法律上说“无隐私即无自由”[1]，能否设想一下你的隐私都可由别人操控的情形是什么样的？

移动互联网时代，一个现代人即使足不出户也可以完成所有的工作内容，满足所有的生活需求，而可以实现这些的就是手机中一个又一个APP，从工作场景到商场场景、从餐馆场景到速递场景，各种数字化场景随意切换，来去自如，几乎不费丝毫力气，这种便捷的日常是不是让你一度觉得人生尽在掌控？但真的一切都是如此乐观吗？

当所有的工作和生活都维系在手机APP上时，是不是可以稍微思索一下，这种便捷后面的代价是什么？我们在每一个手机APP注册时都会面临一个勾选，是否同意用户注册协议及隐私政策协议（或隐私条款），如果不勾选，相信这个APP是无法继续使用的。那为了继续使用这个APP进行勾选后同意隐私政策会怎么样？隐私政策是什么？隐私政策是法律要求吗？

 

一、什么是隐私政策？

隐私政策一词来自于英文中Privacy Policy的翻译，有的也译作隐私条款。顾名思义，隐私政策肯定涉及对隐私的保护，但个人信息和隐私的法律含义并非完全等同，隐私强调的是私密性和私人活动，而个人信息强调的身份可识别性，2018年8月公布的《民法典草案》新设了人格权篇，并专门对隐私权和个人信息作出规定,进一步强化对隐私权和个人信息的保护[2]。

实践中一般将个人信息收集和使用的规则通称为“隐私政策”，这一通称也被有关的标准制定机构所采纳，例如2018年5月1日实施的国家标准《信息安全技术个人信息安全规范（GB/T 35273—2017）》（下简称“个人信息安全规范”）[3]中，即把个人信息收集和使用的规则称为“隐私政策”，《个人信息安全规范》中的隐私政策模板规定：“发布隐私政策是个人信息控制者遵循公开透明原则的重要体现，是保证个人信息主体知情权的重要手段，还是约束自身行为和配合监督管理的重要机制。隐私政策应清晰、准确、完整地描述个人信息控制者的个人信息处理行为”。

隐私政策从法律属性上可以认定为信息控制者制定的格式合同。全国人大常委会发布的《关于加强网络信息保护的决定》规定网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息不得违反法律、法规的规定和双方的约定。此处的“约定”用语可推导出立法机关对于隐私声明性质的态度——将其视为合同。另外，《最高人民法院公报》中来云鹏与北京四通利方公司服务合同纠纷案的判决书中将新浪网在网站页面上向用户展示的网站服务条款内容认定为格式条款的合同。由此，可以将第二种类型的网站隐私声明之性质界定为格式合同[4]。

 

二、个人信息及保护的相关法律规定

既然个人信息收集和使用的规则通称为“隐私政策”，那么理解个人信息及保护的法律规定是理解“隐私政策”的前提。

（一）通用规则立法层面

我国法律对个人信息的规定和保护最早追溯到2012年全国人大常委会发布的《关于加强网络信息保护的决定》[5]，该决定首次明确了国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息，此处的识别身份及隐私的电子信息即为个人信息，直接识别性是其特点。

该决定也首次明确了网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经被收集者同意，不得违反法律、法规的规定和双方的约定收集、使用信息。

2017年全国人大常委会发布《中华人民共和国网络安全法》[6]（下简称“网安法”）扩大了个人信息的范围，《网安法》规定的个人信息是指“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”，除了《关于加强网络信息保护的决定》对于个人信息确定的直接识别之外，还明确了结合其他信息识别的间接识别的特点。后来的国家标准《信息安全技术个人信息安全规范》对个人信息进行更为详细的解释和规定，此处不再详述。

《网安法》规定网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。网络运营者收集、使用个人信息，应当公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

上述全国人大常委会发布的“一法一决定”从通用基础层面上确定了个人信息的直接识别及间接识别的特征；信息控制方（一般为网络运营者）收集使用个人信息需要遵循“合法、正当、必要”的原则，以及个人信息收集使用 “告知同意”原则，确定了对信息控制方在两个维度上的规制。

（二）行业规则立法层面

除了上述的通用基础立法层面，行业立法层面上，2013年修订的《消费者权益保护法》[7]确立对消费者个人信息保护原则，2019年实施的《电子商务法》[8]中规定了电子商务经营者对个人信息保护原则，特别要求电子商务经营者须明示用户信息查询、更正、删除以及用户注销的方式、程序。

（三）具体规则立法层面

在行政法规、部门规章和规范性文件立法层面，2013年工信部颁布的《电信和互联网用户个人信息保护规定》[9]、2014年国家邮政局发布的《寄递服务用户个人信息安全管理规定》[10]、2016年交通运输部、工信部等7部委发布的《网络预约出租汽车经营服务管理暂行办法》[11]、国家互联网信息办公室发布2019年10月1日实施的《儿童个人信息网络保护规定》[12]等多部法规都对个人信息收集使用的制度进行了规定。

 

三、隐私政策的政府规制

从上述法律法规可以看出我国在法律层面逐步完善了信息控制者制定用户个人信息收集使用规则的制度，这也是对网络运营者制定隐私政策规范化的一个过程，为了落实上述法律规定，政府相应的配套制度也逐步出台。

（一）2017年6月1日实施的《网络安全法》明确了网络运营者须建立健全用户信息保护制度，这也可以理解为网络运营者须建立隐私政策的法律依据。同时政府为落实这部互联网安全领域重要法律，逐步建立了相应的各项配套规定及制度。其中包括2017年7月27日中央网信办会同工信部、公安部、国家标准委等四部门10家大型互联网企业就隐私政策进行评审[13]，并与2019年9月24日公布了评审结果[14]，评审会议指出，针对长期以来网络运营者在提供产品和服务时，普遍存在隐私条款笼统不清，不主动向用户展示隐私条款，征求用户授权同意时未给用户足够的选择权，没有为用户提供访问、更正、删除其个人信息的途径，大量收集与提供所谓服务无直接关联的个人信息等问题。评审结束后，很多参评的产品和服务还在不断完善隐私条款和相关产品功能。会议呼吁更多企业落实《网络安全法》要求，积极改进隐私条款，提升个人信息保护水平。

（二）2017年12月29日正式发布，并于2018年5月1日实施的全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术 个人信息安全规范》[15]（下简称“个人信息安全规范”），其中对信息控制者制定和发布隐私政策做了非常详细的规定，并且附录提供了隐私政策模板推荐规范使用。《个人信息安全规范》虽然是推荐性国家标准，但是业务大量涉及公民个人信息的企业建议应当把《个人信息安全规范》作为企业合规指引，简要归纳隐私政策的制定和发布应满足如下要求：

1、信息控制者应当制定隐私政策，表明了隐私政策的独立性；

2、隐私政策须包含信息控制者的基本情况、收集使用个人信息的目的、个人信息处理的规则、对外转让披露个人信息时依据的原则和法律责任、遵循的个人信息安全保护措施、个人信息主体的权利和实现机制、个人信息提供后的风险提示、个人信息主体投诉渠道机制等内容；

3、隐私政策须公开发布，主动向个人信息主体明示，获得其授权同意。

（三）2019年1月25日中央网信办、工业和信息化部、公安部、市场监管总局联合发布了《关于开展App违法违规收集使用个人信息专项治理的公告》[16]（下简称“公告”），决定自2019年1月至12月，在全国范围组织开展App违法违规收集使用个人信息专项治理。公告中要求有关主管部门加强对违法违规收集使用个人信息行为的监管和处罚。

（四）2019年3月1日全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立的App专项治理工作组依据《网络安全法》、《消费者权益保护法》、《个人信息安全规范》等法律法规和国家标准，编制了《App违法违规收集使用个人信息自评估指南》[17]（以下简称为“指南”），指南分别从隐私政策文本、App收集使用个人信息行为、App运营者对用户权利的保障三个角度出发指出各自的评估要点，其中在隐私政策文本方面要求APP运营者应设置隐私政策，并且隐私政策应当具备独立性易懂性，须以单独成文的形式发布，需清晰说明业务功能及收集个人信息的类型，清晰说明个人信息处理规则及用户权益保障措施。

（五）市场监管总局、中央网信办于2019年3月13日发布的《关于开展App安全认证工作的公告》[18]中决定开展App安全认证工作，根据《移动互联网应用程序（App）安全认证实施规则》第2条，《个人信息安全规范》将作为监管机关认证实施的依据，因此，对于需要通过App安全认证的经营者而言，《个人信息安全规范》这一推荐性国家标准实际上具备强制适用效力，相应地，《个人信息安全规范》其中关于隐私政策的各项规定也成为了必须要遵循的内容。

除了上述已经出台的制度，2019年5月份到8月份，监管部门密集出台了《数据安全管理办法（征求意见稿）》、《APP违法违规收集使用个人信息行为认定方法（征求意见稿）》、《信息安全技术、移动互联网应用（APP）收集个人信息基本规范（草案）》等，都对个人信息收集使用制度及隐私政策进行了更为完善的规范。

 

四、结语

回到文章开始时提出的疑问，设想一下你的隐私都可由别人利用并操控的情形是什么样的？

随着未来科技不断地进步和发展，或许将来我们的器官可以部分是机器的，我们的大脑可以植入芯片，我们的基因可以订制编辑，我们的外貌也可以随心制定……个人信息数据也许是最终识别你我的密码，科学技术的发展也许我们无法触及其边界，但如何运用科学技术的底线则由你我控制，价值判断之时，上述问题的答案也就呼之欲出——肆意侵害滥用个人信息自是我们不可承受之重，完善隐私政策，强化个人信息保护任重道远。

 

参考资料

[1]王利明在其《没有隐私就没有真正的自由》一文中对关于隐私和自由的关系进行了阐述，里面提到美国的隐私权观念是建立在自由基础之上的，而欧洲人的隐私权观念建立在人格尊严基础之上，这种不同是源自美国欧洲价值观上的差异，但最终在两大法系中，隐私权作为重要的人身权利，其本质就是要维护人身自由和人格尊严。

[2]《民法典人格权编草案仍有诸多完善空间》

http://www.npc.gov.cn/zgrdw/npc/xinwen/2018-09/11/content_2061052.htm

[3]全国信息安全标准化技术委员会组织制定和归口管理的国家标准《信息安全技术个人信息安全规范（GB/T 35273—2017）》于2017年12月29日正式发布，2018年5月1日实施。

[4]万方《网站隐私声明的效力与解释规则》，《北外法学》2019年第2期

[5]《全国人大常委会关于加强网络信息保护的决定》第一条、第二条

http://www.npc.gov.cn/wxzl/gongbao/2013-04/16/content_1811077.htm

[6]《中华人民共和国网络安全法》第二十二条、第四十一条

http://www.npc.gov.cn/zgrdw/npc/zfjc/zfjcelys/2016-11/07/content_2034939.htm

[7] 《中华人民共和国消费者权益保护法》第二十九条

http://www.315.gov.cn/zcfg/gjfl/201503/t20150309_152728.html

[8]《中华人民共和国电子商务法》第二十三条、第二十四条

http://www.mofcom.gov.cn/article/zt_dzswf/deptReport/201811/20181102808398.shtml

[9]《电信和互联网用户个人信息保护规定》

http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057724/n3057729/c4700145/content.html

[10]《寄递服务用户个人信息安全管理规定》

http://www.spb.gov.cn/zc/flfgjzc_1/201403/t20140326_301910.html

[11]《网络预约出租汽车经营服务管理暂行办法》

http://xxgk.mot.gov.cn/jigou/fgs/201607/t20160728_2973471.html

[12]《儿童个人信息网络保护规定》

http://www.cac.gov.cn/2019-08/23/c_1124913903.htm

[13]《中央网信办等四部门联合开展隐私条款专项工作》http://www.cac.gov.cn/2017-08/02/c_1121421829.htm

[14]《个人信息保护倡议书签署仪式举行 公布隐私条款专项工作评审结果》

http://www.cac.gov.cn/2017-09/25/c_1121715816.htm

[15]2019年10月27日，全国信息安全标准化技术委员会结合评估工作实践和各方征求意见，更新并公开GB/T 35273《信息安全技术 个人信息安全规范(最新征求意见稿)》

https://mp.weixin.qq.com/s/XyJOp2hGujlSKbiLjnpUWA

[16]《关于开展App违法违规收集使用个人信息专项治理的公告》

http://www.cac.gov.cn/2019-01/25/c_1124042599.htm

[17]《App违法违规收集使用个人信息自评估指南》

https://mp.weixin.qq.com/s/u2XZn02SJkOvzeNSdzJiEA

[18]《关于开展App安全认证工作的公告》

http://www.cac.gov.cn/2019-03/15/c_1124240900.htm