
一、云上贵州和Apple什么关系
2018年,苹果曾发布公告,中国内地iCloud服务由云上艾珀(贵州)技术有限公司(“云上贵州”)提供。
根据《iCloud(由云上贵州运营)条款和条件》:“你与云上艾珀(贵州)技术有限公司之间签署的这份法律协议用于管理你对 iCloud 产品、软件、服务和网站(统称为“服务”)的使用”,该用户协议的双方是用户及云上贵州。
而苹果在iCloud服务中的定位为:
苹果技术服务(贵州)有限公司或苹果技术服务(贵州)有限公司的继承人或受让人可不时向云上贵州提供服务方面的支持。除苹果技术服务(贵州)有限公司及其任何继承人或受让人外,包括苹果分销国际有限公司和苹果公司在内的其他苹果实体可在提供服务或某些授权和许可证方面提供协助。(苹果技术服务(贵州)有限公司、苹果分销国际有限公司、苹果公司和任何其他苹果实体在本协议中统称为“苹果”)。
《iCloud(由云上贵州运营)条款和条件》
综上,可以理解为,苹果将其iCloud服务委托给云上贵州运营,云上贵州为iCloud中国内地在《个人信息保护法》定义下的个人信息处理者,苹果为其提供技术支持服务。根据后文检索可知,苹果还是个人信息的接收方,但苹果的定义稍不同。
二、哪些个人信息被传输了
但也可能将部分个人信息(如用于改善服务的使用分析数据)储存在中国大陆之外并进行处理。
iOS 17系统升级前弹窗
“用于改善服务的使用分析数据”到底有哪些字段看着并不清楚,于是我点进了弹框中的链接。
当你使用由云上贵州运营的 iCloud 时,你的个人信息(包括你的照片、文件和其他 iCloud 数据)都会储存在中国境内。只有有限的个人信息(例如,有助于我们改进 iCloud 的分析数据)可能会由 Apple Inc. 在中国境外进行储存和处理。Apple 可能还会聘请第三方作为服务提供商并代为完成某些任务。这些第三方均有义务仅按照 Apple 的说明来处理个人信息。Apple 或云上贵州的数据隐私政策或做法没有任何变化。
《适用于中国客户的 Apple 和云上贵州数据隐私声明》https://support.apple.com/zh-cn/HT213840
“有助于我们改进 iCloud 的分析数据”,有哪些字段依然不知道,但是在这段话中好歹披露了:(1)出境目的是“改进服务,进行分析”;(2)接收方是“Apple Inc”及“第三方作为服务提供商并代为完成某些任务”(第三方是谁也说得不明不白)。
再去看看iCloud隐私政策,苹果还是个人信息接收方。
我们还可能与苹果共享您的个人信息。此类与苹果共享的信息将按照苹果的隐私政策进行处理,该政策可在 apple.com.cn/privacy 上查阅。
《iCloud(由云上贵州运营) 隐私政策》https://www.icloud.com.cn/gcbd-privacy-policy/
而在隐私政策中“苹果“的定义中“苹果分销国际有限公司和苹果公司 (以下统称为“苹果”) ”,似乎这俩都是外国实体,那么这意味着有跨境传输了。再来看回iCloud隐私政策跨境传输部分的表述。
跨境传输
我们在中华人民共和国境内收集或产生的个人信息,将存储在中华人民共和国境内。
为向您提供产品及服务,如管理订阅、保护服务安全和防止欺诈,您的个人信息可能会被转移到苹果位于您所在国家/地区的境外管辖区或受到包括来自苹果在内实体的来自这些管辖区的访问,以执行必要的处理活动,如管理订阅、保护服务安全和防止欺诈。云上贵州将遵守有关国与国之间个人信息传输的法律,以帮助确保您的数据在任何地方都享有相同的高度隐私保护。
苹果会根据苹果的隐私政策处理您的个人信息,详见:apple.com/legal/privacy/szh。
《iCloud(由云上贵州运营) 隐私政策》https://www.icloud.com.cn/gcbd-privacy-policy/
此处,跨境目的又是“提供产品及服务,如管理订阅、保护服务安全和防止欺诈”,而接收方和具体哪些字段出境,还是不知道。
再去看看苹果的隐私政策。
与中华人民共和国境内个人相关的个人数据可能由 Apple 在中华人民共和国以外的国家/地区 (例如,美国的 Apple Inc.,或爱尔兰共和国的 Apple Distribution International Limited) 进行处理。如果发生这种情况,我们将遵循当地法律 (包括《个人信息保护法》) 进行处理。出于本隐私政策中规定的处理目的,Apple 可能还会将此类个人数据传输给第三方服务提供商,后者可能会储存数据,或将数据传输到中华人民共和国以外的国家/地区。欲了解更多信息,请参阅《中国大陆隐私政策说明》。
《Apple 隐私政策》https://www.apple.com/legal/privacy/szh/
果然,一个是美国主体,一个是爱尔兰主体,可是还是不知道出境目的。最后看看《中国大陆隐私政策说明》
个人信息跨境传输 个人信息跨境传输:您的个人信息可能会被传输到世界各地的实体或被其访问;此类实体包括 Apple 附属公司,例如:
Apple Inc.,位于 One Apple Park Way, Cupertino, California, USA
Apple Distribution International Limited,位于 Hollyhill Industrial Estate, Hollyhill, Cork, Republic of Ireland
您的个人信息将仅出于向您提供产品或服务、履行我们与您达成的协议,或基于您的同意的其他目的 (如此处或 Apple 隐私政策其他部分中进一步列明),而在中国大陆以外的国家/地区进行传输或被访问。Apple 和 Apple 附属公司还可能聘请第三方担任我们的服务提供商并代表我们执行某些任务,例如出于上述目的处理或存储个人信息。Apple 服务提供商有义务仅按照本隐私政策的规定和我们的指示处理个人信息。
Apple 遵守在不同国家/地区之间传输个人信息的适用法律,以确保您的项目数据享有相同的高度隐私保护,无论项目数据的处理地点何在。
《中国大陆隐私政策说明》https://www.apple.com.cn/legal/privacy/disclosure/
这里,接收方说的更清楚了一些,但哪些字段出境,基于什么目的还是没说。
三、总结
1、云上贵州和Apple是独立的个人信息处理者;
2、他们都会将用户的跨境传输给Apple境外实体及服务商,包括但不限于美国的 Apple Inc.,或爱尔兰共和国的 Apple Distribution International Limited;
3.无论是云上贵州和Apple的隐私政策中关于个人信息跨境的表述,大概率均无法满足《个人信息保护法》的要求。
个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。
《个人信息保护法》第三十九条
(1)接收方不全,且各处不一致。以iCloud为例,《iCloud(由云上贵州运营)隐私政策》对外提供的是两个境外主体(美国的 Apple Inc.及爱尔兰共和国的Apple Distribution International Limited),构成出境,但跨境传输部分却没有明确哪些主体是接收方。而《适用于中国客户的 Apple 和云上贵州数据隐私声明》却写的是Apple Inc.及Apple聘请的第三方服务商。
(2)出境个人信息种类不全,且不一致,“有助于我们改进 iCloud 的分析数据”,几乎可以包括iCloud处理的所有个人信息。
(3)出境目的也不明确。《iCloud(由云上贵州运营)隐私政策》写的是“为向您提供产品及服务,如管理订阅、保护服务安全和防止欺诈”。
总结一下就是:为了给你提供产品及服务,你的个人信息会被跨境传输,具体出境哪些字段也不清楚,接收方是Apple集团中各个实体及聘请的第三方服务商,具体哪几家也不知道。
这些表述,真的不是很透明,也和以往苹果尊重隐私的印象不符。
看完这些隐私政策我甚至连苹果在中国大陆的个人信息处理者是哪个实体都不知道,根据其网站(apple.com.cn)的ICP备案,我就姑且推测是“苹果电子产品商贸(北京)有限公司”吧。
推测一下,无论是云上贵州还是苹果,处理个人信息数量都超过了100万人,个人信息出境都是要做数据出境安全评估的。
这个颗粒度的告知同意,真的可以被监管机构接受吗?
声明:本文来自数据何规,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。