一、案件事實

　　2018年4月28日，原告打開“知乎”應用，顯示《隱私政策-知乎》的推送。原告瀏覽全部頁面后，并不同意其收集用戶個人信息的隱私政策，遂選擇“不同意”，然而頁面彈出提示“我們將按業界成熟的安全標準，采取相應的安全保護措施來保護您的個人信息”，并附“知道了”點擊選項。原告點擊“知道了”后，被告繼續要求原告對“隱私政策-知乎”作出“同意”或是“不同意”的選擇。原告再次選擇“不同意”，則上述提示再次彈出。如此反復多次后，原告無奈只得點擊“同意”。2018年11月3日，原告打開“知乎”應用，被告再次強制原告同意《隱私保護指引概要》。

　　因此原告認為被告強制原告同意其發布的隱私政策，違法收集原告個人信息，侵害了原告的合法權益。遂將知乎起訴至法院。在訴訟中，原告明確在本案中僅主張其與被告之間隱私政策、指引相關的合同不成立，明確表示不主張合同無效等事由。在案件的性質上屬于消極確認之訴。

　　二、法院觀點：隱私政策是一份合同

　　在案件中，法院將隱私政策認定為一種以數據電文形式訂立的合同。針對隱私政策的更新，法院依據合同法要約-承諾理論理論進行了分析：“故被告發布的隱私政策、指引屬于其向原告發出的變更合同條款的要約。”

　　這與《個人信息安全規范》（GB/T 35273-2020）中的規定截然不同，在《個人信息安全規范》（GB/T 35273-2020）中認為“個人信息保護政策（隱私政策）的主要功能為公開個人信息控制者收集、使用個人信息范圍和規則，不宜將其視為合同”（5.6g）。此種差異尤其值得關注。開展合規工作，應當面向訴訟，以期在發生糾紛時合規措施最終能夠得到法庭的支持，因此從合同的角度思考隱私政策尤為必要。

　　本案中，關鍵點在于判斷隱私政策、指引相關的合同是否成立：

　　……被告通過對相關條款設置彈窗、加黑等方式進行了提示，并對相關條款內容進行了說明，應認定被告已履行了提示或者說明義務。同時，原告主張在瀏覽全部頁面后不同意有關個人信息的條款，曾多次選擇“不同意”，但未表明其不理解相關條款含義，故本案并不能適用民法典上述規定。……第三，原告主張因被告對選擇模式的設置，導致其被迫選擇“同意”，并要求被告提供其針對上述條款進行選擇的全過程信息。本院認為，平臺對用戶所有選擇操作軌跡（情形）進行收集、保存，涉及對用戶的個人信息搜集，應進行必要提示并取得用戶的同意；且即使能夠查實原告進行了多次否定的操作，因其最終選擇了“同意”，已經符合了承諾的形式要件，并不能產生否認相關條款成立的法律效果。

　　案件中，因為原告在幾經拒絕后仍然點擊了“同意”，法院因此認為已經符合承諾的形式要件，從而認定合同成立。

　　三、合規啟示：更新隱私政策的風險

　　本案的性質屬于消極確認之訴，而非請求權之訴，因此原告點擊“同意”的行為對案件定性、成敗十分重要。如果原告始終沒有點擊“同意”，且知乎對隱私政策的變更涉及用戶訪問、修改、刪除個人信息等權益的行使，那么對案件的裁判結果可能會有不同的走向。

　　本案中，法院雖然沒有支持原告的訴訟請求，但也明確指出：

　　被告在用戶拒絕同意涉案相關條款時，僅向用戶提供游客身份瀏覽相關網站內容等服務，而未提供用戶以真實身份的接受上述服務的選項，未給用戶一定期限內作出選擇的緩沖期，亦未說明此種設計的合理理由；在用戶拒絕同意涉案條款時，雖多次提示同意涉案條款的必要性，但未設置包括解除合同在內的選項供用戶選擇，客觀上造成合同長期處于不穩定狀態，可能損害用戶基于履行合同而享有的相應權利。被告作為平臺經營者應進一步完善相應規則，提供優質的網絡服務，保障廣大網絡用戶權益，促進產業健康規范發展。

　　目前對隱私政策的關注更多是在新用戶注冊環節，關注首次使用如何告知獲取同意。但根據我對各大平臺隱私政策的跟蹤關注，發現隱私政策是動態的，會隨著產品的升級與外部監管環境的變化而需要進行更新。

　　更新隱私政策的風險甚至是高于全新起草、部署一份隱私政策的風險。在更新時，隱私政策中的更新條款就顯得尤為重要，判斷是否會對已有權益造成影響，對更新進行說明，將更新告知用戶并獲取同意，緩沖期的設置，對歷史版本的隱私政策進行留存等因素都可能成為風險點。

　　隨著《個人信息保護法》的腳步越發臨近，個人對自己個人信息權益的主張也會更加理直氣壯，反過來對企業來說合規的壓力也會隨之成倍增加。當隱私政策的變更涉及到個人權利行使，在“告知-同意”層面所需要的工作會比新用戶注冊更加艱巨。