隐私政策合规评估.pdfVIP

隐私政策合规评估

评估项1：隐私政策的独立性、易读性

1、是否有隐私政策？在APP界面中能够找到隐私政策，包括通过弹窗、文本键

接、常见问题（FAQs）等形式。

【解读】

隐私政策必须经过被收集者的同意，发布隐私政策是保证个人信息主体知情

权的重要手段。清晰的隐私政策，才能实现《网络安全法》要求的“明示收集、

使用信息的目的、方式和范围”。

APP运营者首先应当制定隐私政策，并保证用户可在APP界面内对该隐私政

策进行访问。具体访问方式包括用户下载登录时弹窗提醒、在APP中放置阅读链

接或者在常见问题板块提供相应链接等。

2、隐私政策是否单独成文。隐私政策以单独成文的形式发布，而不是作为用户

协议、用户说明等文件中的一部分存在。

【解读】

本条首次提出了隐私政策应当单独成文的标准，在实践中，部分APP运营者

并未制定单独成文的隐私政策，其个人信息收集、使用等相关的规则散见于用户

协议、用户说明等其他文件中，对普通用户来说查找困难，更不要说理解。

本条标准要求隐私政策单独成文，是对隐私政策重要性的再次重申，APP运

营者应当明确区分隐私政策与用户协议、用户说明等文件，采用“隐私政策”或

类似名称，并将与个人信息保护相关的内容全部单独列于独立的隐私政策当中。

需要说明的是，很多企业认为用户不会认真阅读隐私政策，因此随意对待，

甚至直接抄袭同类公司的隐私政策。但隐私政策的读者既包括用户，也包括监管

机构、司法机构、研究者和媒体，是外界监督企业的主要文本依据，某种程度上

也是企业提出抗辩的主要依据。

3、隐私政策是否易于访问进入APP主功能界面后，通过4次以内的点击，能够

访问到隐私政策，且隐私政策链接位置突出、无遮挡。

【解读】

本条评估标准首次明确提出了“4次以内”的点击次数标准，将“易于访问”

的标准具体化。根据本条标准，用户在点击进入APP主功能界面后，应当能够通

1

过4次内（包含4次）的点击看到隐私政策文本。

此外，本条还提出隐私政策链接应当位置突出、无遮挡，对此，建议APP

运营者对隐私政策链接采用不同颜色、不同字体的标注方式。

4、隐私政策是否易于阅读。隐私政策文本文字显示方式（字号、颜色、行间距

等）不会造成阅读困难。

【解读】

本条从隐私政策文本文字显示方式方面评估隐私政策是否易于阅读，要求

APP运营者不得通过缩小字号、选择辨识度较低的颜色或者减少行间距等方式给

用户阅读增加障碍。易于阅读，也是知情同意原则的延伸。

隐私政策的排版，也具有实际的法律意义。在某些行为给用户带来较高风险

时，我们尤其建议采用具有区分度的排版提示用户注意，如对隐私政策文本区分

字体、字号、颜色，通过加粗、下划线、增加行间距、段落间距等方式标注重点、

区分段落，还可以添加目录与内部跳转链接等。

此外隐私政策的内容应当清晰易懂。符合通用的语言习惯，使用标准化的数

字、图示等，避免使用有歧义的语言，并在起始部分提供摘要，简述告知内容的

重点。

评估项2：清晰说明各项业务功能及所收集个人信息类型

5、是否明示收集个人信息的业务功能。隐私政策中应当将收集个人信息的业务

功能逐项列举，不应使用“等、例如”字样。

注：业务功能是指APP面向个人用户所提供的一类完整的服务，如地图导航、网

络约车、即时通讯、社区社交、网络支付、新闻资讯，网上购物、短视频、快递

配送、餐饮外卖、交通票务等。

【解读】

本条评估要求APP运营者在隐私政策中以穷举的方式，将收集个人信息的业

务功能逐一列明。APP运营者应当重新逐一梳理其APP内提供的所有业务功能，

一一核对各项业务功能是否存在收集个人信息的情况，并将其中收集个人信息的

业务功能在隐私政策中逐一列明，不应遗漏。

6、业务功能与所收集个人信息类型是否一一对应。隐私政策中对每个业务功能

都应说明其所收集的个人信息类型，不应出现多个业务功能对应一类个人信息的

2

情况。

【解读】

本条要求在评估点5的基础上进一步要求隐私政策中对各个业务功能收集

的个人信息的类型进行分别说明，且特别强调“不应出现多个业务功能对应一类

个人信息的情况”，即有多少项业务功能，就对应做多少次收集个人信息类型的

说明。

7、是否明示各项