更新我们的隐私政策和道歉
今天,我们推出了修订后的隐私政策,以解决在 7 月初发布的先前隐私政策中提出的问题。最初的政策是在 Audacity 3.0.3 发布之前起草的,由于包含了一些在某些人看来违反了我们之前做出的承诺的关键条款,因此受到了大量媒体的关注。我们希望解决提出的问题,对我们的意图做出保证,并提供可验证的证据,证明哪些信息实际上是从 Audacity 发送的。新的隐私政策使用了更清晰的语言,我们希望这次能更准确地解释我们的意图。因原隐私政策文件造成沟通上的重大失误,我们深表歉意。已调整措辞以消除歧义或有助于提高透明度,特别是我们不会为执法或任何其他目的收集任何额外信息 我们已经解释了两个网络功能、错误报告和更新检查的目的 我们已删除该条款不鼓励 13 岁以下儿童使用 Audacity 我们已采取措施确保我们永远不会存储完整的 IP 地址(我们现在在散列之前截断它或完全丢弃它)并在隐私政策文件中反映了这一变化我们做了一些更改我们处理错误报告的方式以确保我们永远不会存储任何潜在的可识别信息 我们起草了原始隐私政策作为法律文本。我们感谢我们的社区以及我们的用户,政策中的大部分措辞产生的问题多于答案。从现在开始,我们将以用户友好的方式为我们对政策所做的更改提供上下文。原始隐私政策的部分问题在于术语。为了确保遵守 GDPR 和 CCPA,我们必须依法使用某些条款。最好的例子是笼统的短语“个人信息”,这是一个非特定术语,可以理解地引起普通读者的关注。虽然该术语仍必须出现在新的隐私政策中,但我们已尝试尽可能更具体地说明我们所指的实际信息。
为了举例说明在何处使用“个人信息”一词是不可避免的,在第 5.1 节中,数据安全下有一行说明“我们使用适当的技术和组织措施来保护我们收集和处理的个人信息”。请注意,仅 IP 地址就算作“个人信息”,我们对其进行匿名处理的步骤也算作“处理”。当您看到 4.1 中的行:“我们不存储或共享任何个人信息。”,这是指这样一个事实,即,虽然我们看到(即“收集”)完整的 IP 地址,但我们不存储它(更多关于这在下面)。原始文件中最不明确和最具破坏性的部分说明我们收集个人信息“……执法、诉讼和当局要求(如果有)所必需的”。这被解释为意味着我们打算在隐私政策其他地方提到的基本系统信息之上收集和存储未指定的附加信息。事实并非如此,通过检查源代码和发布二进制文件的网络分析可以看出这一点。但是,我们同意旧隐私政策中使用的措辞听起来可能是真的。我们现在更改了措辞以消除这种混淆。需要明确的是,任何组织如果受到法院的命令,都必须配合调查,否则将被视为妨碍司法公正。这些不是我们制定的规则,而是我们必须遵守的要求。但是,我们只能提供隐私政策(如下所述)中提到的特定信息,仅此而已。此外,我们对所有存储数据采取的匿名化措施意味着它对任何人的使用都极为有限。我们隐藏了正在收集的确切数据,这可证实是不真实的。正如调查该问题的记者所指出的,Audacity 是免费的开源软件,对其源代码的检查表明其共享的数据极其有限。这在原始隐私政策发布时就已经存在,并且此后一直没有改变,这可以从我们存储库和其他存储库中的提交历史记录中得到证实。当有新版本的 Audacity 可用时,我们会通知用户。这需要网络连接,并共享您的 IP 地址、操作系统和 Audacity 版本。这是程序默认共享的唯一信息,可以随时在首选项中禁用它,正如我们在 #889 中承诺的那样。关于 IP 地址,当 Audacity 检查更新时,我们使用 IP 地址来确定用户连接的国家/地区,但没有比这更详细的了。我们以这样一种方式设置我们的系统,即 IP 地址立即匿名化(从技术上讲,我们将 IP 地址截断为 4 个字节中的 3 个字节,然后对其进行哈希处理)。这使我们无法识别用户或查明他们的确切位置,但它仍然足以帮助检测和减轻垃圾邮件更新请求或可能对我们的服务器进行 DoS 攻击。匿名后,我们存储的数据提供了关于我们每个国家/地区、操作系统(Windows、Mac 或 Linux)和 Audacity 版本的每日用户数量的基本统计数据。我们可以知道在某一天有多少美国人在特定的操作系统上使用了特定版本的 Audacity,但我们无法深入挖掘。这些统计数据对于规划和开发非常有用。例如,它会告诉我们有多少人在旧操作系统上使用 Audacity,这将帮助我们决定何时放弃对那些旧操作系统的支持以支持更新的技术是合理的(例如,macOS 版本 10.9 需要最低 C ++17 支持)。除了检查更新功能之外,即将发布的 Audacity 版本中唯一需要使用网络连接的其他功能是错误报告。如果发生应用程序错误,会出现一个弹出窗口,询问您是否要向我们发送该错误的详细信息,您可以在发送前查看这些信息。自从之前的隐私政策发布以来,我们在服务器上采取了额外的措施,以确保在存储之前从报告数据中过滤掉所有潜在的可识别信息。我们已经从 Audacity 中的非致命错误报告中过滤掉文件路径,但现在我们已经配置了我们的 Sentry 服务器来过滤崩溃报告中的文件路径。我们不会为任何类型的错误报告存储 IP 地址。
就 Audacity 发送的数据而言,自之前的隐私政策发布以来,我们只做了一个更改:我们删除了用户发送评论作为错误报告的一部分的功能。这样做是为了防止用户在评论字段中输入个人信息,我们没有可靠的过滤方法。由于报告的其余技术数据被匿名化,评论字段是我们可能获得可识别信息的最后一种方式。随着评论字段的消失,我们能够在更新的隐私政策中删除所有对共享个人信息的引用,因为在匿名化之后(随着数据到达服务器或多或少立即发生),我们没有任何个人信息可以共享.当您从源代码构建 Audacity 时,默认情况下会排除所有网络功能。我们希望通过 Linux 发行版提供的 Audacity 构建是无网络的,除非所述软件包的维护者特别希望包含网络功能。旧的隐私政策包含一项不鼓励 13 岁以下儿童使用该程序的条款。在与我们的律师进行广泛的进一步协商后,我们确定鉴于数据传输和存储的实际机制,该条款是不必要的。该条款是出于非常谨慎的考虑而被列入的,但最终证明不是必需的。我们对在原始隐私政策中包含此条款深表歉意,我们很高兴地确认 Audacity 将继续免费提供给所有年龄段的用户。我们接受关于 13 岁以下的规定是不必要的,并且我们接受旧隐私政策中的某些其他条款的措辞以一种乞求误解的方式。但是,我们希望我们已经充分证明,实际上收集的数据很少,并且您可以完全控制是否发送任何数据,并且在该故事受到媒体关注之前就已经是这种情况。对于我们旧的隐私政策造成的混乱,我们再次道歉。我们现在正在采取措施改进我们未来发布与 Audacity 相关的任何信息的流程,以确保用户得到适当的通知。我们理解有些人可能对修订后的隐私政策有疑问,我们将在此尽力解答。
