平台拒绝出款 道可特研究丨个保法背景下平台《隐私政策》合规路径

03

局限性：全面适用“告知同意”规则

个保法中依然坚持了以“告知同意”为核心的个人信息的处理规则，这一规制与个人信息处理者需遵循的公开透明原则相互映照，使用户充分了解个人信息的处理规制，从而有效地保障其知情权和选择权。“告知”行为是以平台方制定、发布为主，用户查看为辅，对应的是知情权；而在“告知”后进行的“同意”中，则是由用户主动做出选择，即个人在知情权被保障的基础之上，又进行了选择权的行使。隐私政策是落实告知同意规则的主要方式，但隐私政策本身并无法涵盖所有需要告知同意的情形，针对不同的场景有如下几种不同的告知同意模式：

1）一般同意

告知同意是个人信息保护的基本规则，用户同意是平台方有权实施收集、使用等处理个人信息行为的前提，依据个保法第13条的规定，除部分例外情形外，“取得个人同意”是个人信息处理者处理个人信息的合法性基础和前提条件。实践中，个人信息处理者大多也是通过“取得个人同意”的方式获取收集、存储、使用、加工、传输、提供、公开、删除等处理个人信息的授权，以此规避个人信息处理出现违法违规法律风险。

对于需要用户同意才能处理用户个人信息的情形，平台方通常会通过隐私政策等个人信息授权文本，向用户充分说明处理个人信息的规则，并由用户手动点击确认、手动勾选同意等自主同意的方式获得用户的一般同意。可见，隐私政策是获得用户一般同意的常见方式，通过隐私政策，平台方可以将涉及个人信息保护的行为和内容进行充分释明，让用户全面了解其信息可能将以什么方式被使用和保护。在保障用户选择权的基础上，即用户主动勾选确认/同意隐私政策，即视为用户全面了解和认可了隐私政策的内容，事后如用户以隐私政策为格式文本等理由主张不认可隐私政策内容的，一般不会得到支持。

但是，如果告知同意的默示存在问题，即使隐私政策再完备也可能涉嫌违规，如让用户勾选同意隐私政策的过程必须充分保障用户的选择权，而不能默认选择同意，同意的选项应当是用户主动选择的结果。另外，如用户选择不同意的，平台方不能拒绝提供服务，如隐私政策的内容与平台的核心功能直接相关，不同意隐私政策导致用户无法使用平台主要功能的，用户选择不同意的情况下，平台方应当提供仅浏览模式，而不是直接退出或完全无法使用平台任何功能。同时应在《隐私政策》中应明确：如您拒绝提供上述信息或拒绝授权，可能无法使用我们关联公司的相应产品或服务，或者无法展示相关信息，但不影响浏览、搜索、交易等基础功能。

2）重新同意

从重新取得同意的情形看，在“处理目的、处理方式和处理的个人信息种类发生变更”的情形下，需要重新取得同意。鉴于原始同意时区分一般同意的情况和特殊同意的情况，重新取得同意时，需要与原始同意相对应，需要获得特殊同意的仍需获得特殊同意。

鉴于互联网行业日新月异的发展特点，企业需根据行业实务和政策变动不断更新隐私政策，这就意味着个人信息处理规则也会发生变更。个保法对此做出规定，要求个人信息处理者在个人信息处理规制发生变更时需分别重新进行“告知同意”。

无论是因业务变动，需将信息用于隐私政策未载明的其他用途，还是将基于特定目的收集而来的信息用于其他目的时，都应事先另行征求用户的授权同意。这就好比合同事项发生了变动，双方需要重新磋商，而更新后的隐私政策在经过用户同意后就相当于一个补充协议，以其新条款约束平台与用户。不过，共享、转让经匿名化处理的个人信息不属于个人信息的对外共享、转让及公开披露行为，平台对此类数据进行保存和处理无需另行向用户通知并征得同意。

3）单独同意

针对何为单独同意，个保法并未予以明确。按文义解释，单独同意应当是在个人充分知情的前提下，自愿明确的作出同意的意思表示，区别于捆绑多项业务功能或信息类型的一揽子同意，排除“捆绑授权”、 “强迫或变相强迫同意”等情形。

依据个保法的规定，应当获得单独同意的有如下几种情形：

1. 第23条规定，个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意；

2. 第25条规定，个人信息处理者公开其处理的个人信息的，应当取得个人的单独同意；

3. 第26条规定，在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的；取得个人单独同意的除外；

4. 第29条规定，处理敏感个人信息应当取得个人的单独同意；

5. 第39条规定，个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。

通常情况下，对于处理种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等敏感个人信息的，平台应当对用户进行单独告知，取得用户同意后，方可处理敏感个人信息。尤其是收集个人生物识别信息如人脸识别前，应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围，以及存储时间等规则，并征得个人信息主体的明示同意。

4）书面同意

针对何为书面同意，根据《民法典》第469条，书面形式除包括以合同书、信件、电报、电传等有形地表现所载内容的形式之外，还包括以电子数据交换、电子邮件等方式能够有形地表现所载内容，并可以随时调取查用的数据电文。按照这一定义，用户在网站或APP页面点击、勾选“同意”等按钮，会作为网络操作记录，以数据形式存储在服务器，事后可以随时调取查用，也符合书面形式要求。书面同意的情形主要体现在本法第二十九条，即处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。

敏感个人信息是指一旦泄露或者非法使用，可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息，包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。法律、行政法规规定处理敏感个人信息应当取得书面同意的情形。如《药物临床试验质量管理规范》第23条规定要求，受试者应当签署书面的知情同意书。

04

适应性：根据行业及场景特点设置条款内容

根据个保法等法律法规的规定，凡涉及对个人信息的利用，均须公示个人信息处理规制，因此使用APP、网站、小程序、公众号、H5页面、各类物联网应用等形式收集、使用个人信息的，都属于隐私政策的适用产品。

在具体产品的应用中，由于各行各业业务内容性质等的差别，对用户个人信息的收集、使用范围和形式不同，隐私政策适用的应用场景也有所不同。

一是通用场景方面，信息的收集使用往往涉及功能权限获取、定向推送等；

二是具体场景方面，根据APP、小程序的功能设置，可能存在论坛版块、购物板块等具体场景，也就需要平台在隐私政策中细化在具体场景中可能出现的个人信息收集和使用行为。

App、小程序等平台方因其行业差异，平台的主营业务和程序功能也不同，往往需要在常规的个人信息保护条款之外，结合具体场景应用，设置有针对性的条款内容，体现各行业隐私政策的特殊性。

以游戏行业为例，涉及账号登录、网络交易、语音版聊等多方面服务功能，平台经营者除需在《隐私政策》中披露运营主体的信息，包括但不限于公司名称、公司地址、个人信息保护相关负责人联系方式外，要注意完整罗列收集、处理的个人信息及用途，尽量采取列举式方法展现，明示申请的全部个人信息和隐私权限等。

例如实名认证需玩家真实姓名、身份证号码、电话号码；读取或缓存资源文件，日志文件需储存器权限；基于附近玩家等游戏功能，获取玩家的地理位置需得到定位信息；拍摄照片、在个人资料中上传头像及分享需相机、相册权限；玩家语音聊天需麦克风权限等，都是游戏服务中常见的权限获取。

此外，若该游戏受众包含未成年人，平台经营者还应当制定专门的儿童隐私保护声明。2020年9月11日，国家计算机病毒应急处理中心对媒体披露，近期在“净网2020”专项行动中通过互联网监测发现，多款游戏类移动应用存在隐私不合规行为，违反《网络安全法》相关规定，涉嫌超范围采集个人隐私信息。包括《汤姆猫跑酷》（版本4.3.2.351）、《迷你世界》（版本0.44.2）、《开心消消乐》（版本1.83）等游戏未向用户明示申请的全部隐私权限，涉嫌隐私不合规。

总 结

个人信息保护立法和网络经济的发展相辅相成，前者为网络平台创造经济新天地，后者将个人信息价值推上时代的风口浪尖。然而，个人信息保护的完善无法一蹴而就，隐私政策的起草发布也不能一劳永逸。从立法角度来看，现阶段的个保法虽然打开了个人信息保护的新时代，但其细节仍需实践检验，当问题在法律实施中得以暴露，个人信息保护的重点和难点才能够真正显现。从平台角度来看，平台方作为互联网企业，其所处的政策经济环境和自身经营情况都并非一成不变，企业架构、主营业务、产品功能、服务模式都有可能发生变化，对个人信息的处理规则也需要根据实际情况作及时的相应调整，以达到合规经营的发展目的。

作者简介

About the

白小莉

北京市道可特律师事务所 高级合伙人

邮箱：

❑道可特知识产权专业委员会

道可特知识产权专业委员会专注于知识产权领域的精准法律服务及行业问题研究，涵盖著作权、商标、专利、特许经营及反不正当竞争等专业领域，立足传统行业，聚焦新兴产业如互联网、科技、大数据、文娱等领域，以专业+行业作为法律服务定位，致力于提供知识产权+互联网，知识产权+数据，知识产权+科技，知识产权+文娱等专业化行业化深度法律服务。