隐私政策是一份法律文件,用于披露企业收集、使用、和管理客户数据的部分或全部方式。该文件旨在告知网站访客开发者的网站或APP具体收集哪些个人信息,以及如何使用和保护这些信息。
隐私政策是一份格式合同,用户在网站进行注册,或者接受APP服务的同时就意味着接受了开发者的隐私政策,用户没有对隐私政策进行讨价还价的余地。格式条款对于企业来说的好处是,文本起草权掌握在自己手中,很容易将自己的诉求转化成法律文本上的优势;坏处是,格式文本受到法律严格的规范,稍不留神就会出格,而受到法律的否定性评价。
《个人信息保护法》是我国第一部系统、全面保护个人信息的专门性法律,其在性质上属于公法、私法的组合。但就《个人信息保护法》的内容而言,大多是关于民事权利和义务的规定,就民事规范而言,《个人信息保护法》和《民法典》之间的关系就是特别法与基础法的关系,或者说是特别法与普通法的关系。
隐私政策需要注明收集用户的信息种类以及收集此类信息的原因或者用途,有时候也会注明此类信息产生的风险责任的归属。
例如:未征得用户的同意,不得向第三方共享、转让、公开披露、委托处理用户的信息,但是有以下情形除外:
(2)为订立、履行个人作为一方当事人的合同所必需;
(5)出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的;
(6)依照法律法规的规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;法律、行政法规另有规定的情形。
开发者应对连接到第三方时,第三方会对用户信息收集时进行责任豁免的说明。例如:开发者不能控制其他从我公司网页和服务链接出去的其他网站。其他网站可能在您的电脑上储存它们的缓存或其他文件,收集数据或者要求您的个人资料。如果选择访问他们的网站,建议您事先详细了解他们各自的隐私政策。
在该部分内容往往会约定,开发者对用户信息的保存期限、保存地域、以及为保存用户信息而采取的安全措施等。
保存地域:原则上在境内收集和产生的个人信息,将存储在中华人民共和国境内。如果用户的个人信息可能会被转移到用户使用产品的区域,主要是境外,开发者需要事先获得用户的同意。
有些产品的用户对象主要面向成年人,所以会在隐私政策中注明处理未成年的信息,如果是未满14周岁的未成年人,在使用服务前,需在征得其父母或其他监护人同意的前提下使用开发者的产品和服务。
隐私政策的内容并非一成不变,而是随着开发者提供的业务的改变而进行调整或更新,该等修订内容是隐私政策的一部分。类似于条款解释权归属于开发者,如果对隐私政策的修改造成用户的权利减损,开发者需要在修订生效前,在主页显著位置提示或向用户发送电子邮件,或者以其他方式提示。修改后,如果用户继续使用开发者提供的服务,则视为同意接受修订后的隐私政策。
隐私政策应紧密围绕企业业务展开。不同行业、不同发展阶段、不同的业务侧重,决定了企业收集数据的不同,隐私政策不可脱离业务实际,应当紧密围绕企业核心业务展开。
比如,因为有最小收集原则的存在,那么某个企业某个业务需要收集什么数据就是一个需要精准拿捏的事情,太少,无法满足业务需求;太多,则会违反法律法规。所以,不了解企业业务,就不可能起草一个高质量的隐私政策。
提供信息的多少以能够覆盖产品的服务为原则,不宜过多,也不宜过少。过多的话,则违背了最小收集原则,过少的话,则不能覆盖服务需要收集的信息,则存在数据合规的风险。