北京清律律师事务所(升级隐私政策，优化弹窗，个保法落地实施，这些成为新常态)

最近在使用手机APP或者打开电脑的时候，许可证发现了一些明显的变化。关于“隐私政策”变更的弹窗频繁出现，用户只有点击确认或同意后才能继续使用。

五天前收到苹果发来的邮件“苹果已经做好了个人信息保护法案的准备”；四天前更新了最新版本的微信后，看到隐私指引和信息分享披露有了变化；当我昨天打开星巴克的应用程序时，我发现它的主页上有一个“隐私政策变更”的“弹出窗口”...

所有这些变化都与一项法律的实施有关。

11月1日，我国首部专门的个人信息保护法——个人信息保护法(以下简称《个人保护法》)正式实施。人身保险法以“告知-同意”为核心处理规则，并针对现实生活中社会反映强烈的一揽子授权、强制同意等问题，规定个人信息处理者在处理个人敏感信息、向他人提供或者披露个人信息等时，应当取得个人同意。

为了保证个人信息处理的合法合规性，“告知-同意”机制受到了信息处理者的关注。然而，当加强隐私保护成为app和网站中的“新常态”时，一些新问题和旧弊病也引起了更多的关注。比如，如何细化APP隐私政策的粒度，增加用户可读性？APP向第三方提供个人信息时，如何增强权限调用的透明度？“弹窗时代”如何让用户不累，企业不心烦？

如何同时拥有“准确性和完整性”和“清晰性和可理解性”

《个人保护法》第二章第一节明确了个人信息处理规则的一般规定。其中，第十七条指出，个人信息处理者在处理个人信息之前，应当以醒目的方式和清晰易懂的语言，真实、准确、完整地告知个人有关规定。

“准确、完整”是指通知文本应当充分、详细，而“清晰、易懂”是指通知文本应当简明易懂。这一旨在充分保护用户知情权的规定，在实践中个人信息处理者很难做到两全其美。

北京师范大学国际网络法治中心执行主任吴沈括在接受《第一财经日报》采访时表示，目前，作为个人信息处理者“告知”使用的主要形式，如何在文本的完整性和简明性之间平衡隐私政策仍是一个难题——模糊的告知会导致“同意”的自由；冗长的通知会增加知道的时间成本和专业门槛，如何平衡还有待信息处理者进一步探索。

但在探索阶段，针对隐私政策宣示作用大于实质作用的问题，部分信息处理者进行了内容改进和形式创新。

其中，操作流程或跳转链接附在“隐私功能设置”中；增加目录但简化文字内容，重点部分加粗；提供可视化浏览模式；快递第三方信息共享列表等。

例如，在苹果公司10月27日为其中国用户更新的隐私政策中，12个主要目录如“你所说的苹果个人数据是什么意思？”“你在苹果的隐私权？”“苹果公司从您那里收集的个人数据？”采用了“苹果从其他来源收到的个人数据”，以减少因内容过多而产生的“迷眼”问题。同时，每个主目录后面都有一个“+”键，想了解详情的用户可以继续浏览。

在支付宝“我的”中的“用户保护中心”，分别讲解了支付宝的隐私政策和蚂蚁集团的隐私政策。在支付宝隐私政策中，有“简版+完整版”两个版本，而在简版中，则采用“视频+文字+图表”的通知方式。

其中《蚂蚁集团隐私政策》是10月31日发布的最新版本，11月7日生效。根据该版本，为了方便不想接受“根据用户信息形成群体特征标签，以提供用户可能感兴趣的营销活动通知、商业电子信息或广告”的封闭操作的用户，直接附加跳转链接，即阅读时可以同步处理该操作。

此外，根据《人身保险法》规定，向第三人提供个人信息时，应当征得信息主体的个人同意。针对这一规定，截至目前，支付宝、微信、QQ等。都在自己的隐私政策中做了单独大胆的解释，并附上了第三方信息共享的清单。

值得注意的是，为进一步落实信息处理者在第三方处理个人信息时的监管义务，11月1日，工信部发布《关于推进信息通信服务意识的通知》，要求相关互联网企业建立个人信息保护“双清单”——“采集个人信息清单”和“与第三方共享个人信息清单”，并在APP内展示，供用户查询。第一批“双榜”企业，包括腾讯、阿里巴巴、美团、Aauto快消、拼多多等39家企业。

在吴沈阔看来，要想让隐私政策保护用户的个人信息，还有两个问题亟待解决。

“第一，用户数字素养和数字保护意识的提升是一个渐进的过程；第二，在文本设计上，信息处理者仍然进行虚假陈述，以规避合规风险。换句话说，考虑到用户可能不会完全浏览隐私政策的具体内容，相关声明主要起到自我承诺的作用。在此背景下，有必要加强对事后虚假陈述的问责。”吴申阔说道。

弹出窗口困境

但隐私政策并不是实现“告知”的唯一途径。

中国信息通信研究院互联网法律研究中心高级研究员、个人信息保护立法课题组负责人杨洁告诉第一财经，在匹配特定场景的情况下，通过提示或“弹窗式”增强通知的方式，将个人信息处理活动的核心点集中在该场景中，然后用完整版的隐私政策查询链接告知个人，也是信息处理者实现或增强“通知”的可行方式。

北京吕晴律师事务所首席合伙人、清华大学法学院互联网法律与政策研究中心秘书长熊钟鼎也认为，“弹窗”是明确告知、增强个人信息保护的重要载体。

他告诉第一财经，目前对于信息处理者来说，无论从权限还是隐私方面，大致有三种方式明确告知用户双方的约定。一是写在隐私政策里，但监管部门反对通过“一揽子”隐私政策告知；第二，发站内信，但前提是信息处理器提前收集用户的信息，操作上可能存在合规风险；第三，设置“弹窗”，即通过强制用户做出点击、关闭等一系列动作，然后关闭通知内容，即可实现清晰有效的通知。

对于人身保险法中需要单独约定的场景，“弹窗”成为相关信息处理人员的最佳解决方案。”熊对说道。

根据《人身保险法》第二十八条、第二十九条规定，处理个人敏感信息应当征得当事人个人同意。

敏感个人信息是指一旦泄露或被非法使用，容易导致侵犯自然人人格尊严或危害人身、财产安全的个人信息，包括生物特征识别、宗教信仰、特定身份、医疗健康、财务账户、行踪轨迹等信息，以及未满14周岁的未成年人的个人信息。

随着《人身保护法》的颁布和落地，简洁直接的弹窗成为信息处理者实现强化通知的共同选择。但对于用户来说，越来越多的“弹窗”不仅保证了选择权，也影响了体验感。

考虑到不同场景下“弹窗”的合理性和必要性，中国电子技术标准化研究院网安中心评测实验室副主任何延哲对“弹窗”进行了分类统计。

何延哲认为，与合规相关的“弹窗”大致可以分为两类:第一类是与个人信息保护直接相关的弹窗，包括首次开通或注册账户时的隐私政策、更新隐私政策时、权限申请前告知弹窗用途、开通刷脸、指纹等功能、嵌入第三方SDK等。在超过15个场景中；第二类是其他可能的弹窗场景，包括访问网站类型、广告或活动弹窗、青春模式、操作业务时的个人提醒等几种场景。

除了上面的“弹窗”，还有拒绝后APP再次询问的场景(比如权限)。

何延哲举例说，以用户平均安装的30个app为例，如果所有app都已经更新并将在一个月内使用，按照第一类“弹窗”出现60次，第二类“弹窗”出现20次。如果以一个月30天计算，一个月就要出现2400次。

换句话说，用户保守估计，在未来一个月内，将有数千个“弹窗”可供点击。

何延哲告诉第一财经，“弹窗”不断出现的背后，是信息处理者和用户不断博弈的结果，之所以需要游戏，是为了找到更好的平衡点。在这个过程中，信息处理器可能会通过减少低价值的“弹出窗口”进行优化，进一步赋予用户选择“隐私偏好”的权利，并适当组合“弹出窗口”。

为了防止用户在打开app时同时弹出过多的“弹窗”，也为了满足个人信息收集的必要性原则，杨杰建议，当APP的某项业务功能必须激活权限时，应动态进行权限申请。如果用户不同意打开它的权限，则不应频繁弹出“弹出窗口”来请求用户的权限。

但也正是因为“弹窗”的增加会影响用户体验。在熊看来，面对越来越多的“弹窗”，感到“不安”的是相关的信息处理者。

“其实多弹窗不是企业追求的，是少弹窗。由于更多的弹窗往往伴随着更高的用户流失率，因此大多数合规的‘弹窗’是企业履行法定义务的最后手段。”熊对说道。

熊说，在用户眼中，越来越多的“弹窗”经过信息处理器优化后，成为最精简的内容。