□ 程嘯 （清華大學(xué)法學(xué)院教授）

隱私政策（Privacy policy），也稱隱私聲明，是指網(wǎng)絡(luò)服務(wù)提供者就其如何處理個人信息所作出的書面聲明、陳述、允諾或者保證?！半[私政策”這一概念最早來自美國，而由于美國的網(wǎng)絡(luò)信息產(chǎn)業(yè)最為發(fā)達，故此，世界上其他國家的網(wǎng)絡(luò)服務(wù)提供者也都紛紛接受并使用了這一概念，我國很多網(wǎng)絡(luò)公司也是如此。不過，在法律層面，我國只有一些文件和行業(yè)規(guī)定使用了“隱私政策”的概念。例如，國家互聯(lián)網(wǎng)信息辦公室秘書局等單位聯(lián)合印發(fā)的《App違法違規(guī)收集使用個人信息行為認定方法》第一條規(guī)定：以下行為可被認定為“未公開收集使用規(guī)則”：1．在App中沒有隱私政策，或者隱私政策中沒有收集使用個人信息規(guī)則；2．在App首次運行時未通過彈窗等明顯方式提示用戶閱讀隱私政策等收集使用規(guī)則；3．隱私政策等收集使用規(guī)則難以訪問，如進入App主界面后，需多于4次點擊等操作才能訪問到；4．隱私政策等收集使用規(guī)則難以閱讀，如文字過小過密、顏色過淡、模糊不清，或未提供簡體中文版等。

民法典、個人信息保護法、網(wǎng)絡(luò)安全法等法律中并無“隱私政策”一詞，而是使用了“處理信息的規(guī)則”“個人信息處理規(guī)則”的概念。例如民法典第一千零三十五條第1款第2項規(guī)定，處理個人信息的，應(yīng)當公開處理信息的規(guī)則；個人信息保護法第十七條第3款規(guī)定，個人信息處理者通過制定個人信息處理規(guī)則的方式告知個人信息處理者的名稱或者姓名和聯(lián)系方式等事項。所謂個人信息處理規(guī)則，就是指個人信息處理者制定的，用于向個人信息被處理的自然人履行法定告知義務(wù)的、公開的書面聲明、陳述或者承諾。個人信息處理規(guī)則具有普遍適用性與公開性，任何個人信息被處理的自然人都適用該規(guī)則，其實現(xiàn)的是履行法定告知義務(wù)的作用。需要注意的是，這個“個人信息處理規(guī)則”并非個人信息保護法第二章的“個人信息處理規(guī)則”。該章的個人信息處理規(guī)則是法律規(guī)定的個人信息處理者處理個人信息時應(yīng)當遵循的各項規(guī)則，其中，就包含了第十七條規(guī)定的以包括個人信息處理規(guī)則在內(nèi)的方式向信息主體履行告知義務(wù)的規(guī)則。

隱私政策的基本性質(zhì)就是個人信息處理者規(guī)則，也就是說，隱私政策實際上履行的就是實現(xiàn)法律規(guī)定的個人信息處理者處理個人信息前向自然人告知相關(guān)事項的義務(wù)之功能。我國個人信息保護法明確規(guī)定了處理個人信息應(yīng)當遵循公開、透明原則，公開個人信息處理規(guī)則，明示處理的目的、方式和范圍。同時，個人信息權(quán)益的核心就是自然人對其個人信息處理享有知情權(quán)和決定權(quán)。保障知情權(quán)，就必須使得自然人對于個人信息處理充分知情。個人信息保護法第十七條第1款規(guī)定，個人信息處理者在處理個人信息前，應(yīng)當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項：（1）個人信息處理者的名稱或者姓名和聯(lián)系方式；（2）個人信息的處理目的、處理方式，處理的個人信息種類、保存期限；（3）個人行使本法規(guī)定權(quán)利的方式和程序；（4）法律、行政法規(guī)規(guī)定應(yīng)當告知的其他事項。同條第3款還明確規(guī)定，個人信息處理者通過制定個人信息處理規(guī)則的方式告知前述事項的，處理規(guī)則應(yīng)當公開，并且便于查閱和保存。隱私政策既然屬于個人信息處理規(guī)則，那么當然要適用個人信息保護的相關(guān)法律規(guī)范加以調(diào)整，如個人信息保護法第十七條、第三十一條、第四十八條。

網(wǎng)絡(luò)服務(wù)提供者之所以制定隱私政策，一方面是為了向用戶承諾自己的處理行為是合法、正當、必要、公平且透明的，另一方面也是處理者自我行為約束的明確承諾或表態(tài)。如果隱私政策本身就違反法律的規(guī)定，則處理者據(jù)此從事的處理行為就是非法的。在侵害個人信息權(quán)益糾紛案中，認定個人信息處理者是否存在侵害行為，其制定的隱私政策具有很重要的作用。因為當隱私政策本身就違反個人信息保護法等法律時，當然就可據(jù)此認定處理者實施的個人信息處理行為是違法的。例如，A網(wǎng)絡(luò)公司在隱私政策中宣稱：“本公司將基于業(yè)務(wù)發(fā)展的需要而自行決定將收集的用戶個人信息提供給有關(guān)單位?！憋@然，這個告知的事項即便經(jīng)過用戶的同意，也是無效的。一旦A公司據(jù)此將個人信息提供給B公司的，用戶有權(quán)要求A公司承擔侵害個人信息權(quán)益的民事責任。因為個人信息保護法第二十三條明確規(guī)定：“個人信息處理者向其他個人信息處理者提供其處理的個人信息的，應(yīng)當向個人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個人信息的種類，并取得個人的單獨同意。接收方應(yīng)當在上述處理目的、處理方式和個人信息的種類等范圍內(nèi)處理個人信息。接收方變更原先的處理目的、處理方式的，應(yīng)當依照本法規(guī)定重新取得個人同意?！彼?，A公司只有取得個人的單獨同意，才能將其處理的用戶個人信息提供給B公司。反之，如果隱私政策是合法的，則處理者可以通過提交隱私政策來證明自己的處理行為的合法性，個人必須證明處理者實際實施的個人信息處理行為并不符合隱私政策或者存在違法情形。

理論上有觀點從合同的角度來看待隱私政策，認為隱私政策屬于格式條款，即網(wǎng)絡(luò)服務(wù)提供者通過制定隱私政策不僅要履行法定的告知義務(wù)，該隱私政策經(jīng)由個人的同意還在網(wǎng)絡(luò)服務(wù)提供者與網(wǎng)絡(luò)用戶之間形成了個人信息處理的合同關(guān)系。此種合同是網(wǎng)絡(luò)服務(wù)提供者與網(wǎng)絡(luò)用戶就個人信息處理的相關(guān)問題達成的合意。它不是購買商品或接受服務(wù)的網(wǎng)絡(luò)消費合同，因為網(wǎng)絡(luò)消費合同一般是因為用戶同意網(wǎng)絡(luò)服務(wù)提供者制定的《用戶協(xié)議》《網(wǎng)絡(luò)平臺交易規(guī)則》等格式條款而締結(jié)的。既然隱私政策具有格式條款的性質(zhì)，故此，需要適用民法典合同編的相關(guān)規(guī)范，尤其是第四百九十六條至第四百九十八條關(guān)于格式條款的規(guī)定加以調(diào)整。如果隱私政策中涉及對用戶個人信息的處理的約定存在不合理地免除或者減輕網(wǎng)絡(luò)服務(wù)提供者的責任、加重用戶責任、限制用戶主要權(quán)利；或者排除用戶主要權(quán)利的，則這些條款無效。應(yīng)當說，隱私政策的性質(zhì)屬于個人信息處理規(guī)則，即履行告知并取得個人同意的義務(wù)，而個人的同意性質(zhì)上是自然人對其個人信息權(quán)益的處分，它阻卻了處理行為的不法性。通常，僅僅是對于隱私政策的個人同意并不意味著在處理者與個人之間形成了關(guān)于個人信息處理的合同關(guān)系。當然，有時候隱私政策包含的內(nèi)容可能較多，例如，還會包含網(wǎng)絡(luò)服務(wù)提供者單方擬定的關(guān)于管轄、爭議解決方式的規(guī)定，這些則屬于格式條款，可以經(jīng)由個人的同意而成立關(guān)于關(guān)系、爭議解決方式的約定。