一份好的隐私政策你需要这么做

隐私政策好坏、长短、内容等，其实也是判断企业是否合规处理个人信息的方面之一。本文将通过各大平台的隐私政策，及笔者起草、修改隐私政策的经验，来归纳“一份好的隐私政策”。

随着头部互联网企业的蓬勃发展，站在巨人的肩膀上起草一份隐私政策，不失为一个捷径道路。笔者梳理了微信、微博、抖音、淘宝、京东、飞猪、携程、华住会、希尔顿酒店、万豪酒店（排名不分先后）的隐私政策，字数大多在一万字左右。而字数相对较少的华住会平台，其隐私政策也包括了提示条款、信息收集条款、信息使用条款、信息披露条款、用户权利条款、信息保护条款、第三方网站和服务条款、Cookie条款等。

根据我们梳理的10家企业的隐私政策并结合笔者起草隐私政策的经验，能够基本涵盖《个保法》要求的隐私政策文本框架，主要包含如下章节：

除了常见文本框架外，10家企业中也个性化地根据自己的行业特点，制定了少数企业才有的隐私政策条款。例如希尔顿酒店针对酒店对用户到店入住时测量体温并收集相关个人信息要求，在其隐私政策中单独罗列了“关于COVID-19流行病的通知”，表明酒店可能收集关于体温的信息。微信作为腾讯旗下的社交产品，除了微信自身的隐私保护指引外，还涉及腾讯的《隐私政策》、《儿童隐私保护声明》。为此，微信隐私保护指引还明确了前述三份文件之间的关系及冲突解决方式。

其次，合规建议对隐私政策的易读性提出了要求，部分企业在具备完整架构、保留核心要素的同时，基于最少必要等原则，取精去粕，尽可能的缩减了文字的数量，为用户阅读、了解隐私政策的内容提供了方便。而有的企业，基于其功能和服务种类繁多，所需信息量也相较而言变得更为庞大，为确保满足合规要求，不得不牺牲用户的部分阅读体验，来“换取”更为明确的说明。但由于其隐私政策本身框架清晰，部分内容也设置了便利的跳转链接，用户可以较为方便的选择和找到其想要了解的版块和内容，也不失为一种巧妙的平衡。

附：10家企业的隐私政策字数

站在巨人的肩膀上能够起草一份隐私政策，但如果只是简单地照猫画虎改一版，却也成不了一份好的隐私政策。一份好的隐私政策需要结合企业、服务及产品的实际情况，进行完善和调整。

1、 了解服务模式及产品实际情况

在起草隐私协议前，企业首先应当充分对所提供产品、服务的具体功能、流程、技术架构等内容进行详细了解，包括但不限于：

2） 逐一匹配收集个人信息的类型、处理目的、处理方式；

3） 是否涉及从第三方获得用户个人信息；

4） 通过cookie和web beacon收集的个人信息类型和目的，以及是否还有其他自动收集信息的方式；

5） 是否涉及向其他方提供信息（包括委托处理），等等。

2、 了解企业所在行业的特殊监管要求

《个保法》出台前后，人民银行、工信部、卫健委等均已在各自领域内出台了各类适用于各自行业的特殊规则，旨在监管本行业内企业对个人信息的保护。因此，此类企业除了需遵守《个保法》等通用法律法规的要求外，还需要遵守行业规定。在正式文本起草之前，企业也应当收集、整理个人信息保护领域的行业规定，并在隐私政策中予以体现。

3、 做好“格式条款”的到位提示

隐私政策作为约束企业与用户两方的文件，却是由企业单方面起草并执行的，是典型的格式条款。因此，在起草隐私政策时，企业还需对免除或者减轻其责任等与对方有重大利害关系的条款标注出需加大加粗的字体、特殊颜色、下划线，以体现企业着重标注了对用户有重大利害关系的条款。同时，应当避免不合理地免除或者减轻企业的责任、加重用户责任，以及限制或排除用户主要权利等内容的出现。

除了内容好之外，一份好的隐私政策也更需要在形式上做到好。隐私政策应当在用户首次运行软件、首次注册软件时，通过弹窗、文本链接等明显方式提示用户阅读，并以明示方式征求用户同意，不可以默认同意方式征求用户同意。此外，企业也需要向用户提供实时查询隐私政策的功能，查询方式应易于操作，用户可以快捷访问隐私政策文本。

起草内容加发布形式的双重加持，才能完成一份好的隐私政策。企业在隐私政策的范围内“合法、正当、必要和诚信”地处理个人信息，才能实质地满足《个保法》及相关法律法规的监管要求。

By

潘凯文

蔡浩辉