引 言

2022年5月26日，全国信息安全标准化技术委员会发布《信息安全技术 互联网平台及产品服务隐私协议要求（征求意见稿）》（以下简称《要求》）。《要求》从隐私协议的编制程序、发布形式及争议纠纷解决等方面提供了指引，对实践中互联网平台及产品服务隐私协议的起草和修订问题作出了回应。本团队认为，以下几个方面需重点关注。

一《要求》在术语和定义方面与同类型规范有何不同？

在第三章的“术语和定义”中，《要求》对一些重点术语的定义没有照搬《信息安全技术 个人信息安全规范》（GB/T 35273-2020）（以下简称《规范》）中的解释，而是结合《个人信息保护法》的相应规定和《要求》的应用实践目的进行修改，具体区别如下：

二《要求》对互联网平台收集个人信息提出哪些要求？

《要求》7.4.b：“根据不同服务类型，分别列出各业务功能所收集的必要个人信息类型和非必要个人信息类型，并以‘个人信息收集清单’的形式统一集中展示”。

《要求》7.4.c：“描述实现特定业务功能所必需的必要个人信息类型时，应参考《常见类型移动互联网应用程序（App）必要个人信息范围》。”

在《要求》发布之前，该种信息采集模式已广泛运用于互联网平台的信息采集业务之中：在点开曾经没有浏览过的网站时，网站会跳出对cookie的个人设置，访问者按需勾选即可。《要求》第7.4.b条的“个人信息收集清单”模式符合《个人信息保护法》中的“清晰易懂”要求，有助于个人信息主体在最短时间内完成授权。

针对“个人信息收集清单”的具体内容，7.4.c引用了其他法律文件，这体现出未来互联网合规领域标准颁布的趋势：通过多项标准的结合使用，确保互联网平台及产品服务在多层次多维度符合规定，达到最终合规的目的。企业需紧密关注最新规则的颁布与实施，将各项标准结合运用以确保企业的合规性。

三我司产品将在多地域乃至跨境处理数据，在此情况下是否需在隐私协议中告知？《要求》中有什么相关规定？

《要求》7.4.h：“隐私协议的部分内容包括：说明个人信息在使用过程中涉及的地理区域，如个人信息存储和备份的地域，个人信息传输过程中涉及的地域范围；如果个人信息存在跨境传输情况，需单独列出或重点标识。”

《要求》7.7：“如果因业务需求、政府和司法监督要求存在跨境信息传输情况，需详细说明需要进行跨境传输的数据类型，以及跨境传输遵守的规则、协议和法律机制（合同等）”。

《要求》明确规定，个人信息涉及跨境或跨区域传输的，协议应当详细说明，尤其是涉及跨境传输时需进行重点标记。虽然我国跨境数据传输标准合同尚未发布，但是旗下互联网产品需跨境传输数据的公司仍应重点关注相关标准并及时更新隐私协议内容。

四《要求》对隐私协议的呈现和访问提出哪些要求？

《要求》8.b：“隐私协议应长期置于个人信息主体可便携访问的页面，不应通过置于多级目录、缩减字号、淡化颜色、不提供简体中文版等方式干扰个人信息主体获取。个人信息主体为查阅个人信息保护政策所做的点击操作，不应超过4次。”

《要求》8.c：“产品或服务涉及多种服务类型时，仅将隐私协议用于向个人信息主体告知产品或服务个人信息处理总况的目的，不应通过要求个人信息主体同意隐私协议的形式一次性获得个人信息主体对多种服务类型的同意。”

《要求》8.e：“不应以更新隐私协议的方式强制要求个人信息主体同意收集更多的个人信息，或削减个人信息主体的各项权利。”

其中，“不应超过4次”为个人信息主体获取隐私协议的步骤量设置了红线，这一点在《App违法违规收集使用个人信息行为认定方法》中已有体现。禁止“一揽子授权”的要求已在《规范》《App违法违规收集使用个人信息行为认定方法》和《个人信息保护法》等法律规范中反复提及，《要求》在第8.c条中再次强调，其重要性不言而喻。

五《要求》对大型互联网的隐私协议修订提出哪些特殊要求？

《要求》9.b.3：“大型互联网平台应就隐私协议的修订内容应征求主要由外部成员组成的独立机构的意见和建议。（注：大型互联网平台运营者是指用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者）”

《要求》9.c：“日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的，应当经国家网信部门认定的第三方机构评估，并报省级以上网信部门和电信主管部门同意。”

前述条款对大型互联网平台隐私协议修订的要求是对《个人信息保护法》第五十八条及《网络数据安全管理条例（征求意见稿）》第四十三条的进一步细化，该项条款为《要求》的点睛之笔。相较以往用户只能选择同意或拒绝隐私协议的情况，《要求》在给予个人信息主体反馈渠道的同时，引入独立机构及网信部门、电信主管部门的力量，为大型互联网平台隐私协议的质量及公平性提供了保障。

作者：吴丹君律师团队

来源：微信公众号“大数据法律研究”