互联网公司是如何制定隐私协议的，有哪些考量因素？

一、隐私条款的内涵

从最广泛的意义上来说，隐私条款是网络运营者对其所开展的收集、保存、使用、共享、转让等个人信息处理行为的说明。因此，隐私条款完成的是“告知”（notice）这个动作。

在中外实践中，产品和服务主要是通过隐私政策（privacy policy）或者在服务协议中加入关于个人信息的条款（privacy clauses）来完成告知。隐私政策文本或服务协议中的个人信息条款通常篇幅较长，其作用在于完整、清晰地描述产品和服务收集、保存、使用、对外提供个人信息的行为。在此有必要说明，之所以称为隐私政策而不是个人信息政策，主要是尊重国内外行业中约定俗成的叫法，其针对的还是个人信息而非个人隐私。

除此之外，产品和服务还可以通过其他形式完成告知：一是增强式告知（enhanced notice），即注册账号，或安装程序，或首次使用时向用户展示的关于个人信息的提示。其并非隐私政策，但浓缩了隐私政策的核心内容，或突出展示了用户最关心的信息，例如收集了哪些个人信息，这些信息将会提供给谁等。很多时候，在增强式告知中包含了指向完整的隐私政策文本的链接。这样做的好处就是，即便用户没有阅读隐私政策文本，但是通过增强式告知，能够了解到隐私政策的关键核心内容，了解到风险较高的个人信息处理行为。

二是即时提示（just-in-time notice），即在用户使用过程中即时展示的关于具体个人信息处理行为的提示。其往往用于针对个人敏感信息的二次授权（在对隐私政策）前的告知。个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。这些个人敏感信息在收集、使用，或者向他人提供（包括共享、转让、公开披露）前，需要再一次提醒用户，因为这样的信息处理对用户有着重大影响。从用户角度出发，对个人敏感信息的处理行为，不应该仅仅埋没于隐私政策的文字中，而是应该突出、凸显出来，征得用户的同意。

与国外单一功能类的互联网应用相比，我国平台式的互联网应用较多。平台式的应用必然要集合很多其他功能。这些功能可能会遵守同一份隐私政策，也可能各自有一些特殊规定。因此，在用户点开这些附加功能的时候，产品和服务的提供者可能还会提供一次单独告知，有针对性地告知用户，这个附加功能将对个人信息做出哪些与平台应用的隐私政策不同的处理。

由此可见，隐私条款实际上包含了产品和服务提供的上述各种形式告知（以及本短文没有提及的其他形式）的一种或多种组合。

二、隐私条款的公开要求

在《网络安全法》中，对隐私条款最直接的要求是第41条第一款：“网络运营者收集、使用个人信息，应当......公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。”总结起来，就是公开、明示、同意三个具体要求，余文逐一讨论。

在笔者看来，公开收集、使用个人信息的规则，有利于用户了解产品和服务个人信息处理行为的实质；更重要的是，对监管机构来说，产品和服务公开收集、使用个人信息的规则，是加强个人信息监管的有力抓手；对社会监督角度来说，公开收集、使用规则是形成公众、舆论压力的最佳切入路径。以下以欧美个人信息保护部门对谷歌和脸书公司的两次执法为例说明。

2012年3月，谷歌把涉及其旗下产品和服务的70余项隐私政策合并为一个文本。包括英国、荷兰、西班牙、法国、意大利等国在内的个人信息保护部门对此各自开展独立调查。这些部门得出的一致结论是：合并后的隐私政策文本没能清晰地告知谷歌出于哪些目的分别收集了哪些信息，将和谁共享上述信息。例如，荷兰个人信息保护官在命令中指出：谷歌在其隐私政策中“没能清晰、充分、具体地界定其收集个人信息的目的，因此违反了荷兰数据保护法第7条关于应出于具体、正当的目的而收集个人信息的要求”，谷歌应于2015年2月前修改隐私政策，否则将面临1500万欧元的罚款。英国个人信息保护官则认定，谷歌在其隐私政策中对其使用个人信息的规则描述过于“模糊”，因此要求其在2015年6月30日前整改完毕。意大利、法国、西班牙则直接处于罚款，并给出整改期限。

2010年，美国民间组织“电子隐私信息中心”（EPIC）将脸书公司个人信息收集、处理行为与其隐私政策描述不符一事，向美国联邦贸易委员会（FTC）投诉。EPIC声称，脸书公司未事先获得用户同意向其合作伙伴共享用户个人信息、共享了用户设置为限制访问的个人信息、公开了用户限定了只限朋友可见的个人信息等，违背了脸书在隐私政策上所做的承诺。FTC随后开展调查并最终要求脸书更正其隐私政策，并在接下来的20年里要定期聘请独立第三方对其个人信息处理行为开展评估。

从上述两个执法和社会监督案例来看，虽然隐私政策文本冗长而经常被诟病，但是长文本的好处在于能做到详细、完整、清晰，而且隐私政策公开以后，读者并非仅仅是用户而已，还包括监管部门、学者、记者、消费者保护团体等，因此不应一味要求隐私政策文本简短、简练，毕竟其还承担了许多其他角色。

三、隐私条款的明示要求

《网络安全法》要求“明示收集、使用信息的目的、方式和范围”，后面紧跟着“并经被收集者同意”。因此可以认为，明示这个要求主要服务于用户，用户要做出授权同意的前提当然应该是知道自己“同意了什么”；进一步来说，明示还可以理解为要求产品和服务在告知时提供的信息，应当在用户所处的具体场景（current context）中有着直接的相关性（direct relevance），以帮助用户在做出具体动前，能够充分考虑对其个人信息的具体影响。

从这个角度出发，仅仅通过冗长的隐私政策或者服务协议来告知完成明示这个要求，显然存在巨大的缺陷。隐私政策提供的是个人信息处理规则的全集，其包含的许多内容在用户浏览、注册、支付时并非直接相关，对用户做出具体动作来说属于冗余信息。因此一股脑地向用户展现和灌输，只会造成用户认知和选择上的疲倦。

如前文所述，产品和服务完成明示要求，事实上可以综合采用多种告知的形式，创造性地对“增强式告知”、“即时提示”、对附加功能的“单独告知”等进行组合。具体来说，在进行上述组织以满足明示要求时，产品和服务可考虑以下因素：

一是场景和时机。充分考虑用户在不同使用场景中最需要的信息：例如某些产品和服务无需要求用户注册账户也能够使用，则当用户首次打开应用时，只需通过“即时提示”向用户展示纯粹浏览时需要收集的信息，同时可提供指向隐私政策文本的链接以供感兴趣的用户进一步查阅。在用户决定注册账户时，可以通过“增强式告知”展示浓缩后的隐私政策核心内容（如新华社报道中指出的“用一图读懂形式告知用户提供哪些服务对应要采集哪些信息”），同时要求用户同意隐私政策文本。

二是用户的合理期待，即在明示时充分考虑对用户来说可能出乎其意料的个人信息处理，或者根据个人信息处理对用户合法权益造成的风险大小来排列展示信息的顺序。例如，许多平台式的应用集成了其关联公司或第三方的服务，用户在打开这些服务时可能并不清楚自己正在向不同的网络运营者提供个人信息，此时就需要采用对附加功能的“单独告知”、“即时提示”等形式来提醒用户。

此外，产品和服务还可用声音、震动等提示方式作为对文字展示的补充。例如在进入集成了特定传感器的环境，手机上与该传感器相匹配的应用可以发起震动或者调用闪烁功能来提醒用户，达到明示的效果。

总结起来，前文叙述的隐私条款的公开要求，面向的是多个对象。而此节的明示要求，则主要针对用户，最核心的考核标准是用户是否对某个场景或操作中涉及的个人信息处理行为明明白白。许多企业对外宣称“以用户为中心”，那就必需在明示时，多发挥一点创造性，让用户真切地感受到产品和服务的真诚和温度。

四、隐私条款的同意要求

“经被收集者同意”事实上可以分两个层次来理解：首先，选择同意应当是用户清晰的自主意思表达，具体来说就是用户通过书面声明或主动做出肯定性动作，对其个人信息进行特定处理做出明确授权的行为。例如用户主动作出声明（电子或纸质形式）、主动勾选、主动点击“同意”、“下一步”、“注册”、“发送”、“拨打”等视为肯定性动作。其次，应当避免存在一揽子协议强迫用户同意，例如天气预报软件强制收集用户通信录信息否则无法使用，此举事实上剥脱了用户的选择权利。

对于前者来说，用户注册时弹出“增强式告知”时的选择同意、附加功能开启时弹出“单独告知”时的选择同意或主动填写提供个人信息、个人敏感信息采集在业务场景中即时弹框同意、附加功能采集个人敏感信息逐项选择同意、在线撤回同意，在线注销账户等等，都是尊重用户自主意思表达的具体做法。

对于后者，理想的状态是产品和服务在设计、开发阶段就考虑到个人信息与实现功能之间一一对应的关系；然后提供控制面板，允许用户逐项选择同意收集、使用的个人信息类型；在用户选择完毕后，得出产品和服务可以实现的功能集合；用户可随时在控制面板作出或撤回同意。但由于通过设计保护隐私（privacy by design）的理念尚未大规模成为业界的实践，现阶段大部分的中外网络产品和服务均无法达到上述的理想状态，因此一个折中的办法就是要求产品和服务划分出核心功能和附加功能。

对于核心功能，产品和服务应向用户告知所提供的核心业务功能及所必需收集的个人信息，并明确告知拒绝提供或拒绝同意将带来的影响。例如提供实时导航服务的软件，用户不提供位置信息则无法完成服务。

但对于附加功能，启用前应向用户逐一说明个人信息为完成何种附加功能所必需，并允许用户逐项选择是否提供或同意自动采集。当用户拒绝时，可不提供相应的附加功能，但不应以此为理由停止提供核心业务功能，并应保障相应的服务质量。例如提供实时导航服务的软件，还提供附近的餐饮或住宿预订服务，就属于附加功能，用户有权拒绝使用且仍能够享受导航服务。

应当说明的是，为完整、清晰、详细地展示产品和服务关于个人信息处理行为的全貌，隐私政策文本需要同时囊括核心功能和附加功能收集、使用个人信息的规则，用户点击同意其实并不意味着一揽子对核心功能、附加功能提供了一次性的授权同意。相反，附加功能的使用还需要用户主动触发，例如主动点击同意，或主动填写相关的个人信息。所以，不宜将此情形中产品和服务要求点击同意隐私政策视为“绑架用户”。毕竟附加功能的开启及所需要的个人信息，用户在实际使用中还是能够行使选择权的。

五、坚持管控个人信息收集环节

提升隐私条款，实质是加强个人信息收集环节的管控，坚持数据最小化原则（data minimization principle）。而在大数据、万物互联、人工智能的时代，国内外均有部分专家提出，应当放弃对个人信息收集环节的管控，放弃数据最小化原则，转而专注规范使用环节。从这个角度出发，四部门开展的“隐私条款专项工作”没能抓住个人信息保护问题的关键，甚至注定是吃力不讨好的。

这样的观点值得商榷。首先，告知是各国现行法律和国际权威框架的基本要求，例如OECD的隐私保护框架、欧盟2018年将生效的《通用数据保护条例》、美国联邦贸易委员会的执法准则、美国金融行业的“格雷姆-里奇-比利雷法”等，可以说国际主流做法对个人信息的保护，都是从收集环节就开始着手的。

其次，在现阶段确实有越来越多的个人信息被越来越多的组织以越来越多的方式、途径所收集，但这就意味着收集这个环节就应该放弃控制？这是典型的技术逻辑至上的思维。但有意思的是，几乎所有的学者都认为对人工智能的发展，应该通过伦理、法律的力量对其加以驯化。显然，是不是让技术逻辑说了算，本身就是个可左可右的问题。

再者，许多学者担心管控收集会拖慢创新和发展，影响国家社会进步，降低民众可享受的便利。可以设想一下，放弃收集环节的控制，最大的受益者是各个收集个人信息的网络运营者，但他们对个人信息的使用是否一定会遵循最大化公共利益的路径，本身就是个疑问。而且如果收集环节已经控制不住，为什么在使用环节就一定能控制住？

最后，几乎所有学者都认为应该限制政府部门收集、使用个人信息，因为掌握了个人信息在辅以公权力，很容易实现了对个人的优势性支配。目前，各大型网络运营者，特别是平台运营者正在对民众生活各方面行使着“准公权力”，如果允许他们对个人信息的收集不受控制，真的是一种明智的选择吗？

简单回答一下。

内容

模板目前主要都是参考《个人信息安全规范》附录里的模板，知乎用的就是这个。

更关键的是内容，即在《隐私政策》里承诺的东西要能够在产品（服务）的功能上予以体现，既不要过度承诺，也不能低于法律要求。

如果出现争议，法庭会对隐私政策进行实质性审核。比如“淘宝诉美景不正当竞争纠纷案”。

网络安全法

隐私政策的内容也只是一方面，同样重要的还有如何把隐私政策展示给用户，以及如何获取用户的同意。

《网络安全法》：

第四十一条 网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

当然在《个人信息安全规范》里面要求地更加详细。

淘宝诉美景不正当竞争纠纷案

淘宝公司有一款名为“生意参谋”的产品，通过生意参谋，可以向淘宝与天猫的商家提供“可定制、个性化、一站式的上午决策体验平台，为商家店铺运营提供数据化参考”。生意参谋的标准版每年900元，专业版3600元。目前已累计服务超过2000万商家，月服务商家超过500万。同时，生意参谋产品本身设置有添加、管理子账户的功能。

被告美景公司开发了名为“咕咕互助平台”与“咕咕生意参谋众筹”的软件与平台，让已订购淘宝生意参谋的用户可以通过咕咕互助平台分享、共用其子账户。通过分享、共用子账户，已订购生意的用户可以获得佣金。美景公司还提供为远程登陆提供技术支持，而美景公司自然也从生意参谋的有偿共享过程中获得分成。

淘宝公司认为美景公司的行为构成了对生意参谋产品的实质性替代，“直接导致了淘宝公司数据产品订购量和销售额的减少，极大损害了淘宝公司的经济利益，同视恶意破坏了淘宝公司的商业模式，严重扰乱了大数据行业的竞争秩序，已构成不正当竞争行为。”

在案件中，其中一个争议焦点是生意参谋所使用的用户数据是否具有合法性，因为被告美景公司认为淘宝公司违法取得个人信息。

这也是《网络安全法》在生效后，法院第一次认真分析其中的个人信息收集、使用条款，并且判断数据收集、利用是否合法合规，故本案应该被称为真正意义上的“网安法第一案”也并不为过。

法院认为：

淘宝公司在网络上公示了《淘宝平台服务协议》与淘宝隐私权政策，淘宝隐私权政策明确宣示了收集、使用用户信息的目的、方式、范围，其收集、使用各类网络用户信息与所提供的服务能相互对应，符合“必要与最少限度”的要求。
淘宝隐私权政策会根据用户浏览及搜索记录、设备信息、位置信息、订单信息、提取浏览、搜索偏好、行为习惯扽特征，基于特征标签进行简介人群画像并展示，且明确告知用户如果拒绝提供相关信息，可能无法使用相应的服务，或者无法展示相关信息，但不影响使用淘宝网浏览、搜索、交易等基本服务，提示用户的选择权。
此外，淘宝公司还承诺如果将非个人信息与其他信息结合用于识别特点个人的身份，或还原个人信息，会将这类信息进行匿名化处理。

由此，淘宝隐私权政策所宣誓的用户信息收集、使用规则在形式上符合“合法、正当、必要”的原则要求。经审查，“生意参谋”数据产品中可能涉及的的用户信息种类均在淘宝隐私权政策已宣示的信息收集、使用范围之内，其中“生意参谋”数据产品所展示的商户经营信息均为在商户在淘宝服务平台上已自行公开的信息，法院未发现淘宝公司有违反其所宣示的用户信息收集、使用规则的行为。

案件明确数据合法性需要以用户的“同意”为基础。并且，法庭实际上是对淘宝、天猫的隐私政策进行了实质审查，不仅审查法律条文是否符合《网络安全法》中的“合法、正当、必要”原则，更对产品的功能有无违反宣示的政策进行了审查。

实际操作

简单来说是这样，实际上操作起来会复杂得多，需要大量的沟通以及与其他法律文件的衔接问题。

谢 @王瑞恩 邀。这个问题我在知乎推出新的隐私协议的时候就写过一次。在此附上。

什么是隐私协议（privacy policy）和用户使用协议（terms of use）？

隐私协议是告知用户网站或者移动端软件如何收集和使用用户信息和数据的文档。欧美国家一般有很硬性的规定，比如如果用户有13岁以下小孩应该怎么办，搜集医疗金融等相关信息应该怎么办，相关分析请看附录1。

而用户使用协议相当于是网站和用户之间的合同，比如知识产权归属，账号禁封权利等等。具体分析可以看我的附录2回答里面对于大众点评网站和APP用户使用协议的分析。

这两者是不同的东西，但是因为一般网站和APP都需要，很多人会混为一谈，甚至不合格的法务会把这俩写作同一类东西。

为什么昨天进入APP还需要重新同意一次，不同意就不能使用？

知乎本来是有一版隐私协议的，但是写得非常的烂此处就不吐槽了。一般网站或者APP在更新隐私协议的时候都需要告知用户，尤其是当这种修改影响了用户的权利。告知方式我见过非强制性的网站底下显示通知，邮件通知，或者是像知乎那样在进入界面需要点同意等等。新版用户协议也写了未来修改的通知内容，

本政策为《知乎协议（草案）》的重要组成部分。知乎保留不时更新或修改本政策的权利。如果该等修改造成您在本政策下权利的实质减少，知乎会通过不同渠道向您发送变更通知，包括但不限于网站公示、私信通知等方式。
若您不同意修改后的隐私政策，您有权并应立即停止使用知乎的服务。如果您继续使用知乎的服务，则视为您接受知乎对本政策相关条款所做的修改。

至于不同意不能使用我觉得至少还是尊重用户权利保护用户的，总比百度新浪这种不问你主观意志上的同意，直接在条款里写“你用我们产品就相当于同意我们的隐私协议和用户条款”来的好。

如何搜集，保护和保存个人信息需要详细写出来吗？

一般写隐私协议写到如何使用Cookie已经差不多了，这种文档是由法务和IT部门一起合作完成的，但是由我和软件工程师们沟通的经验来看，他们说的很多话我是不会写在隐私协议里的，因为用户也看不懂。要知道这份协议是面向大众的，而不是给专业人员去研究的，所以没必要披露的那么仔细。比较好的隐私条款应该和合同一样，简洁明了易懂但是重点都写到。

依照法律要求披露搜集到的用户信息是常规操作吗？

Google的语言，

知乎的语言，

基于法律法规、法律程序、诉讼或政府主管部门强制性要求。但我们保证，在符合法律法规的前提下，当我们收到上述披露信息的请求时，我们会要求必须出具与之相应的法律文件。

其实算是此类文件里面的样板语言，没必要那么敏感。

如何拟写一份隐私协议？

最后来总结一下我常用的一份checklist，感兴趣的可以上practical law company查看详细的内容，美国有个公司叫termsfeed专门帮人拟写隐私协议，大概100刀一份。

1. 网站或者APP搜集哪些信息，如何搜集，为什么搜集这些信息，将会如何使用这些信息
1. personal-identifiable information（可辨认私人信息？）：例如姓名，家庭住址，电话，证件号，信用卡银行卡信息等等
2. Non-personal identifiable information：搜索历史，设置喜好等等
2. 法律法规要求 （这个在中国好像就是用“在法律法规及主管部门要求下”来概括，美国和EU就很复杂）
3. 自动信息搜集：包括地理位置，设备信息，储存信息和文件等
4. 信息搜集技术：Cookie和Web Beacon
5. 第三方信息披露： 在什么情况下对第三方披露什么信息，这些信息由己方还是第三方隐私协议保护，第三方会如何使用这些信息等
6. 披露搜集到的信息：在什么情况下公司有权披露用户信息，给哪些对象，做哪些用途
7. 用户如何选择取消自动搜集功能，如何修改提供的信息，能否拒绝公司向第三方披露信息，如何通知公司消除个人信息等
8. 数据安全：公司如何储存信息，信息会储存在哪里，一般储存多久，可否由用户通知公司进行消除等
9. 未来修改隐私协议的通知方式

附录1： 陈诺：如何看待百度李彦宏表示的「中国人更开放，愿用隐私换效率 」?

附录2：陈诺：如何看待 @藥師 将差评其于杭州的niuniupark 西餐厅的顾客之用餐视频上传到知乎这一行为？