隨著《個人信息保護法》于2021年11月1日的正式生效，各大平臺近期均修改了自己的隱私政策。例如微信在2021年10月29日進行了更新，美團在2021年10月28日進行了更新，淘寶、抖音在2021年11月1日進行了更新。更改內(nèi)容主要集中于個性化功能管理、個人信息權(quán)利實現(xiàn)、雙清單（個人信息收集清單&第三方共享清單）目錄、撤回同意機制、信息儲存期限等。本文主要針對微信、美團、抖音、淘寶、云閃付、京東進行分析，以下是重要制度的具體分析，相關(guān)分析是基于筆者的個人研究中立立場的理解，不代表任何機構(gòu)的意見；相關(guān)分析主要是做差異化對比，相關(guān)內(nèi)容也不完全是法律的明確要求，故而相關(guān)結(jié)論不代表需要整改的法律意見。

　　1

　　隱私政策主體指代不明

　　各大網(wǎng)絡平臺的隱私政策中一般以第一人稱“我們”來描述特定主體，但查閱相關(guān)隱私政策之后，可以發(fā)現(xiàn)“我們”一詞的使用存在以下問題：（1）將“我們”定義為平臺主體企業(yè)及關(guān)聯(lián)公司，而對關(guān)聯(lián)公司的定義則略過或者模糊化定義。如美團雖然說明了關(guān)聯(lián)公司的定義，卻將美團定義為美團旗下所有公司及其附屬、關(guān)聯(lián)公司，甚至其中包括未來成立的公司，主體的不確定性顯而易見。（2）沒有對“我們”進行定義，直接使用“我們”二字。比如滴滴雖然明確了滴滴旗下的各個平臺及其運營公司，卻沒有提到“我們”的定義，“我們”二字在《隱私政策》中的突然出現(xiàn)不免顯得有些突兀。（3）引入集團概念，將“我們”擴展至多主體，《隱私政策》適用范圍擴大至集團項下所有服務/產(chǎn)品，集團內(nèi)所有產(chǎn)品和服務中的個人信息會在集團旗下公司及關(guān)聯(lián)公司內(nèi)部的個人信息處理者之間共享，同時明確單獨設(shè)立《隱私政策》的產(chǎn)品/服務的效力適用規(guī)則?！峨[私政策》的主體既包括平臺運營服務商，亦包括其關(guān)聯(lián)公司；《隱私政策》的適用范圍則擴大為集團項下的所有產(chǎn)品和服務，但若存在單獨設(shè)置《隱私政策》的產(chǎn)品，則優(yōu)先適用單獨的《隱私政策》（如百度、拼多多、淘寶、餓了么、愛奇藝、云賬戶平臺等）。[1]

　　[1] 本段意見源于德恒上海律所公號文章。其中，抖音：“抖音”指北京微播視界科技有限公司及其關(guān)聯(lián)方（以下簡稱“我們”）合法擁有并運營的、標注名稱為抖音（包括抖音火山版、抖音極速版、多閃等關(guān)聯(lián)版本）的客戶端應用程序、官方網(wǎng)站以及供第三方網(wǎng)站和應用程序使用的軟件開發(fā)工具包（SDK）和應用程序編程接口（API）。

　　美團：“美團（以下或稱”我們“）非常注重保護用戶（”您“）的個人信息及隱私。”在附錄里面，對美團的定義為：本政策中所指的“美團”是指美團旗下所有公司及其附屬、關(guān)聯(lián)公司（包括美團網(wǎng)、大眾點評、摩拜等各平臺旗下已經(jīng)成立的公司及未來可能成立的公司）。而關(guān)聯(lián)公司是指美團（Meituan）最新上市公司年報披露的美團關(guān)聯(lián)公司。

　　2

　　合法性基礎(chǔ)與敏感個人信息

　?。ㄒ唬?處理個人信息的合法性基礎(chǔ)表述不一

　　在個人信息保護法生效前后，各家的隱私政策對合法性基礎(chǔ)的修改較為統(tǒng)一，如微信、美團、抖音，以《個人信息保護法》第13條規(guī)定的為準，在此基礎(chǔ)上仍然有細微差別。

　　可能由于平臺應用中隱私協(xié)議的相對方是用戶而不包括員工，故而抖音和微信的隱私政策在同意的例外項下沒有列明“給予人力資源管理所必需”一項，但美團隱私政策仍然保留了《個人信息保護法》第13條的所有合法性基礎(chǔ)。

　　京東、云閃付目前的隱私政策按照內(nèi)容可以判斷是根據(jù)《個人信息安全規(guī)范》（GB/T 35273-2020）制定的。

　　在京東的隱私政策里面，其同意的例外事項包括：1、與國家安全、國防安全有關(guān)的；2、與公共安全、公共衛(wèi)生、重大公共利益有關(guān)的；3、與犯罪偵查、起訴、審判和判決執(zhí)行等有關(guān)的；4、出于維護個人信息主體或其他個人的生命、財產(chǎn)等重大合法權(quán)益但又很難得到本人同意的；5、所收集的個人信息是個人信息主體或監(jiān)護人自行向社會公眾公開的；6、從合法公開披露的信息中收集的您的個人信息的，如合法的新聞報道、政府信息公開等渠道；7、根據(jù)您的要求簽訂合同所必需的；8、用于維護所提供的產(chǎn)品與/或服務的安全穩(wěn)定運行所必需的，例如發(fā)現(xiàn)、處置產(chǎn)品與/或服務的故障；9、為合法的新聞報道所必需的；10、學術(shù)研究機構(gòu)基于公共利益開展統(tǒng)計或?qū)W術(shù)研究所必要，且對外提供學術(shù)研究或描述的結(jié)果時，對結(jié)果中所包含的個人信息進行去標識化處理的；11、法律法規(guī)規(guī)定的其他情形。這11種情形仍然為其寫入隱私政策的合法性基礎(chǔ)。除了第10項，其余都能被解釋進現(xiàn)有的合法性基礎(chǔ)之中。對于第10項，在《個人信息安全規(guī)范》（GB/T 35273-2020）第5.6條上也可以找到依據(jù)。

　　在云閃付的隱私政策中，其同意的例外事項包括：1、 與國家安全、國防安全直接相關(guān)的；2、與公共安全、公共衛(wèi)生、重大公共利益直接相關(guān)的；3、與犯罪偵查、起訴、審判和判決執(zhí)行等直接相關(guān)的；4、出于維護您或其他個人的生命、財產(chǎn)等重大合法權(quán)益但又很難得到本人同意的；5、 所涉及的個人信息是您自行向社會公眾公開的；6、 根據(jù)您的要求簽訂和履行合同所必需的；7、從合法公開披露的信息中收集個人信息的，如合法的新聞報道、政府信息公開等渠道；8、 維護所提供產(chǎn)品或服務的安全穩(wěn)定運行所必需的，例如發(fā)現(xiàn)、處置產(chǎn)品或服務的故障。以上八種情形為同意的例外。除第8項，其余都能被解釋進現(xiàn)有的合法性基礎(chǔ)中。對于第8項，在《個人信息安全規(guī)范》（GB/T 35273-2020）第5.6條上也可以找到依據(jù)。

　　淘寶的隱私政策中并未專門列出同意的例外情形，一般以取得個人同意為基礎(chǔ)，但共享條款處列明共享的同意例外有“為訂立、履行作為一方當事人的合同所必需的情況下的共享”、“基于法定義務”以及“與關(guān)聯(lián)公司”的共享，其依據(jù)是《個人信息保護法》第13條。

　?。ǘ?敏感個人信息處理模糊

　　1.敏感個人信息種類

　　《個人信息保護法》對敏感個人信息做了定義和不完全列舉的規(guī)定。目前，網(wǎng)絡平臺大多沒有完整列明所處理的敏感個人信息類別，都使用了“等”來兜底。但是，根據(jù)《個人信息保護法》第29條的規(guī)定，處理敏感個人信息應當取得個人的單獨同意，所以此處的“等”不能直接作為獲得授權(quán)的依據(jù)。即便是列舉的敏感個人信息，“單獨同意”是有別于“一攬子同意”的，具體實現(xiàn)也需要通過分別勾選、單獨彈窗等形式實現(xiàn)。

　　在已經(jīng)列舉的敏感個人信息類別中，微信隱私政策將通訊錄、位置、攝像頭、麥克風、相冊等為列明的敏感信息。其提示，獲取了敏感權(quán)限并不等同于收集個人信息。敏感個人信息提到的有聲紋特征值信息、手機聯(lián)系人信息、精確位置信息。抖音隱私政策列出了身份證號、銀行卡相關(guān)信息、精確定位信息是個人敏感信息。在美團隱私政策中列出了身份信息（包含真實姓名、身份證號碼）、聯(lián)絡信息、行程信息、住宿信息、支付信息、面部特征值、地址信息為敏感個人信息，此外在附錄中還引用了個保法關(guān)于敏感個人信息的定義，并概括性的提出“本隱私政策中可能涉及到的個人敏感信息包括：個人身份認證信息（包括身份證、軍官證、護照、駕駛證、學生證等）；個人財產(chǎn)信息（銀行賬號、交易和消費記錄、信貸記錄以及虛擬財產(chǎn)信息等）；其他信息（行蹤軌跡、通訊錄信息、住宿信息、精準定位信息等）；14周歲以下的未成年人信息?！痹谔詫氹[私政策中，并沒有列舉敏感個人信息的類別而是概括性的使用敏感一詞，并引用了個保法關(guān)于敏感個人信息的定義。在云閃付隱私政策中，指出“本隱私政策中涉及的個人敏感信息包括：您的個人身份信息（包括身份證、軍官證、護照、駕駛證等）；個人生物識別信息（面部識別特征、指紋、掌紋）；網(wǎng)絡身份標識信息（包括云閃付APP登錄賬號、IP地址、郵箱地址及與前述有關(guān)的密碼、口令、口令保護答案）；個人財產(chǎn)信息（銀行卡號、密碼、口令、交易和消費記錄、流水記錄、支付收款記錄）；通訊錄；網(wǎng)頁瀏覽記錄；精準定位信息?！?/p>

　　京東的隱私政策中，附上了《個人信息安全規(guī)范》之中的敏感個人信息示例。

　　2.單獨同意的實現(xiàn)機制（IOS系統(tǒng)為例）

　　在敏感個人信息與敏感權(quán)限的管理上，微信專設(shè)了權(quán)限管理功能，可以關(guān)閉或開啟特定權(quán)限，但位置信息存在概括授權(quán)的可能，即當用戶授權(quán)了位置信息的使用之后，微信的所有功能包括聊天中發(fā)送和共享位置、搖一搖、附近的人、視頻號、直播、搜一搜、看一看、公眾號和卡包等與位置相關(guān)的服務均無法使用。

　　淘寶在敏感權(quán)限的單獨同意上采取了彈窗的方式，對于位置、麥克風、相冊、相機、通訊錄、廣告標識符的權(quán)限單列并在點擊后出現(xiàn)彈窗。

　　京東將位置、相機、音頻、通訊錄、相冊權(quán)限與剪切版設(shè)置、廣告管理、推薦管理單列，在敏感權(quán)限上采取彈窗，在剪切版設(shè)置、廣告管理、推薦管理上采取單獨頁面，默認開啟前述三項功能，用戶可以選擇關(guān)閉。

　　云閃付并沒有采取彈窗方式，而是采取單獨頁面，授權(quán)需要鏈接到ios系統(tǒng)權(quán)限管理界面。美團、抖音的敏感權(quán)限管理同樣只能通過ios系統(tǒng)權(quán)限管理。

　　3

　　個人信息主體權(quán)利

　?。ㄒ唬?撤回同意實現(xiàn)路徑大相徑庭

　　本文分析的幾大網(wǎng)絡平臺對撤回同意的理解基本一致，在實現(xiàn)方式上略有不同。在進行機制設(shè)計時，仍然會提示撤回同意不影響此前已經(jīng)處理的個人信息的效力。

　　微信的隱私政策并沒有單列撤回同意的條款，但提及隱私政策中有相關(guān)的指引，查閱隱私政策后發(fā)現(xiàn)，其有相關(guān)解除授權(quán)、更改授權(quán)、刪除相關(guān)信息、注銷賬戶等操作。

　　抖音未單列撤回同意條款，而是列出保護個人信息權(quán)利的概括性條文，并在系統(tǒng)權(quán)限設(shè)置中提及可以“在設(shè)備的設(shè)置功能中開啟或關(guān)閉地理位置、通訊錄、攝像頭、麥克風、相冊、日歷等權(quán)限，改變授權(quán)范圍或撤回你的授權(quán)。”

　　淘寶隱私政策列明的方式為權(quán)限管理，在注銷賬戶處并沒有相關(guān)撤回授權(quán)的描述。

　　美團隱私政策單列了撤回同意條款，撤回同意的路徑為刪除信息、更改隱私設(shè)置或者在系統(tǒng)中關(guān)閉設(shè)備權(quán)限功能。

　　云閃付隱私政策中列明的撤回同意方式為刪除授權(quán)和注銷賬戶。

　　京東隱私政策在撤回同意上的采取的路徑為“刪除信息、關(guān)閉設(shè)備功能、在京東網(wǎng)站或軟件中進行隱私設(shè)置等方式”，前述路徑依次改變授權(quán)繼續(xù)收集個人信息的范圍或撤回授權(quán)。此外，也可以通過注銷賬戶撤回繼續(xù)收集個人信息的全部授權(quán)。

　?。ǘ?刪除權(quán)實現(xiàn)路徑難分伯仲

　　刪除與撤回同意在具體實踐方法中的界限不清，整體上以刪除為主要方式。關(guān)于刪除權(quán)的實現(xiàn)機制，幾大平臺既有不同條款情況下的零散表述，也有專門對刪除權(quán)做單獨條款規(guī)定。

　　微信隱私政策中的刪除實現(xiàn)既有零散的表述，也有單獨列明的部分。與其他隱私政策不同，微信并沒有列明法定刪除以及請求的情形。

　　抖音隱私政策在個人信息主體權(quán)利下的查閱、更正、補充、刪除你的個人信息條款中僅列明刪除點贊信息、發(fā)布的音視頻信息，此外停止運營、注銷帳號、主動刪除個人信息或信息超出必要的保存期限后，抖音將進行刪除或者匿名化處理。與微信一樣，其沒有列明法定刪除以及請求的情形。

　　淘寶隱私政策在單列法定刪除及請求情形，分別為處理個人信息的行為違反法律法規(guī)；未經(jīng)同意收集、使用個人信息、違反約定處理個人信息；處理目的已實現(xiàn)、無法實現(xiàn)或者為實現(xiàn)處理目的不再必要；停止提供產(chǎn)品或者服務，或者保存期限已屆滿。其列出的請求事由與法定刪除事由并不完全一致。此外，用戶注銷了之后淘寶會對其個人信息進行刪除或者匿名化處理。

　　美團、云閃付、京東在隱私政策里單列了關(guān)于刪除的條款，并散落在各處也提及可以刪除的情形，例如美團提出“在超出保留期間后，我們會根據(jù)適用法律的要求刪除您的個人信息，或使其匿名化處理。在您主動注銷賬號時，我們將根據(jù)法律法規(guī)的要求進行數(shù)據(jù)處理?！?/p>

　　云閃付和京東列明的刪除的請求情形為處理個人信息的行為違反法律法規(guī)、未經(jīng)同意使用、處理行為違反約定、產(chǎn)品或服務終止、注銷賬號、停止運營。在其他地方提及刪除超過期限儲存的個人信息，“對于超期儲存的個人信息，我們將刪除您的個人信息。”

　?。ㄈ?可攜帶權(quán)的落地困境

　　可攜帶權(quán)落地仍以復制為基礎(chǔ)，各家暫未出臺具體政策。目前僅抖音提及了可攜帶權(quán)，具體表述為“如果你需要復制我們收集存儲的個人信息，你可以通過8.1條列出的聯(lián)系方式與我們聯(lián)系。如果你需要轉(zhuǎn)移我們收集存儲的個人信息，我們將根據(jù)法律法規(guī)的要求，為你提供轉(zhuǎn)移路徑。”

　　4

　　個性化功能管理

　　各家均對個性化推薦與個性化廣告管理進行加強處理，其中淘寶、京東在隱私政策里直接鏈接了個性化推薦的入口。微信、抖音、美團在各自隱私政策中均只是給出了關(guān)閉或開啟的具體指引。云閃付在隱私政策里并未給出指引，但在其手機app端-設(shè)置-個性化推薦設(shè)置給出了關(guān)閉選項。

　　5

　　去標識化/匿名化用途

　　微信、京東、淘寶都在隱私政策給出了匿名化的定義，其余并未給出。對于匿名化或者去標識化后的個人信息，幾大平臺都給予了更寬泛的使用范圍。例如，美團隱私政策中指出：“可能將業(yè)務中收集的個人信息用于統(tǒng)計分析和改進運營，將已經(jīng)去標識化無法識別您身份且不能復原的信息用于建立數(shù)據(jù)庫并進行商業(yè)化利用。例如通過您所在的位置、偏好等進行統(tǒng)計分析，從而改進我們的產(chǎn)品、服務或營銷計劃；又如為改進我們系統(tǒng)而進行的技術(shù)改造、網(wǎng)絡維護、故障排除、內(nèi)部政策與流程制定、生成內(nèi)部報告等。”

　　6

　　個人信息共享對象與基礎(chǔ)

　　共享場景殊途同歸，大多為廣告與其他關(guān)聯(lián)公司。抖音隱私政策中指名其共享場景主要為廣告，另外還有因?qū)W術(shù)科研目的的共享使用。表述為“我們可能與廣告的服務商、供應商和其他合作伙伴（合稱”廣告合作方“）共享分析去標識化的設(shè)備信息或統(tǒng)計信息，這些信息難以或無法與你的真實身份相關(guān)聯(lián)。這些信息將幫助我們分析、衡量廣告和相關(guān)服務的有效性。廣告推送與投放：進行推送/推廣和廣告投放或提供相關(guān)服務的廣告合作方可能需要使用去標識化或匿名化后的設(shè)備、網(wǎng)絡、渠道信息以及標簽信息；與廣告主合作的廣告推送/推廣、投放/分析服務的廣告合作方可能需要使用前述信息，以實現(xiàn)廣告投放、優(yōu)化與提升廣告有效觸達率?！薄皩W術(shù)科研：為提升相關(guān)領(lǐng)域的科研能力，促進科技發(fā)展水平，我們在確保數(shù)據(jù)安全與目的正當?shù)那疤嵯拢赡軙c合作的科研院所、高校等機構(gòu)使用去標識化或匿名化的數(shù)據(jù)?！?/p>

　　微信的隱私政策表明，其會與廣告主及其代理商等第三方合作機構(gòu)進行數(shù)據(jù)共享，對個人身份信息的共享會征求明確授權(quán)。即 “4.1 為了投放廣告，評估、優(yōu)化廣告投放效果等目的，我們需要向廣告主及其代理商等第三方合作伙伴共享你的部分數(shù)據(jù)，要求其嚴格遵守我們關(guān)于數(shù)據(jù)隱私保護的措施與要求，包括但不限于根據(jù)數(shù)據(jù)保護協(xié)議、承諾書及相關(guān)數(shù)據(jù)處理政策進行處理，避免識別出個人身份，保障隱私安全。具體可見《廣告信息共享清單》?！薄拔覀儾粫蚝献骰锇榉窒砜捎糜谧R別你個人身份的信息，除非你明確授權(quán)?！?/p>

　　淘寶隱私政策中列明共享的合法性基礎(chǔ)為法定義務、個人同意、為訂立、履行用戶作為一方當事人的合同所必需的情況下的、與關(guān)聯(lián)公司，并給出了詳細共享文檔。

　　美團在新版的隱私政策中，將個人信息共享去向的“主體”表述為了“功能”，也即基于不同的功能進行信息共享。例如，為了實現(xiàn)統(tǒng)一管理、提供必要的合作服務、提供平臺服務、保障安全和優(yōu)化服務（其中包含廣告）、基于法定情形提供。

　　云閃付隱私政策的共享合法性基礎(chǔ)僅為同意，向第三方的貢獻與關(guān)聯(lián)公司的共享也是一樣。同時，云閃付在隱私政策中給出了共享的具體清單。

　　京東隱私政策中的共享合法性基礎(chǔ)為：事先獲得明確同意或授權(quán)；根據(jù)適用的法律法規(guī)、法律程序的要求、強制性的行政或司法要求所必須的情況下進行提供；在法律法規(guī)允許的范圍內(nèi)，為維護京東、京東的關(guān)聯(lián)方或合作伙伴、用戶或其他京東用戶或社會公眾利益、財產(chǎn)或安全免遭損害而有必要提供；實現(xiàn)產(chǎn)品與/或服務的核心功能或服務所必須；應用戶需求為處理與他人的糾紛或爭議；其他協(xié)議；基于學術(shù)研究而使用；基于符合法律法規(guī)的社會公共利益而使用。

　　7

　　個人信息存儲地點與期限

　　（一） 儲存地點與數(shù)據(jù)跨境

　　在研究的幾家網(wǎng)絡平臺隱私協(xié)議中，儲存地點都為境內(nèi)，特殊情況需要向境外提供的，幾大平臺都有遵守法律規(guī)定的表述，不同的是淘寶、美團、京東。以下是可以進行跨境提供的不同情形：

　　淘寶：您作為一方當事人的跨境電子商務交易及其他類型合同訂立和履行所必需的。

　　美團：您主動發(fā)起的跨境預定、下單、交易等個人行為（如購買國際機票、預訂國際酒店等）。

　　京東：如您使用跨境交易服務，且需要向境外傳輸您的個人信息完成交易的，我們會單獨征得您的授權(quán)同意并要求接收方按照我們的說明、本隱私政策以及其他任何相關(guān)的保密和安全措施來處理這些個人信息。

　?。ǘ﹥Υ嫫谙?/p>

　　幾大網(wǎng)絡平臺在儲存期限方面的規(guī)定幾乎一致，即：僅在為實現(xiàn)目的所必需的時間及法律、行政法規(guī)所規(guī)定的保存期限內(nèi)保留個人信息。在發(fā)生停止運營、賬戶注銷、個人信息刪除的情形時做另外處理。不同的是，淘寶列出了儲存期限的評判標準：完成相關(guān)的交易目的、維護相應交易及業(yè)務記錄，以應對用戶可能的查詢或投訴；保證服務的安全和質(zhì)量；個人同意；其他特別約定或法律法規(guī)規(guī)定。

　　8

　　個人信息保護負責人設(shè)立

　　根據(jù)《個人信息保護法》第52條的規(guī)定，處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者應當指定個人信息保護負責人，負責對個人信息處理活動以及采取的保護措施等進行監(jiān)督。在研究的幾家網(wǎng)絡平臺隱私協(xié)議中，幾大平臺均設(shè)立了個人信息保護負責人，這與《個人信息保護法》的要求一致。

　　9

　　外部獨立機構(gòu)設(shè)立

　　根據(jù)《個人信息保護法》第58條的規(guī)定，提供重要互聯(lián)網(wǎng)平臺服務、用戶數(shù)量巨大、業(yè)務類型復雜的個人信息處理者應當成立主要由外部成員組成的獨立機構(gòu)對個人信息保護情況進行監(jiān)督。在研究的幾家網(wǎng)絡平臺隱私協(xié)議中，均暫未提及。