不得包含不合理条款：

如免除运营者责任、加重用户责任、排除用户主要权利

公平原则

争议点：涉及第三方服务的场景责任划分

《个人信息安全规范》对此提供了参考规范

【明示cookie

收集上网行为，上网日志、设备型号、网址、浏览器…看上去不敏感

为何要单独说明（历史沿革）

可携权条件不成熟

《个人信息安全规范》，《评估指南》没有提副本权利，可以不规定

查询更正删除-只针对部分个人信息（即用户主动提供的），删除只限于违法或违约处理的个人信息

·拒绝用户行权的理由

修订和更新

一般更新告知，重大变更同意

【说明出境情况

接收方，出境监管还不明确，出境条件、范围还没有强制要求

数据保护措施和能力

1.技术措施

2.管理措施

3.权威的

app个人信息安全认证-新的专门针对个人信息的，标准流程还不太明确

【免责声明

网络环境、技术条件免责告知；用户应承担的个人信息的保护责任

如果做了虚假的陈述或宣传，可能成为不利证据

【对外提供

是共享、转让…的统称

委托处理不属于对外提供（？不需要授权？）app治理中没要求委托处理做说明（控制者没发生变化，风险相对于对外提供小）

对外豁免统一的情形7种，而收集豁免的情形有11种

GDPR既能保护隐私又能流动--国内主要重保护，没推共享

向第三方共享时，哪一方征求同意？任一方？

用户给新浪，用户给脉脉，新浪给脉脉，三重授权--案例

突出显示：

敏感信息、处境信息、重要条款

应记载app运营公司名称、注册地址

如果使用简称等，应添加注释

要求列明注册地址和个人信息保护负责人DPO联系方式，隐私政策提供至少一种投诉渠道

三个联系方式问题，注册地址是为了表明身份结合名称，诉讼法上意义；应该设置DPO，一般没有日常接待能力；投诉渠道是实际处理

说明个人信息存放地域（境内/境外）目前放在境外也不违法；金融行业必须放在境内

说明存储期限，难以统一明确，通常是实现功能的最短期限；届满后处理方式，删除/匿名化——跟用户的删除权或账户注销权有关，用户还可以主动行使

功能和信息一一对应，先说功能再说信息。监管：不能多个功能对应同一个信息→为了清晰

《个人信息安全规范》

隐私政策一揽子获取基本业务功能，监管逻辑；扩展业务对应的，单项授权；扩展业务且敏感，弹窗提示授权

实际业务偷懒就都做弹窗授权，隐私政策可以写扩展业务功能，但不能免除在使用时再授权——就高不就低

例：京东app

隐私政策分必须授权/可以选择

app检查要求-隐私政策单独成文

1.目前的监管要求，结构完整：

收集、cookie及同类技术、存储、使用、对外提供、保护措施、用户权利、儿童信息、版本和更新、其他事项

个人信息安全规范

2.界定业务功能：如微信14项功能，注册、语音输入、第三方介入、微信号登录游戏（从信息到功能）-独立的信息集

核心、扩展

3.尽量避免使用等、例如，避免刻意隐瞒；不能为待开发的功能预先收集

隐私政策层级

1.规则层面而非政策层面，企业、网站、app、小程序、it设备……

2.互联网时代→移动互联网时代；仅展示信息的网站cookie或同类收集个人信息也需要配备隐私政策；小程序、公众号，也应该配，微信成为平台，实际收集处理的是小程序方；iot物联网时代，人脸识别、指纹、声控、智能家居设备、摄像头、探测器，差点：物联网没有交互界面怎么得到授权；线下也存在，如手填表格，怎么落实

3.准备工作，单独成文要有完整结构

背后的逻辑

8、说明个人信息出境情况

目前关于数据出境监管范围和出境条件的规定尚未明晰，可参考行业监管要求、相关法规和标准草案以及行业实践做法

《评估指南》只要求在隐私政策中应将出境个人信息类型逐项列出并显著标识，而没有对出境的场景和条件作出限制和要求

尽管没有法律强制要求，但是很多涉及信息出境的APP都在隐私政策中谨慎地表明：

只为跨境业务需要才会向境外传输个人信息，并且会征得用户同意

还有一些APP则将法律明确规定规定、用户同意或用户主动发起的跨境业务并列作为可以选择适用的合法性基础，如美团同步数据出境监管政策落地后，现有隐私政策这部分内容都需要相应调整

9、明示数据保护措施和能力

常用技术措施：身份鉴别、数据加密、访问控制、恶意代码防范、去标识化和匿名化

常用管理措施：建立信息安全管理制度和管理部门、开展应急演练，聘请第三方评估、安全审计

权威的测评或认证

网络安全等级保护备案及测评、ISO27001认证、国际信息安全管理体系、TRUSTArc等、APP个人信息安全认证3.15网信办市场监督总局推出（我国专门针对个人信息的首个认证制度，还在试点阶段，第一批审批企业在申报，认证流程和标准尚不明确）

免责说明

网络环境、技术条件所限情况下的免责信息的告知，以及用户所应承担的对于其个人信息的安全保护责任

目的

增加透明度，使用户了解网络运营者在个人信息保护方面所做的努力，增进双方的信任

促进网络运营者之间的良性竞争

运营商对自身安全能力的说明也具有法律上的意义

如果运营商做了虚假不实的陈述或宣传，在行政执法或用户索赔的民事诉讼中，可能成为对其不利的证据

10、明示对外提供的目的、信息类型、接受方类型或身份

有时统称为对外提供

倾向于认为对外提供=向他人提供

委托处理不属于对外提供，不要求对委托处理进行说明

对外提供一般信息需披露接受者的类型，对外提供敏感信息需披露接受者的身份，即具体指明接收者是谁，但有时披露第三方的身份存在困难伙伴

对外提供和面同意的情形有七种，而收集豁免同意的情形则有11种，说明对对外提供相对谨慎

向第三方共享时，由哪一方来征得用户同意？

支付宝和微信都提到，共享前会征求用户同意，或者确认第三方已征得用户同意，这意味着只要共享中的一方获得同意即——不是三重授权，而是两重授权。

5、敏感信息、处境信息、重要条款显著标识

一般采用黑体方式（支付宝隐私政策）

6、隐私政策应记载APP运营者公司名称、注册地址

最规范的做法：使用公司全称，如百度

保障用户知情权，便于用户维权，有诉讼法的意义

如果使用简称、品牌名称、集团名称、我们等，应当添加注释说明

要求列明运营者的注册地址和个人信息保护负责人（即DPO）的联系方式，隐私政策还应提供至少一种投诉渠道

7、明示个人信息存放地域、存储期限和超期处理方式

只需要说明在境内/境外即可，无需说明具体存放地点

目前关于数据出境监管范围和出境条件的规定尚未明晰，尽管大多数APP的隐私政策均宣城将个人信息存储在中国境内，但这并不是必须的

除了金融等特殊行业，将个人信息存储在境外至少目前并不违法，但会降低用户的信任

由于存储期限由个人信息的使用目的所决定，不同的场景和目的下存储期限不同，故企业难以给出一个明确的时间区间或到期日

通常的处理方式是将存储期限规定为实现目的所必须的期限或法律规定的最短期限

用户行使删除权和账户注销全也会影响存储期限

通常情形下，用户行使删除权或账户注销全后，企业就应当不再存储个人信息

但是要注意一些例外情况，比如为了保存证据（电商平台，为了保护运营者自身的权益，诉讼时效三年，声明放弃诉讼权利可以在最短6个月内删除，6个月是网络日志最短的保留期限）

关于超期处理方式，实际上是指保存期限届满后的处理方式，主要有两种处理方式

将个人信息从系统中删除，确保不可被检索或访问

进行匿名化处理

3、业务功能与所收集个人信息类型一一对应

写法上应以功能为基础，说明其需要的信息类别。

避免出现一类个人信息对应多项业务功能的情形

建立清晰的对应关系，便于主管部门监督检查和用户维护权益

4、基本业务功能与扩展业务功能的区分

《个人信息安全规范》的思路变化

从区分一般信息/敏感信息到区分业务功能/扩展业务功能，中国法与GDPR在这一点上的区别

获取授权同意的三个层次：

隐私政策获取基本业务功能的授权

开启功能时获取扩展业务功能的一般个人信息的单项授权，

开启业务功能时弹窗提示获取敏感信息的单项授权——就高不就低，实际简化为两个层次

1、隐私政策单独成文

把隐私政策做成用户协议的附件是可以的

完整的结构：手机、cookie及同类技术、存储、使用、对外提供、保护措施、用户权利、儿童信息、版本和更新、其他事项

展示时主流做法是单独链接，单独页面展示，而不是与其他文件放在同一页面，造成阅读不便

2、隐私政策应逐项列举业务功能

以功能为区分是《个人信息安全规范》修订的重点和未来监管落脚点（撰写之前与产品开发、业务人员沟通业务功能，按照功能梳理信息类别；先了解业务功能是什么，运行的系统有哪几个、怎么部署的，在系统上收集和处理的个人信息有哪些类别，在企业中数据流的流动路径和链条；业务功能-系统-数据）

原先比较强调个人信息VS个人敏感信息的区分，进行不同路径授权；现在从功能角度，基本（扩展）业务功能vs核心业务功能，授权方式要求不同

如何界定业务功能？存在争议，但实践中各企业掌握的口径差不多

如微信列举了14项业务功能，包括注册、微信、朋友圈、公众号、语音输入、微信号登录腾讯游戏、第三方接入

分类维度不单一，不在同意逻辑层次；个人信息级不同

既要从功能到信息，也要从信息到功能

尽量避免使用等、例如等字样，但无法绝对不用，根据行文需要，且不能刻意隐瞒收集行为

只能列举现有的业务功能，不能为待开发的功能预先收集信息。（确保最少必要原则）

APP-产品；各个单向独立功能-

要从基本业务功能与核心业务功能进行划分，而非以往的一般信息与敏感信息。

功能---信息与  信息到功能是不一样的。