App隐私政策到底应该怎么写?这里有10个小窍门

来源:iLaw合规

文章摘要
近年来,随着个人信息保护相关法律法规及政策文件(包括《征求意见稿》)的陆续出台,执法机构对App数据合规的监管呈现不断收紧的趋势,且用户对于App数据收集行为与授权文本内容的关注度及敏感度也逐步提升。

近年来,随着个人信息保护相关法律法规及政策文件(包括《征求意见稿》)的陆续出台,执法机构对App数据合规的监管呈现不断收紧的趋势,且用户对于App数据收集行为与授权文本内容的关注度及敏感度也逐步提升。
隐私政策作为App首次启用时面向用户展示的必要文本,在对个人信息收集、使用、处理、保护等全流程的完整告知上起到了不可替代的作用,成为了App数据隐私合规的重要一环。
因此,App运营主体应给予隐私政策足够的重视,不仅要出示隐私政策,达到形式合规。
同时也应当思考如何完整地、与实际情况相符地撰写隐私政策,从而达到实质合规。基于此,本文将对隐私政策撰写过程中的规范要点进行梳理与总结。

根据《中华人民共和国网络安全法》的规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
隐私政策作为落实该规定的文件载体,需要依法公开前述内容。而对于隐私政策应当包含的具体内容和公示要求,《信息安全技术个人信息安全规范》(GB/T 35273-2020) 给出了更为详细的指引,对基本框架总结如下:


基于上图所示基本框架,进一步对重要部分内容的撰写要点进行说明:
1. 处理者身份、版本信息、简要声明
这部分内容的撰写相对容易,主要是介绍App运营者的基本情况,包括主体名称、联系方式、注册地址等;并说明隐私政策的发布日期、生效日期、适用范围、更新方式。
基本情况的介绍看似简单,同样存在合规风险。
例如,隐私政策未完整披露App开发运营主体的工商注册名称,仅使用简称、商号或英文缩写代替,可能会给用户增加维权难度,也属于隐私政策不合规的一种情形。
又如,隐私政策仅显示更新日期,未告知生效日期,也没有对新版本和上一版本的变更内容进行明示,当用户对信息收集的更新与授权情况提出质疑时,就难以直接通过隐私政策的说明予以答复,这也属于App隐私合规问题。
通常此部分的撰写,可以通过1-3段的导语进行概括说明,并展示目录清单,即可做到一目了然。
典例示范:微信隐私政策明示了更新日期、生效日期、更新内容

<微信隐私政策>
2. 个人信息/敏感个人信息的收集和使用
①基本要求
隐私政策中应明确个人信息收集和使用的方式、范围、使用目的、保存期限;对于敏感个人信息,应遵循更高的合规要求,做到单独告知、获取用户的明示授权。
同时,在隐私政策中还应该有显著的标识,如对敏感个人信息进行字体的加粗、增加下划线等。
个人信息的使用方式、目的应与隐私政策中说明的保持一致,当使用个人信息的目的、方式、范围发生变化时,应当更新隐私政策或以其他适当的方式告知用户。
②最小必要原则
不同业务功能所需的个人数据不尽相同,因此,为保障隐私政策内容的完整性、准确性、对应性,在拟写隐私政策的文本内容前,应评估功能所需的数据需求是否符合合法性、最小必要性,是否为实现功能目的所需的必要个人信息。
《常见类型移动互联网应用程序必要个人信息范围规定》对39类App的必要个人信息范围进行了说明,在评估功能数据需求、设计App隐私政策的时候可以参考。
③功能逐项列举
根据《App违法违规收集使用个人信息自评估指南》(以下简称《指南》)的要求,隐私政策中应当将收集个人信息的业务功能逐项列举,且应说明每个功能所收集的个人数据类型。
在对各项业务功能及其所需数据进行逐项列举时,应注意一一对应性,且不能使用「等」、「例如」之类的概括性用词,避免对用户产生误导。
另外,应适当地体现对基本业务功能和非基本业务功能的区分,明确告知用户如不授权同意非基本业务功能的数据收集并不影响对基本功能的使用,充分地保障用户的选择权。
特别注意的是,使用用户个人信息和算法,为用户定向推送信息的,应在隐私政策中进行说明,并给用户提供非定向推送信息的选项。
④其他法律法规规定
对个人信息的收集进行评估时,还需考虑不同行业的监管要求及特别法的规定。
例如:根据《儿童个人信息网络保护规定》,应出示专门的儿童个人信息保护规则,即单独的儿童隐私政策。
因此,处理儿童个人信息时,除了受到《个人信息保护法》关于「不满十四周岁未成年人(儿童)的个人信息属于敏感个人信息」的要求时,还需要满足该《规定》对于儿童个人信息保护所提出的特殊要求。
典例示范:飞猪隐私政策明确了对个人信息收集的功能场景及使用的规则,对于「至少」要收集的个人信息,满足最小必要原则。

<飞猪隐私政策>
3. 个人信息的存储
隐私政策中应向用户说明数据的存储地点、存储时间与存储方式。
明确区分数据存储于境内或境外;且个人信息的存储时间应为实现功能目的所需的最短时间,如法律法规另有规定或需要向用户另行获取授权同意的,也应在隐私政策中向用户进行告知。
4. 个人信息的共享、转让、公开披露
若存在对外共享、转让、公开披露个人信息等情况,隐私政策中应明确说明:
①对外共享、转让、公开披露个人信息的目的、以及所涉及的信息类型;
②对外共享、转让、公开披露个人信息可能产生的后果;
③信息接收方的类型或者身份,以及其目前的安全能力;
④如采取了技术处理措施(如加密/去标识)也应进行说明。
典例示范:企业微信隐私政策公示《与第三方共享个人信息清单》

<企业微信隐私政策>
若共享清单较长,也可以通过表格形式进行公示,参考如下:

5. 关于第三方服务的披露(第三方SDK披露)
App接入第三方应用或第三方SDK的,应当经过用户的同意,故在隐私政策中应明确披露接入第三方SDK的情况:
包括但不限于第三方SDK的主体名称、数据需求类型、隐私政策链接,充分地保障用户的知情权,对第三方服务提供商形成约束。
有许多App隐私政策中仅对第三方SDK接入进行了「提示」而非「披露」。
例如:我们的服务中可能包含第三方能力提供方,如您使用相应功能,请自行查阅其所出示的服务条款与隐私政策。
此种说明方式既未告知所接入的功能模块,也未说明具体的服务提供方或服务方类型、服务方的隐私政策,这等同于对用户提出了有更高的注意义务要求,降低了作为App运营方本身的告知义务,有显失公平之嫌疑。
典例示范:关于第三方服务的披露,可向用户提供《第三方SDK目录》

<第三方SDK目录>
6. 个人信息的保护措施与能力
隐私政策中应对App运营者在信息安全保护方面所采取的措施和已具备的能力,如身份鉴别、数据加密、访问控制、恶意代码防范、安全审计等。
某些App仅就安全保护进行简单地承诺。
例如:「我们将会保护您的数据防止恶意攻击」,但未展示具体的技术能力和所采取的措施。
如果能在隐私政策中阅读到具体的技术保护措施、管理体系、安全影响评估方式、安全危机响应机制等内容,不仅会降低App运营者的合规风险,同时也会使得用户产生更强的安全感和信任感。
典例示范:京东隐私政策明确了为保护个人信息采取的数据安全技术措施、数据安全管理规范、安全事件处置等。

<京东隐私政策>
7. 用户权利
隐私政策中应当说明用户对其个人信息所依法享有的权利,包括查阅权、复制权、更正权、删除权、撤回同意权、注销用户账户等权利,同时也告知用户行使权利的操作方式。
例如,有些权利用户可直接在App中根据操作指引即可实现,而有些权利则可通过邮件或客服的方式,引导用户联系官方处理。
如果行使权利将产生费用的,或需要再次验证身份的,也应当在隐私政策中说明。
另外,根据《移动智能终端及应用软件用户个人信息保护实施指南》,隐私政策中应当明确向用户承诺响应其权利请求的时限,承诺时限不得超过15个工作日,如未承诺时限的,以15个工作日为限。
8. 未成年人信息保护
CNNIC《2020年全国未成年人互联网使用情况研究报告》显示,2020年,我国未成年网民达到1.83亿人,互联网普及率为94.9%,超过三分之一的小学生在学龄前就开始使用互联网。
未成年人网络保护的重要性越来越高,对未成年人个人信息的保护之紧迫性自然不言而喻。
涉及面向未成年人提供服务的App应特别考虑对未成年人信息的保护,如需收集年满14周岁未成年人的个人信息前,应征得未成年人或其监护人的明示同意;而不满14周岁的,则依法视为敏感个人信息,进行强化保护。
隐私政策也应相应对此作出说明,对于儿童个人信息的处理还应有单独的规则,并设立专人进行管理和保护。
9. 跨境传输
隐私政策中应说明用户的个人信息是否会进行跨境转移,对于需要跨境传输的数据也应当进行突出或显著的标识。
并告知用户转移目的、获取用户授权的方式、境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类、个人向境外接收方行使数据主体权利的方式和程序以及所转移的具体国家及地区应遵循的法律法规等。
特别注意,对于法律法规明确规定应存储在境内的数据,或是向境外传输数据时需获得前置审批的,应当按照规定执行,而不能仅通过隐私政策的的授权来免责。
10. 投诉建议渠道
在隐私政策结尾部分,应通过预留电子邮箱、客服热线等方式给用户提供合理的投诉或权利请求渠道。
根据《App违法违规收集使用个人信息行为认定方法》如隐私政策中未公布个人信息安全投诉、举报渠道,或未在承诺时限内受理并处理的,可被认定为「未按法律规定提供删除或更正个人信息功能」或「未公布投诉、举报方式等信息」。

1. 撰写规范
隐私政策的撰写应注意格式和用词的规范,总结如下:
①隐私政策应提供中文版本,不能仅有外语版;
②隐私政策的内容应易于阅读,文字不能过小过密、颜色过淡、模糊不清;
③隐私政策应使用符合通用的语言习惯,避免使用带有歧义的语言;
④隐私政策中不应使用大量的专业名词或以其他方式导致文本冗长繁琐、晦涩难懂,使得用户难以理解。
2. 公示要求
在App首次上线并于用户首次启用前,应通过弹窗等显著方式出示隐私政策内容,并经用户明示同意,不得采用默认勾选的授权方式;
其次,不采用与背景颜色相近的字体、刻意缩小字号、弹出键盘遮挡、置于边缘等为不明显方式展示隐私政策链接。
隐私政策应保持公开的发布,并设置在启用App后不超过4次点击的访问路径,方便用户随时查阅。
另外,如隐私政策的内容有更新,应当及时通知用户,并以公告发布或重新获取用户授权的方式(视隐私政策更改的显著程度及对用户所产生的影响),保障用户的知情权和自主同意权。
但应注意的是,如果用户不同意隐私政策,则不应频繁地(以48小时为限)请求同意。

上文通过对隐私政策撰写规范进行梳理并总结提示了主要要点,可以看出,隐私政策作为App收集与使用个人信息情况说明的文本载体,贯穿着App运营全过程、且始终伴随着用户个人信息的全声明周期,在一定程度上起到了保护用户权利、保障企业合规的重要作用。
近两年来,相关部门对各类App开展了多次专项整治活动,在所通报的违规App名单与问题清单中,可以看到许多隐私政策内容违规的「身影」。
因此,作为互联网时代浪潮下的App运营主体,不仅要关注App服务能力的提升、企业数据安全能力的提升,也应当重视面向用户长驻公示的隐私政策,将「实质合规」的思维贯穿于公司数据合规的始终,关注每一个要点,稳步前行。

技术驱动法律,专业成就未来