近年来，App强制授权、过度索权、超范围收集个人信息的现象越演愈烈。2019年伊始，国家多部委重拳出击，着重整治App违规违法收集个人信息乱象。截至目前，已有几十款App遭到强制下架、上百款App被点名整改，App收集个人信息领域迎来了强监管元年。面对来势汹汹的强监管高压，App运营商该如何做好信息收集工作？哪些个人信息可以收集？哪些不行？其中有哪些风险点值得关注？接下来一段时间，本团队将陆续推出App合规的系列文章，为App运营商合规收集个人信息提供方法和思路。

本篇是系列文章的第三篇：如何制定合格的隐私政策？

隐私政策是指互联网企业以在线文件的方式自愿披露其对用户个人信息保护的原则和措施。实践中，互联网企业一般都会在网站主页上公布自己的隐私政策，然而由于企业隐私政策条文冗长，条款内容晦涩难懂，以致于实务中很少用户会去认真阅读隐私政策的内容。然而，尽管如此，隐私政策对App数据合规的作用仍然至关重要。首先，隐私政策是实施告知与选择机制的首要方式，App运营商将App如何收集、使用、转让数据的方式通过隐私政策的方式公示出来，使数据合规透明化，有助于增加用户对企业的信赖度；其次，隐私政策是App运营商自我保护的重要工具，虽然用户很少认真阅读隐私政策，但阅读隐私政策是相关执法机构的根本职责，隐私政策的披露有利于合规监管；最后，隐私政策的披露可以起到App运营商自我规制的作用，能倒逼App运营商内部根据隐私政策要求积极做好数据合规工作。[1]

因此，制定一份合格的政策对App运营商来说至关重要。笔者认为一份合格的隐私政策至少应符合独立性、合理性、完整性和透明性要求。

（一）隐私政策应满足独立性要求

所谓的独立性是指隐私政策应该独立成文。《App 违法违规收集使用个人信息自评估指南》评估的第1点即指出：隐私政策应具有独立性，在App界面上通过任意的4次点击就能找到隐私政策。隐私政策可以通过弹窗、文本链接、常见问题（FAQs）等形式体现。

隐私政策缺少独立性则体现为：App根本没设置隐私政策；没有单独的隐私政策，只有隐私保密声明；隐私政策存在于用户协议当中。

接下来，本文将以案例示范的可视化形式展示隐私政策应满足独立性的要求。[2]

反面案例一：App根本没设置隐私政策

 
 
 反面案例二：没有单独的隐私政策，链接中仅提供隐私保密声明（中国工商银行【苹果系统版本号：3.1.0.8.0】）

 
正面案例：支付宝点击四次之内，可以找到独立的完整的隐私政策

 

（二）隐私政策应满足合理性要求

所谓的合理性是指App运营商设置隐私政策条款时，不应设置不公平条款，例如规定免除己方责任，加重对方义务的条款。一旦隐私政策的条款内容过于强势极有可能陷入霸王条款，而面临隐私政策内容无效的局面。

接下来，本文将以案例示范的可视化形式展示隐私政策应满足合理性的要求。[3]

反面案例一：爱抢购（苹果系统版本号：5.5.3）存在不合理免责条款

反面案例二：去哪儿网（苹果系统版本号：4.10.37）存在不合理免责条款

 

（四）隐私政策应满足完整性要求

所谓的完整性是指App运营商设置隐私政策条款时，隐私政策的内容应包含APP运营商是“如何收集和使用个人信息”、“如何使用Cookie和同类技术”、“如何共享、转让、公开披露个人信息”、“如何保护用户个人信息”、“如何保护用户权利”、“如何处理儿童个人信息”、“如何在全球范围转移”等。

接下来，本文将以可视化形式展示一份完整的隐私政策应该包括哪些方面。[4]

 

 

（五）隐私政策应满足透明性要求

所谓的透明性是指App运营商设置隐私政策条款时，隐私政策无论是通过弹窗还是文本链接，位置应该较为突出明显，无异物遮挡，隐私政策内容透明，易以理解。

综上所述，我们认为一个合格的隐私政策至少应该符合四性要求，这四性分别是独立性、合理性、完整性和透明性

---