□ 程嘯 （清華大學法學院教授）

隱私政策（Privacy policy），也稱隱私聲明，是指網絡服務提供者就其如何處理個人信息所作出的書面聲明、陳述、允諾或者保證。“隱私政策”這一概念最早來自美國，而由于美國的網絡信息產業(yè)最為發(fā)達，故此，世界上其他國家的網絡服務提供者也都紛紛接受并使用了這一概念，我國很多網絡公司也是如此。不過，在法律層面，我國只有一些文件和行業(yè)規(guī)定使用了“隱私政策”的概念。例如，國家互聯(lián)網信息辦公室秘書局等單位聯(lián)合印發(fā)的《App違法違規(guī)收集使用個人信息行為認定方法》第一條規(guī)定：以下行為可被認定為“未公開收集使用規(guī)則”：1．在App中沒有隱私政策，或者隱私政策中沒有收集使用個人信息規(guī)則；2．在App首次運行時未通過彈窗等明顯方式提示用戶閱讀隱私政策等收集使用規(guī)則；3．隱私政策等收集使用規(guī)則難以訪問，如進入App主界面后，需多于4次點擊等操作才能訪問到；4．隱私政策等收集使用規(guī)則難以閱讀，如文字過小過密、顏色過淡、模糊不清，或未提供簡體中文版等。

民法典、個人信息保護法、網絡安全法等法律中并無“隱私政策”一詞，而是使用了“處理信息的規(guī)則”“個人信息處理規(guī)則”的概念。例如民法典第一千零三十五條第1款第2項規(guī)定，處理個人信息的，應當公開處理信息的規(guī)則；個人信息保護法第十七條第3款規(guī)定，個人信息處理者通過制定個人信息處理規(guī)則的方式告知個人信息處理者的名稱或者姓名和聯(lián)系方式等事項。所謂個人信息處理規(guī)則，就是指個人信息處理者制定的，用于向個人信息被處理的自然人履行法定告知義務的、公開的書面聲明、陳述或者承諾。個人信息處理規(guī)則具有普遍適用性與公開性，任何個人信息被處理的自然人都適用該規(guī)則，其實現(xiàn)的是履行法定告知義務的作用。需要注意的是，這個“個人信息處理規(guī)則”并非個人信息保護法第二章的“個人信息處理規(guī)則”。該章的個人信息處理規(guī)則是法律規(guī)定的個人信息處理者處理個人信息時應當遵循的各項規(guī)則，其中，就包含了第十七條規(guī)定的以包括個人信息處理規(guī)則在內的方式向信息主體履行告知義務的規(guī)則。

隱私政策的基本性質就是個人信息處理者規(guī)則，也就是說，隱私政策實際上履行的就是實現(xiàn)法律規(guī)定的個人信息處理者處理個人信息前向自然人告知相關事項的義務之功能。我國個人信息保護法明確規(guī)定了處理個人信息應當遵循公開、透明原則，公開個人信息處理規(guī)則，明示處理的目的、方式和范圍。同時，個人信息權益的核心就是自然人對其個人信息處理享有知情權和決定權。保障知情權，就必須使得自然人對于個人信息處理充分知情。個人信息保護法第十七條第1款規(guī)定，個人信息處理者在處理個人信息前，應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項：（1）個人信息處理者的名稱或者姓名和聯(lián)系方式；（2）個人信息的處理目的、處理方式，處理的個人信息種類、保存期限；（3）個人行使本法規(guī)定權利的方式和程序；（4）法律、行政法規(guī)規(guī)定應當告知的其他事項。同條第3款還明確規(guī)定，個人信息處理者通過制定個人信息處理規(guī)則的方式告知前述事項的，處理規(guī)則應當公開，并且便于查閱和保存。隱私政策既然屬于個人信息處理規(guī)則，那么當然要適用個人信息保護的相關法律規(guī)范加以調整，如個人信息保護法第十七條、第三十一條、第四十八條。

網絡服務提供者之所以制定隱私政策，一方面是為了向用戶承諾自己的處理行為是合法、正當、必要、公平且透明的，另一方面也是處理者自我行為約束的明確承諾或表態(tài)。如果隱私政策本身就違反法律的規(guī)定，則處理者據此從事的處理行為就是非法的。在侵害個人信息權益糾紛案中，認定個人信息處理者是否存在侵害行為，其制定的隱私政策具有很重要的作用。因為當隱私政策本身就違反個人信息保護法等法律時，當然就可據此認定處理者實施的個人信息處理行為是違法的。例如，A網絡公司在隱私政策中宣稱：“本公司將基于業(yè)務發(fā)展的需要而自行決定將收集的用戶個人信息提供給有關單位?！憋@然，這個告知的事項即便經過用戶的同意，也是無效的。一旦A公司據此將個人信息提供給B公司的，用戶有權要求A公司承擔侵害個人信息權益的民事責任。因為個人信息保護法第二十三條明確規(guī)定：“個人信息處理者向其他個人信息處理者提供其處理的個人信息的，應當向個人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個人信息的種類，并取得個人的單獨同意。接收方應當在上述處理目的、處理方式和個人信息的種類等范圍內處理個人信息。接收方變更原先的處理目的、處理方式的，應當依照本法規(guī)定重新取得個人同意?！彼?，A公司只有取得個人的單獨同意，才能將其處理的用戶個人信息提供給B公司。反之，如果隱私政策是合法的，則處理者可以通過提交隱私政策來證明自己的處理行為的合法性，個人必須證明處理者實際實施的個人信息處理行為并不符合隱私政策或者存在違法情形。

理論上有觀點從合同的角度來看待隱私政策，認為隱私政策屬于格式條款，即網絡服務提供者通過制定隱私政策不僅要履行法定的告知義務，該隱私政策經由個人的同意還在網絡服務提供者與網絡用戶之間形成了個人信息處理的合同關系。此種合同是網絡服務提供者與網絡用戶就個人信息處理的相關問題達成的合意。它不是購買商品或接受服務的網絡消費合同，因為網絡消費合同一般是因為用戶同意網絡服務提供者制定的《用戶協(xié)議》《網絡平臺交易規(guī)則》等格式條款而締結的。既然隱私政策具有格式條款的性質，故此，需要適用民法典合同編的相關規(guī)范，尤其是第四百九十六條至第四百九十八條關于格式條款的規(guī)定加以調整。如果隱私政策中涉及對用戶個人信息的處理的約定存在不合理地免除或者減輕網絡服務提供者的責任、加重用戶責任、限制用戶主要權利；或者排除用戶主要權利的，則這些條款無效。應當說，隱私政策的性質屬于個人信息處理規(guī)則，即履行告知并取得個人同意的義務，而個人的同意性質上是自然人對其個人信息權益的處分，它阻卻了處理行為的不法性。通常，僅僅是對于隱私政策的個人同意并不意味著在處理者與個人之間形成了關于個人信息處理的合同關系。當然，有時候隱私政策包含的內容可能較多，例如，還會包含網絡服務提供者單方擬定的關于管轄、爭議解決方式的規(guī)定，這些則屬于格式條款，可以經由個人的同意而成立關于關系、爭議解決方式的約定。