近日在使用手機APP或打開電腦時，許可發(fā)現(xiàn)一些明顯變化。有關“隱私政策”變更的“彈窗”頻繁出現(xiàn)，用戶只有點擊確認或同意后，才能繼續(xù)使用。

5天前收到蘋果公司寄出的“Apple已為《個人信息保護法》做好準備”的郵件； 4天前更新微信最新版本后，看到隱私指引條款和信息共享披露變更了；再到昨天打開星巴克APP后，發(fā)現(xiàn)其首頁出現(xiàn)“隱私權政策變更”的“彈窗”……

這一系列的改變，都和一部法律的實施有關。

11月1日，中國第一部個人信息保護方面的專門法律——《個人信息保護法》（下稱“個保法”）正式落地實施。個保法以“告知-同意”作為核心處理規(guī)則，并針對現(xiàn)實生活中社會反應強烈的一攬子授權、強制同意等問題，規(guī)定個人信息處理者在處理敏感個人信息、向他人提供或公開個人信息等環(huán)節(jié)應取得個人的單獨同意。

為確保個人信息處理過程的合法合規(guī)，“告知-同意”機制受到了信息處理者的重視。但當在APP、網(wǎng)站上，增強隱私保護成為“新常態(tài)”，一些新問題和舊頑疾也引起更多關注。比如，如何在細化APP隱私政策顆粒度的同時，增加用戶可讀性？在APP向第三方提供個人信息時，如何增強權限調(diào)用的透明度？“彈窗時代”如何讓用戶不累心、企業(yè)不鬧心？

“準確完整”和“清晰易懂”如何兩全

個保法的第二章第一節(jié)明確了個人信息處理規(guī)則的一般規(guī)定，其中，第十七條指出，個人信息處理者在處理個人信息前，應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知相關規(guī)定事項。

“準確、完整”意味著告知文本需充分、詳盡，而“清晰易懂”則意味著告知文本需簡明、易懂。這一旨在對于用戶知情權進行充分保護的規(guī)定，對于個人信息處理者而言，卻在實際操作中面臨著難以兩全的問題。

北京師范大學網(wǎng)絡法治國際中心執(zhí)行主任吳沈括在接受第一財經(jīng)采訪時表示，當下，作為個人信息處理者用以“告知”的主要形式，隱私政策如何在文本完整和文本簡明之間取得平衡還是一個難題——模糊的告知會導致“同意”的不自由；冗長的告知又會增加知情的時間成本和專業(yè)門檻，如何去平衡仍有待信息處理者進一步摸索。

不過，在探索階段，針對隱私政策宣示性效果大于實質(zhì)性作用的問題，已有部分信息處理者進行內(nèi)容完善和形式創(chuàng)新。

其中包括，對“隱私功能設置”附有操作流程或跳轉(zhuǎn)鏈接；增加目錄但簡化文本內(nèi)容，并在重點部分予以加粗；提供可視化瀏覽方式；明示第三方信息共享名單等。

比如，在蘋果10月27日對其中國用戶更新的隱私政策中，采用“在Apple，個人數(shù)據(jù)是指什么”“你在Apple的隱私權”“Apple從你那里收集的個人數(shù)據(jù)”“Apple從其他來源收到的個人數(shù)據(jù)”等12條主目錄的形式，以減少因內(nèi)容太多而“迷人眼”的難題。同時，每一條主目錄后均設有“＋”鍵，欲知詳細內(nèi)容的用戶可繼續(xù)瀏覽。

在支付寶“我的”中的“用戶保護中心”，則對支付寶隱私權政策和螞蟻集團隱私權政策進行了分別說明。在“支付寶隱私權政策”中，設有“簡要版+完整版”兩個版本，而在簡要版中，采取“視頻+文字+圖表”的告知方式。

其中，“螞蟻集團隱私權政策”是10月31日發(fā)布、11月7日生效的最新版本。根據(jù)該版本，為了方便用戶對不希望接受“根據(jù)用戶信息形成群體特征標簽，用于向用戶提供其可能感興趣的營銷活動通知、商業(yè)性電子信息或廣告”的關閉式操作，直接附有跳轉(zhuǎn)鏈接，也即可在閱讀時，同步進行操作處理。

此外，根據(jù)個保法，向第三方提供個人信息時，應取得信息主體的單獨同意。針對這一規(guī)定，截至目前，支付寶、微信、QQ等已在其隱私政策中進行了單列、加粗說明，并附上了第三方信息共享清單。

值得注意的是，為進一步落實第三方處理個人信息時信息處理者的監(jiān)督義務，11月1日，工信部發(fā)布《關于開展信息通信服務感知提升行動的通知》，要求相關互聯(lián)網(wǎng)企業(yè)建立個人信息保護“雙清單”——“已收集個人信息清單”和“與第三方共享個人信息清單”，并在APP中展示以便用戶查詢。首批設立“雙清單”的企業(yè)，包括騰訊、阿里巴巴、美團、快手、拼多多等39家。

在吳沈括看來，若想讓隱私政策對用戶個人信息保護的作用真正落到實處，仍面臨兩個亟待解決的問題。

“一是用戶本身的數(shù)字素養(yǎng)和數(shù)字保護意識提升是一個循序漸進的過程；二是信息處理者在文本設計上，仍存在為了規(guī)避合規(guī)風險進行虛假性陳述的現(xiàn)象，換言之，考慮到用戶或不會完整地瀏覽隱私政策的具體內(nèi)容，相關聲明主要起到自我承諾的作用，在此背景下，需要加強對于虛假說明的事后追責。”吳沈括說。

彈窗困境

但隱私政策并不是實現(xiàn)“告知”的唯一路徑。

中國信息通信研究院互聯(lián)網(wǎng)法律研究中心高級研究員、個人信息保護立法研究團隊負責人楊婕對第一財經(jīng)表示，匹配到具體場景時，通過及時提示或者“彈窗”式增強告知的方式，將該場景下的個人信息處理活動的核心要點進行濃縮，再告知個人，并附上完整版的隱私政策查詢鏈接，也是信息處理者實現(xiàn)或增強“告知”的可行路徑。

北京清律律師事務所首席合伙人、清華大學法學院互聯(lián)網(wǎng)法律與政策研究中心秘書長熊定中也認為，“彈窗”是明示告知、增強個人信息保護的重要載體。

他告訴第一財經(jīng)，對于信息處理者，當前，大致有三種途徑，對用戶明示告知雙方在權限或隱私方面的約定。第一，寫在隱私政策里，但監(jiān)管部門反對通過一個隱私政策“一攬子”告知；第二，發(fā)站內(nèi)信，但前提是信息處理者事先收集到用戶的信息，操作上或存在合規(guī)風險；第三，設置“彈窗”，即通過強迫用戶通過做出如點擊、關閉等一系列動作，再將告知內(nèi)容關閉的方式，實現(xiàn)明確有效的告知。

“針對個保法中需要單獨同意的場景，‘彈窗’已成為相關信息處理者的最佳方案。”熊定中稱。

根據(jù)個保法第二十八條、第二十九條規(guī)定，處理敏感個人信息應當取得個人的單獨同意。

敏感個人信息是指，一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。

伴隨個保法的頒布和落地，形式簡潔且直接易察的“彈窗”已成為信息處理者實現(xiàn)增強式告知的共同選擇。但對于用戶而言，越來越多的“彈窗”，在保障了選擇權的同時，卻影響了體驗感。

在考慮到不同場景“彈窗”合理性、必要性的前提下，中國電子技術標準化研究院網(wǎng)安中心測評實驗室副主任何延哲對“彈窗”做出分類統(tǒng)計。

何延哲認為，與合規(guī)有關的“彈窗”可大致分為兩類：第一類是與個人信息保護有直接關聯(lián)的彈窗，包括首次開啟或注冊賬號時的隱私政策，隱私政策更新時，權限申請前告知目的彈窗，刷臉、指紋等功能開通，嵌入的第三方SDK等超過15個場景；第二類是其他可能彈窗的場景，包括訪問網(wǎng)站類型、廣告或活動彈窗、青少年模式、個人操作業(yè)務時的提醒等數(shù)個場景。

而除了以上“彈窗”外，還存在拒絕后APP再次詢問的場景（如權限）。

何延哲舉例稱，以用戶平均安裝了30個APP為例，假如都做了更新且都會在1個月內(nèi)使用，按照第一類“彈窗”出現(xiàn)60次，第二類“彈窗”出現(xiàn)20次，當月30天來計算，則一個月“彈窗”出現(xiàn)2400次。

也就是說，用戶在將來的1個月內(nèi)，保守估計有上千個“彈窗”要點擊。

何延哲告訴第一財經(jīng)，“彈窗”不斷出現(xiàn)的背后，是信息處理者與用戶不斷博弈的結(jié)果，而之所以需要博弈，是為了找到更好的平衡點。在此過程中，信息處理者或可通過減少低價值的“彈窗”、進一步給用戶“隱私偏好”的選擇權和對“彈窗”適度合并等方式，進行優(yōu)化。

為避免用戶在開啟APP時，同一時間彈出太多“彈窗”，并滿足個人信息收集的必要性原則，楊婕建議，權限申請應在APP某項業(yè)務功能必須啟動該權限時，再進行動態(tài)申請；對于用戶不同意開啟的權限，不得頻繁彈出“彈窗”要求用戶同意。

但正是由于用戶體驗感會受到“彈窗”增多的影響，在熊定中看來，面對越來越多的“彈窗”，感到“鬧心”的反而該是相關的信息處理者。

“事實上，彈窗多不是企業(yè)追求的，彈窗少才是。由于更多的彈窗往往伴隨著更高的用戶流失率，所以，以合規(guī)為目的的‘彈窗’大多是企業(yè)為了履行法定的義務而不得已為之的做法。”熊定中稱。

熊定中表示，在用戶看來越來越多的“彈窗”，已經(jīng)是信息處理者優(yōu)化后最為精簡的內(nèi)容。