最近打开摩拜客户端,你将收到一封“账号融合用户确认函”,提示你是否同意摩拜和美团点评打通账号,允许美团点评共享你在摩拜端的各类数据。

去年4月,美团正式收购摩拜。被收购9个月后,摩拜单车完成“美团化”,于今年1月23日全面接入美团App。当时美团联合创始人、高级副总裁王慧文透露,未来摩拜单车品牌将更名为美团单车,美团App将成为其国内唯一入口。

4月4日,正当美团收购摩拜一年,双方通过一封确认函,告知用户将实现账号互通。据隐私护卫队观察,企业发生收购等重大变更后,这种通过App弹窗让用户确认是否同意数据融合的设计,并不多见。

为何摩拜会在客户端内弹窗这样一份“账号融合用户确认函”?业内对于这样的告知同意设计如何评价?企业收购业务中,又可能涉及哪些数据融合的合法性风险?隐私护卫队就此专访了多位研究数据合规的专家。

焦点一:摩拜如何征得用户同意将数据共享给美团?

从4月4日开始,打开手机里的摩拜单车App,你将看到这样一个页面弹窗,要求确认是否同意摩拜与美团账号融合。在弹窗页面上,摩拜给予了用户两个选择,灰底黑字选项为“不同意”和黑底白字写的则是“同意”。

摩拜App的弹窗页面。

摩拜表示,用户可选择不同意,这并不影响继续使用摩拜,同时用户在摩拜端的数据也不会被共享给美团点评。隐私护卫队实测,在点击不同意后,摩拜App仍可继续使用,但此后每次打开摩拜App均会再次弹窗“账号融合用户确认函”。

据摩拜介绍,在成为美团点评的一员后,为给用户提供一致且更便捷出色的体验,拟在征得用户同意的前提下,打通摩拜和美团的账号,届时美团点评将共享用户在摩拜端的各类数据。

摩拜弹窗页面。

如果用户同意,将可以使用摩拜账号登陆美团点评App,也可在美团App内使用摩拜的车辆并查看形成记录等各类历史数据,同时摩拜表示还在开发新的功能以让用户获得更加优质的体验,“帮助大家吃得更好,生活更好”。

有业内人士分析,摩拜与美团点评数据互通后,摩拜将成为美团到店、到家、旅行各场景的最佳连接。用户在摩拜最后一公里的骑行数据,将帮助美团更精确了解用户的地理位置和常年活动范围。

“这意味着美团能获得更为清晰的用户画像,广告推送亦将变得精准,商业价值更高,”长期关注数据合规的高校学者齐爱民说。

焦点二:数据融合前,摩拜为何要发布用户确认函?

据隐私护卫队观察,此前在互联网企业的收购业务中,涉及到数据融合问题时,鲜少有企业在网站或App内发布确认函,让用户作出是否同意的选择。

那么,摩拜和美团为何要发布这样一封用户确认函呢?

上海邦信阳中建中汇律师事务所律师助理胡峰对隐私护卫队表示,美团与摩拜的数据融合不仅仅涉及账户融合,更涉及摩拜所收集的用户个人信息,如历史地理位置、行动轨迹等敏感信息。在企业收购中,不同处理目的的个人数据融合是所面临的主要合规风险。

齐爱民进一步解释,目前个人信息保护已成为全球共识,尊重个人信息自决更是企业在进行商业活动中需要格外关注的重点。一般而言,对于所收集的用户个人信息的利用要遵循目的限制、透明性以及知情同意等原则,对于超出用户原授权范围之外对其信息的任何利用,必须重新获得用户的授权。

因此,“摩拜发布账号融合用户确认函实际上是为了解决数据利用的‘法律保护伞’问题,从另一方面也可以说是企业尊重用户个人信息的体现,” 齐爱民告诉隐私护卫队,用户对自己的个人信息具有自决权,有权同意企业间数据共享,同样也有权拒绝。而只有在用户确认授权的前提下,摩拜向美团点评共享信息的行为才具有合法性与正当性。

对于这样的合规努力,胡峰认为,这是向用户明示告知数据处理活动的积极做法,值得肯定。齐爱民则直言“开启了企业数据合规的新篇章”。

在他看来,此前的互联网企业较少要求用户进行这样的确认,对用户的数据权利和个人信息安全没有尽到应有的保护责任,而互联网企业虽然通过合法的途径收集了用户的个人数据,但这并不意味着用户所有数据权利的完全转移。

“对于用户个人数据的利用仍要以尊重和保护用户的个人信息自决权为前提,遵循基本的数据利用原则,在法律框架范围内实现数据商业化流通与个人信息保护的平衡,”齐爱民向隐私护卫队表示。

焦点三:用户同意确认函,摩拜就可以完全把数据共享给美团吗?

在获得业内赞许的同时,隐私护卫队注意到,也有声音指出,摩拜此次弹窗的通知函里,并未向用户告知数据融合的后果,相关的内容涉及还可进一步完善。

胡峰认为,就《账户融合用户确认函》的内容看,并未真正满足用户的知情同意要求。根据摩拜的说法,如果用户不同意数据融合,“相对应的将无法享受到账户融合后所带来的一致性体验及相关服务”。

“这里摩拜并未明确告知用户具体是什么样的服务,以及如何通过数据融合达到提升具体用户体验的目的。” 胡峰告诉隐私护卫队,在信息不充分的情形下,人们自然也无法判断,对于这些一致性的、更加优质的使用体验,用户的个人数据融合是否符合“必要的原则”,所作的决定很难称得上是自愿的同意。

国内某上市公司法务总监薛女士认为,目前摩拜的弹窗文字基本涵盖了构成有效同意所需要的知情信息,能够做到这样的明示告知还是很考验产品、法务、品牌、技术团队的配合,也体现了其创新的勇气。

“如果一定再严格要求的话,对于共享用户数据的具体公司主体、被融合以后的数据使用方式和目的有哪些改变、‘各类数据’的内容都还可以另行链接到一个页面中做具体说明,”她说。

胡峰也建议,摩拜应具体说明用户数据共享给美团后,对方将用摩拜的数据做什么,如何提升用户体验,比如通过收集不同用户骑单车记录,以及在某餐馆就餐的相关数据,用于更精准测度该餐馆的好评度和精确用户推送。

上述资深法务薛女士提醒,“用户同意”只是一个用户端的合规措施,两个数据控制者之间至少还需要进行数据处理协议、技术安全措施、用户权利和诉求响应等方面的工作。

也就是说,企业进行数据融合,用户端的同意告知或还只是合规的一步。

焦点四:企业收购业务中,如何避免踩到数据融合的“坑”?

大数据时代,数据日益成为互联网企业的核心资产。一旦企业发生收购、重组等重大变更,数据融合是不可回避的问题。

隐私护卫队注意到,此前Facebook收购WhatsApp后,WhatsApp曾通过隐私政策修改宣布将于母公司Facebook以广告投放等目的进行数据共享,结果引起了多国数据监管机构的质疑,甚至被责令叫停。

企业发生重大变更后,可能涉及哪些数据融合风险近年来备受外界关注。有观点认为,“用户数据融合” 带给用户的优质服务能力将会是几何级递增的,但同时也大大增强了数据控制者对用户的隐私侵入能力,风险剧增。

胡峰举例道,不同种类的大数据融合后,经过技术分析可能追溯出个人身份,期间又可能再收集个人数据,如果未能得到用户的授权同意,将面临合规性风险。

那么,企业收购业务中,如何避开数据融合可能踩到的“坑”呢?

齐爱民告诉隐私护卫队,企业发生收购或重组等变更,会直接涉及原企业所收集用户个人信息的流向和使用权限,尤其是跨境流通问题。变更后的企业是否有权继续使用变更前公司合法收集的个人数据,在何种范围内使用,是否需就变更事项,以及后续利用问题对用户进到告知义务,是否需要就继续使用获得用户重新授权等问题,仍需要进一步考虑。

据胡峰介绍,企业并购大致可分为尽职调查阶段、签约、交割三个主要阶段。在尽职调查阶段,收购方需要对目标公司进行摸底,确定目标公司的实际价值,判断并购风险。如果目标公司的用户数据是其重要资产之一,收购方也有必要了解用户数据的相关状况,以衡量目标公司的价值,但目标公司一般只需要提供其用户的统计数据,或经过脱敏处理的用户相关数据即可。

在签约至交割阶段,胡峰建议,可依据公司并购的方式作不同处理。如果为股权收购,那么说明目标公司自身仍存在,在原有目的与范围内,企业处理用户数据无需重新取得用户的同意。如果为资产收购,情况则较为复杂,因为用户数据的责任方或处理相关方发生了变化,收购方或目标公司的用户告知义务是必不可少的,收购方很多时候需要再次取得用户的同意。

“企业并购业务中的数据融合其实是一个很大的‘坑’”,前述国内某上市公司法务总监薛女士告诉隐私护卫队,“真正的问题并非数据不能融合,而是怎样才能就数据的融合给出清晰的规则要求,利用法律和技术的力量来确保数据融合中个人主体的权利不被侵犯。”(李玲)

声明:本文来自隐私护卫队,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。