作为告知用户个人信息处理规则的重要窗口，隐私政策几乎成为所有App的“标准配置”。自去年11月个人信息保护法施行以来，不断有法律法规对隐私政策的制定提出更高的要求。

近日，CCIA数据安全工作委员会举行专题研讨会，探讨隐私政策如何才能兼顾监管要求与用户体验。有与会人员表示，如果将隐私政策作为格式合同使用，那么在需要用户对其进行多次同意的情况下，建议将第一次视为构成对收集个人信息的同意。

1

隐私政策是否可作为格式合同？

首先需要解答的问题是：隐私政策最根本的目的是解决什么问题？它具备什么样的法律效力？

与会人员普遍认为，隐私政策的出发点是个人信息处理规则的公开透明，不宜对其赋予太多的功能和期待。因此，在不断追求合规性的同时，隐私政策还应注重用户的体验，根据用户反馈做出优化。

还有与会人员将隐私政策比作App的“个人信息使用说明书”——“连线下产品都没有规定用户必须查看说明书后才能使用，互联网产品更应降低用户使用门槛，减少使用障碍。”

在司法实践中，隐私政策的法律效力也在被探索。在备受关注的“用户诉爱奇艺庭审出具其观影记录侵犯隐私”一案中，工信部回复原告行政复议申请称，其注册会员时接受了爱奇艺的隐私政策，代表其同意爱奇艺收集、使用本人观看记录，并据此认定爱奇艺的行为并无不当。

不过，大多数App都要求用户在首次安装时点击同意用户协议和隐私政策，且在注册登录环节还要再次通过点击、勾选或登录的方式“同意”上述两份甚至更多文件，以免被认定为违法。

“隐私政策在某种程度上作为格式合同，其本身就有一定争议，而要求登录用户必须作出两次同意的做法明显属于‘重复同意’。那么第一次‘同意’到底有无法律效力？合同关系的生效时间从什么时候开始算？”另一位与会人员提出疑问。

为此，他建议，如果要把隐私政策和用户协议均视为格式合同，那么App首次弹窗展示用户协议和隐私政策就属于“有效告知”，此时用户点击“同意”便意味着合同关系的有效成立，此后用户登录账号时再次选择同意只是进行加强确认，并不是必要的。

“除非有相反证据证明用户首次作出‘同意’时合同未成立或未生效，否则用户第一次‘同意’用户协议和隐私政策就意味着在线合同关系生效。这样能避免大量网络服务行为处于效力不确定的状态。”上述与会人员强调，不能为了反复要求同意隐私政策，而对用户及基本民事法律关系造成困扰和混乱。

2

同公司下多个App隐私政策不可“一刀切”

在使用App的过程中，或许有人会发现，同一公司旗下不同产品的隐私政策可能并不相同，而同一App还可能为儿童专门另设一份隐私政策。在满足合规要求的前提下，如何避免隐私政策过于冗长繁琐？

“隐私政策不建议一刀切。”一位与会人员表示，根据不同类型App分别制定隐私政策属于产品设计的一部分，与公司的合规成本、产品同质化和差异化情况等多种因素密切相关。

他以某大型互联网公司为例指出，由于整体体量过大、产品差异化明显，该公司的游戏类、社交类、音乐类产品都有各自专门的隐私政策。而在该公司的产品矩阵中，所有游戏类产品共用同一个隐私政策。

该与会人员认为，同类型App使用相同的隐私政策意味着上述公司旗下所有游戏的隐私政策保护水平都是一致的，“无论是王者荣耀这种国民级的（游戏），还是单独某个小游戏，它们的隐私保护水平是拉平的，这不是好事吗？”

除了不能“一刀切”，也不能“盲目堆砌”。另有与会人员指出，有的公司在治理存在风险隔离的情况下，依然让其跨场景、非同质化、不同业务体量的产品使用同一个极为冗长的隐私政策，这是“典型的为了应付监管”，用户体验感将十分糟糕。

此外，研讨会还提及了适老化场景、未成年人模式等特殊场景个人信息处理规则在隐私政策中的体现问题。有与会人员建议，在涉及上述场景时，App应对该模式下的个人信息处理规则简要地进行特别说明，以实现增强告知的目的。

然而，也有人持有反对意见。他们分析，从用户体验的角度来看，App应尽量减少青少年、老年人等特殊群体选择“同意”的负担。早在进入App时他们就已经同意过该App的个人信息处理规则，特殊模式下进行增强告知的内容也只是完整规则的“子集”，并没有必要再次进行增强告知。

3

第三方如何担责？取决于有无主动展示

南都个人信息保护研究中心曾在《个人信息安全年度报告（2021）》中提到，在被测评的150款App中，有135款都在其隐私政策中列出了嵌入的第三方SDK（软件开发工具包），并告知其名称、处理目的、个人信息类型和链接。

会上也针对App及其嵌入第三方的法律责任进行了讨论。当用户进入App并同意第三方处理其个人信息时，需先同意第三方的隐私政策，那此时第三方的隐私政策是否应该全面展示？如果第三方隐私政策不完备，App是否应该嵌入？如果后续出现问题，App如何与第三方进行责任切割？

有从事App安全认证工作的专家表示，不建议App嵌入存在没有隐私政策等问题的第三方，更重要的是“第三方产品要有制定隐私政策的意识”，不能使其过度依赖App本身的隐私政策。

“现在的情况就是全部由App‘背锅’。”某企业法务直言，如果是受托处理的场景，应由App承担相应责任；但若是用户调用了以小程序或插件形式嵌入平台的第三方，那么第三方作为独立处理者就要承担责任。

他建议，这种情况下应让App与嵌入的第三方之间进行责任切割，而切割的判断标准为第三方是否在用户使用过程中主动展示其身份。

如果主动展示，则其没有隐私政策或未获用户同意等情况所造成的后果就由第三方承担；如果没有主动展示，则无需进行责任切割，但第三方宜在网站、社交媒体页面等公开渠道上披露相关的隐私政策，方便合作方、公众查阅。