专业解读

引言

2021年11月1日，《个人信息保护法》（以下简称“个保法”）生效，其中第4条第1款规定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。个人信息商业化利用的本质是许可他人使用其个人信息，从而获取一定的经济利益，在很多情况下，个人信息也是一种资源，被称为21世纪的“数据金矿”。

平台经营者作为个人信息的处理者，需遵守最小、必要和公开透明原则，而隐私政策作为一种文本形式的“沟通桥梁”，是目前平台与用户达成个人信息处理共识最普遍、最有效的方法。个保法出台后，个人信息保护进入新时代，对隐私政策也提出了更为精准和严格的要求，本文将结合最新法律法规，参照实务经验，对当下个保法时代中，平台方调整隐私政策的合规新路径进行盘点。

一、独立性：设置单独的隐私政策

在互联网平台协议中，“用户协议”比“隐私政策”来得更早也更普遍，两者本质都是利用一种无名合同，以约定和法律来保护作为互联网使用者的用户权利。用户协议一般会对互联网产品的操作使用、平台与用户的权利义务、二者的投诉交流等事项作出规定，近年来，随着互联网发展，个人信息保护地位提升，围绕个人信息展开的隐私政策逐渐后来居上，形成了与用户协议分庭抗礼的局面。

个保法出台之后，平台方需依据其作出及时恰当的回应，包括重视与用户沟通、凸显隐私政策的存在感等，首要任务就是保持隐私政策的独立性，即设置单独的隐私政策。这一要求一方面是基于隐私政策的重要性提出，从而延展到隐私政策的独立性和易读性，如此才能使用户以最快捷有效的途径阅读到完整的个人信息保护处理规制。另一方面是出于合同的规范性。隐私政策和用户协议的本质都是平台与用户签订的协议，而当隐私政策条款隐藏在用户协议之中时，平台很难向用户充分强调个人信息保护条款的重要性，并且，隐私政策涉及的款项众多，适用规则也不同于用户协议，双方权利义务亦不相同。

因此，隐私政策应当具有独立性，作为完整独立的合同出现，配备其适用的权利义务条款，平台经营者和用户作为合同双方，需受隐私政策合同的约束，遵守《民法典》第509条规定并按照全面履行相关约定，遵循诚信原则，根据合同的性质、目的和交易习惯履行通知、协助、保密等义务。

对于隐私政策独立性的具体判断方法，可结合此前发布的《App违法违规收集使用个人信息自评估指南》：

第一，隐私政策需单独成文，方式包括弹窗、文本链接、常见问题（FAQs）等；

第二，应以在App界面上通过任意的4次点击就能找到隐私政策为标准。

而在用户协议中涉及个人信息时，可以“我们将合法收集和使用您的个人信息，具体内容见《隐私政策》”等字样来进行表述。

实践中，部分平台方将个人信息保护等条款嵌入用户协议规定，没有单独制定隐私政策，该种行为涉嫌违规。2020年3月16日，天津市委网信办在其官网发布了《天津市疫情防控App专项治理情况通报（第一期）》（下称《通报》），《通报》显示，新冠通、门诊大厅、今日校园等7款App存在违法违规收集使用个人信息问题，且逾期未填报相关信息。

据了解，此次通报了新冠通、门诊大厅、今日校园等3款App，以及泰平、双港复工通、保疫防、复工人员每日健康登记表等4款小程序。在7款App（或小程序）中，无隐私政策、收集用户身份信息未告知使用目的、以及未公布投诉、举报方式这三种违法违规收集个人信息的行为普遍存在。诸如此类App根本没设置隐私政策；没有单独的隐私政策，只有隐私保密声明；隐私政策存在于用户协议当中等情况，均未达到隐私政策独立性的标准，与个保法强化隐私政策的独特地位、使其从附着用户协议的状态中独立出来的态度相悖，可能致使涉事互联网企业遭受主管部门的处罚。

二、全面性：隐私政策内容须完备

不同行业的互联网平台因其自身的业务特性，会在实践中逐渐形成一套隐私政策文本，之后可政策变动和业务更迭进行具体内容的更新。对于隐私政策的草拟框架，目前最普遍的是依照《信息安全技术 个人信息安全规范》标准号：GB/T 35273-2020所建立起的隐私政策格式，主要包含：

1. 我们如何收集和使用您的个人信息；

2. 我们如何使用 Cookie 和同类技术；

3. 我们如何共享、转让、公开披露您的个人信息；

4. 我们如何保护您的个人信息；

5. 您如何管理您的个人信息；

6. 我们如何处理未成年人的个人信息；

7. 我们如何存储您的个人信息；

8. 本隐私权政策如何更新；

9. 如何联系我们。

上述条目可以定位到个保法第17条，包含个保法所要求的告知内容，如个人信息处理者的名称或者姓名和联系方式，个人信息的处理目的、处理方式，处理的个人信息种类、保存期限，个人行使本法规定权利的方式和程序，法律、行政法规规定应当告知的其他事项都可以在隐私政策中列明。

个保法之所以要求隐私政策完备，并对需要公开的事项做出规定，是基于对个人信息处理实际情况和风险性的考量。平台首先需向用户明确个人信息的处理者，其次要让用户了解目标信息、处理原因和处理方式，从法律层面来说这是对公开透明原则的遵循，从潜在风险而言，是为了让用户了解可能涉及个人信息处理行为的主体、对象和方式，保证隐私政策这项协议所涉行为的合法合理性。如果平台方对隐私政策的制定不够完备，个别条款存在遗漏或瑕疵，将可能导致用户个人信息保护风险的增加。如未告知向关联第三方同步用户个人信息，则可能涉嫌侵害用户的知情权、选择权；如未明示信息侵权的争议解决渠道，则可能导致信息漏洞无法接收用户反馈，导致用户个人信息权益受损。

因此，隐私政策相关内容的缺失将可能直接导致平台对个人信息的使用或处理超越了用户知情同意的范畴而构成侵权，平台方针对个人信息的处理行为可能会因为未获得“告知同意”的权利基础而失去合法性，企业不仅面临罚款、赔偿风险，还会被记入信用档案，不利于企业长期健康发展。

三、局限性：全面适用“告知同意”规则

个保法中依然坚持了以“告知同意”为核心的个人信息的处理规则，这一规制与个人信息处理者需遵循的公开透明原则相互映照，使用户充分了解个人信息的处理规制，从而有效地保障其知情权和选择权。“告知”行为是以平台方制定、发布为主，用户查看为辅，对应的是知情权；而在“告知”后进行的“同意”中，则是由用户主动做出选择，即个人在知情权被保障的基础之上，又进行了选择权的行使。隐私政策是落实告知同意规则的主要方式，但隐私政策本身并无法涵盖所有需要告知同意的情形，针对不同的场景有如下几种不同的告知同意模式：

1）一般同意

告知同意是个人信息保护的基本规则，用户同意是平台方有权实施收集、使用等处理个人信息行为的前提，依据个保法第13条的规定，除部分例外情形外，“取得个人同意”是个人信息处理者处理个人信息的合法性基础和前提条件。实践中，个人信息处理者大多也是通过“取得个人同意”的方式获取收集、存储、使用、加工、传输、提供、公开、删除等处理个人信息的授权，以此规避个人信息处理出现违法违规法律风险。

对于需要用户同意才能处理用户个人信息的情形，平台方通常会通过隐私政策等个人信息授权文本，向用户充分说明处理个人信息的规则，并由用户手动点击确认、手动勾选同意等自主同意的方式获得用户的一般同意。可见，隐私政策是获得用户一般同意的常见方式，通过隐私政策，平台方可以将涉及个人信息保护的行为和内容进行充分释明，让用户全面了解其信息可能将以什么方式被使用和保护。在保障用户选择权的基础上，即用户主动勾选确认/同意隐私政策，即视为用户全面了解和认可了隐私政策的内容，事后如用户以隐私政策为格式文本等理由主张不认可隐私政策内容的，一般不会得到支持。

但是，如果告知同意的默示存在问题，即使隐私政策再完备也可能涉嫌违规，如让用户勾选同意隐私政策的过程必须充分保障用户的选择权，而不能默认选择同意，同意的选项应当是用户主动选择的结果。另外，如用户选择不同意的，平台方不能拒绝提供服务，如隐私政策的内容与平台的核心功能直接相关，不同意隐私政策导致用户无法使用平台主要功能的，用户选择不同意的情况下，平台方应当提供仅浏览模式，而不是直接退出或完全无法使用平台任何功能。同时应在《隐私政策》中应明确：如您拒绝提供上述信息或拒绝授权，可能无法使用我们关联公司的相应产品或服务，或者无法展示相关信息，但不影响浏览、搜索、交易等基础功能。

2）重新同意

从重新取得同意的情形看，在“处理目的、处理方式和处理的个人信息种类发生变更”的情形下，需要重新取得同意。鉴于原始同意时区分一般同意的情况和特殊同意的情况，重新取得同意时，需要与原始同意相对应，需要获得特殊同意的仍需获得特殊同意。

鉴于互联网行业日新月异的发展特点，企业需根据行业实务和政策变动不断更新隐私政策，这就意味着个人信息处理规则也会发生变更。个保法对此做出规定，要求个人信息处理者在个人信息处理规制发生变更时需分别重新进行“告知同意”。

无论是因业务变动，需将信息用于隐私政策未载明的其他用途，还是将基于特定目的收集而来的信息用于其他目的时，都应事先另行征求用户的授权同意。这就好比合同事项发生了变动，双方需要重新磋商，而更新后的隐私政策在经过用户同意后就相当于一个补充协议，以其新条款约束平台与用户。不过，共享、转让经匿名化处理的个人信息不属于个人信息的对外共享、转让及公开披露行为，平台对此类数据进行保存和处理无需另行向用户通知并征得同意。

3）单独同意

针对何为单独同意，个保法并未予以明确。按文义解释，单独同意应当是在个人充分知情的前提下，自愿明确的作出同意的意思表示，区别于捆绑多项业务功能或信息类型的一揽子同意，排除“捆绑授权”、 “强迫或变相强迫同意”等情形。

依据个保法的规定，应当获得单独同意的有如下几种情形：

1. 第23条规定，个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意；

2. 第25条规定，个人信息处理者公开其处理的个人信息的，应当取得个人的单独同意；

3. 第26条规定，在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的；取得个人单独同意的除外；

4. 第29条规定，处理敏感个人信息应当取得个人的单独同意；

5. 第39条规定，个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。 

通常情况下，对于处理种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等敏感个人信息的，平台应当对用户进行单独告知，取得用户同意后，方可处理敏感个人信息。尤其是收集个人生物识别信息如人脸识别前，应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围，以及存储时间等规则，并征得个人信息主体的明示同意。

4）书面同意

针对何为书面同意，根据《民法典》第469条，书面形式除包括以合同书、信件、电报、电传等有形地表现所载内容的形式之外，还包括以电子数据交换、电子邮件等方式能够有形地表现所载内容，并可以随时调取查用的数据电文。按照这一定义，用户在网站或APP页面点击、勾选“同意”等按钮，会作为网络操作记录，以数据形式存储在服务器，事后可以随时调取查用，也符合书面形式要求。书面同意的情形主要体现在本法第二十九条，即处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。

敏感个人信息是指一旦泄露或者非法使用，可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息， 包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。法律、行政法规规定处理敏感个人信息应当取得书面同意的情形。如《药物临床试验质量管理规范》第23条规定要求，受试者应当签署书面的知情同意书。

四、适应性：根据行业及场景特点设置条款内容

根据个保法等法律法规的规定，凡涉及对个人信息的利用，均须公示个人信息处理规制，因此使用APP、网站、小程序、公众号、H5页面、各类物联网应用等形式收集、使用个人信息的，都属于隐私政策的适用产品。

在具体产品的应用中，由于各行各业业务内容性质等的差别，对用户个人信息的收集、使用范围和形式不同，隐私政策适用的应用场景也有所不同。

一是通用场景方面，信息的收集使用往往涉及功能权限获取、定向推送等；

二是具体场景方面，根据APP、小程序的功能设置，可能存在论坛版块、购物板块等具体场景，也就需要平台在隐私政策中细化在具体场景中可能出现的个人信息收集和使用行为。

App、小程序等平台方因其行业差异，平台的主营业务和程序功能也不同，往往需要在常规的个人信息保护条款之外，结合具体场景应用，设置有针对性的条款内容，体现各行业隐私政策的特殊性。

以游戏行业为例，涉及账号登录、网络交易、语音版聊等多方面服务功能，平台经营者除需在《隐私政策》中披露运营主体的信息，包括但不限于公司名称、公司地址、个人信息保护相关负责人联系方式外，要注意完整罗列收集、处理的个人信息及用途，尽量采取列举式方法展现，明示申请的全部个人信息和隐私权限等。

例如实名认证需玩家真实姓名、身份证号码、电话号码；读取或缓存资源文件，日志文件需储存器权限；基于附近玩家等游戏功能，获取玩家的地理位置需得到定位信息；拍摄照片、在个人资料中上传头像及分享需相机、相册权限；玩家语音聊天需麦克风权限等，都是游戏服务中常见的权限获取。

此外，若该游戏受众包含未成年人，平台经营者还应当制定专门的儿童隐私保护声明。2020年9月11日，国家计算机病毒应急处理中心对媒体披露，近期在“净网2020”专项行动中通过互联网监测发现，多款游戏类移动应用存在隐私不合规行为，违反《网络安全法》相关规定，涉嫌超范围采集个人隐私信息。包括《汤姆猫跑酷》（版本4.3.2.351）、《迷你世界》（版本0.44.2）、《开心消消乐》（版本1.83）等游戏未向用户明示申请的全部隐私权限，涉嫌隐私不合规。

五、总结

个人信息保护立法和网络经济的发展相辅相成，前者为网络平台创造经济新天地，后者将个人信息价值推上时代的风口浪尖。然而，个人信息保护的完善无法一蹴而就，隐私政策的起草发布也不能一劳永逸。从立法角度来看，现阶段的个保法虽然打开了个人信息保护的新时代，但其细节仍需实践检验，当问题在法律实施中得以暴露，个人信息保护的重点和难点才能够真正显现。从平台角度来看，平台方作为互联网企业，其所处的政策经济环境和自身经营情况都并非一成不变，企业架构、主营业务、产品功能、服务模式都有可能发生变化，对个人信息的处理规则也需要根据实际情况作及时的相应调整，以达到合规经营的发展目的。

作者简介 About the Author

白小莉
北京市道可特律师事务所 高级合伙人
邮箱：baixiaoli@dtlawyers.com.cn

❑ 道可特知识产权专业委员会

道可特知识产权专业委员会专注于知识产权领域的精准法律服务及行业问题研究，涵盖著作权、商标、专利、特许经营及反不正当竞争等专业领域，立足传统行业，聚焦新兴产业如互联网、科技、大数据、文娱等领域，以专业+行业作为法律服务定位，致力于提供知识产权+互联网，知识产权+数据，知识产权+科技，知识产权+文娱等专业化行业化深度法律服务。