隨著《個人信息保護法》于2021年11月1日的正式生效，各大平臺近期均修改了自己的隱私政策。例如微信在2021年10月29日進行了更新，美團在2021年10月28日進行了更新，淘寶、抖音在2021年11月1日進行了更新。更改內容主要集中于個性化功能管理、個人信息權利實現、雙清單（個人信息收集清單&第三方共享清單）目錄、撤回同意機制、信息儲存期限等。本文主要針對微信、美團、抖音、淘寶、云閃付、京東進行分析，以下是重要制度的具體分析，相關分析是基于筆者的個人研究中立立場的理解，不代表任何機構的意見；相關分析主要是做差異化對比，相關內容也不完全是法律的明確要求，故而相關結論不代表需要整改的法律意見。

　　1

　　隱私政策主體指代不明

　　各大網絡平臺的隱私政策中一般以第一人稱“我們”來描述特定主體，但查閱相關隱私政策之后，可以發現“我們”一詞的使用存在以下問題：（1）將“我們”定義為平臺主體企業及關聯公司，而對關聯公司的定義則略過或者模糊化定義。如美團雖然說明了關聯公司的定義，卻將美團定義為美團旗下所有公司及其附屬、關聯公司，甚至其中包括未來成立的公司，主體的不確定性顯而易見。（2）沒有對“我們”進行定義，直接使用“我們”二字。比如滴滴雖然明確了滴滴旗下的各個平臺及其運營公司，卻沒有提到“我們”的定義，“我們”二字在《隱私政策》中的突然出現不免顯得有些突兀。（3）引入集團概念，將“我們”擴展至多主體，《隱私政策》適用范圍擴大至集團項下所有服務/產品，集團內所有產品和服務中的個人信息會在集團旗下公司及關聯公司內部的個人信息處理者之間共享，同時明確單獨設立《隱私政策》的產品/服務的效力適用規則?！峨[私政策》的主體既包括平臺運營服務商，亦包括其關聯公司；《隱私政策》的適用范圍則擴大為集團項下的所有產品和服務，但若存在單獨設置《隱私政策》的產品，則優先適用單獨的《隱私政策》（如百度、拼多多、淘寶、餓了么、愛奇藝、云賬戶平臺等）。[1]

　　[1] 本段意見源于德恒上海律所公號文章。其中，抖音：“抖音”指北京微播視界科技有限公司及其關聯方（以下簡稱“我們”）合法擁有并運營的、標注名稱為抖音（包括抖音火山版、抖音極速版、多閃等關聯版本）的客戶端應用程序、官方網站以及供第三方網站和應用程序使用的軟件開發工具包（SDK）和應用程序編程接口（API）。

　　美團：“美團（以下或稱”我們“）非常注重保護用戶（”您“）的個人信息及隱私。”在附錄里面，對美團的定義為：本政策中所指的“美團”是指美團旗下所有公司及其附屬、關聯公司（包括美團網、大眾點評、摩拜等各平臺旗下已經成立的公司及未來可能成立的公司）。而關聯公司是指美團（Meituan）最新上市公司年報披露的美團關聯公司。

　　2

　　合法性基礎與敏感個人信息

　?。ㄒ唬?處理個人信息的合法性基礎表述不一

　　在個人信息保護法生效前后，各家的隱私政策對合法性基礎的修改較為統一，如微信、美團、抖音，以《個人信息保護法》第13條規定的為準，在此基礎上仍然有細微差別。

　　可能由于平臺應用中隱私協議的相對方是用戶而不包括員工，故而抖音和微信的隱私政策在同意的例外項下沒有列明“給予人力資源管理所必需”一項，但美團隱私政策仍然保留了《個人信息保護法》第13條的所有合法性基礎。

　　京東、云閃付目前的隱私政策按照內容可以判斷是根據《個人信息安全規范》（GB/T 35273-2020）制定的。

　　在京東的隱私政策里面，其同意的例外事項包括：1、與國家安全、國防安全有關的；2、與公共安全、公共衛生、重大公共利益有關的；3、與犯罪偵查、起訴、審判和判決執行等有關的；4、出于維護個人信息主體或其他個人的生命、財產等重大合法權益但又很難得到本人同意的；5、所收集的個人信息是個人信息主體或監護人自行向社會公眾公開的；6、從合法公開披露的信息中收集的您的個人信息的，如合法的新聞報道、政府信息公開等渠道；7、根據您的要求簽訂合同所必需的；8、用于維護所提供的產品與/或服務的安全穩定運行所必需的，例如發現、處置產品與/或服務的故障；9、為合法的新聞報道所必需的；10、學術研究機構基于公共利益開展統計或學術研究所必要，且對外提供學術研究或描述的結果時，對結果中所包含的個人信息進行去標識化處理的；11、法律法規規定的其他情形。這11種情形仍然為其寫入隱私政策的合法性基礎。除了第10項，其余都能被解釋進現有的合法性基礎之中。對于第10項，在《個人信息安全規范》（GB/T 35273-2020）第5.6條上也可以找到依據。

　　在云閃付的隱私政策中，其同意的例外事項包括：1、 與國家安全、國防安全直接相關的；2、與公共安全、公共衛生、重大公共利益直接相關的；3、與犯罪偵查、起訴、審判和判決執行等直接相關的；4、出于維護您或其他個人的生命、財產等重大合法權益但又很難得到本人同意的；5、 所涉及的個人信息是您自行向社會公眾公開的；6、 根據您的要求簽訂和履行合同所必需的；7、從合法公開披露的信息中收集個人信息的，如合法的新聞報道、政府信息公開等渠道；8、 維護所提供產品或服務的安全穩定運行所必需的，例如發現、處置產品或服務的故障。以上八種情形為同意的例外。除第8項，其余都能被解釋進現有的合法性基礎中。對于第8項，在《個人信息安全規范》（GB/T 35273-2020）第5.6條上也可以找到依據。

　　淘寶的隱私政策中并未專門列出同意的例外情形，一般以取得個人同意為基礎，但共享條款處列明共享的同意例外有“為訂立、履行作為一方當事人的合同所必需的情況下的共享”、“基于法定義務”以及“與關聯公司”的共享，其依據是《個人信息保護法》第13條。

　　（二） 敏感個人信息處理模糊

　　1.敏感個人信息種類

　　《個人信息保護法》對敏感個人信息做了定義和不完全列舉的規定。目前，網絡平臺大多沒有完整列明所處理的敏感個人信息類別，都使用了“等”來兜底。但是，根據《個人信息保護法》第29條的規定，處理敏感個人信息應當取得個人的單獨同意，所以此處的“等”不能直接作為獲得授權的依據。即便是列舉的敏感個人信息，“單獨同意”是有別于“一攬子同意”的，具體實現也需要通過分別勾選、單獨彈窗等形式實現。

　　在已經列舉的敏感個人信息類別中，微信隱私政策將通訊錄、位置、攝像頭、麥克風、相冊等為列明的敏感信息。其提示，獲取了敏感權限并不等同于收集個人信息。敏感個人信息提到的有聲紋特征值信息、手機聯系人信息、精確位置信息。抖音隱私政策列出了身份證號、銀行卡相關信息、精確定位信息是個人敏感信息。在美團隱私政策中列出了身份信息（包含真實姓名、身份證號碼）、聯絡信息、行程信息、住宿信息、支付信息、面部特征值、地址信息為敏感個人信息，此外在附錄中還引用了個保法關于敏感個人信息的定義，并概括性的提出“本隱私政策中可能涉及到的個人敏感信息包括：個人身份認證信息（包括身份證、軍官證、護照、駕駛證、學生證等）；個人財產信息（銀行賬號、交易和消費記錄、信貸記錄以及虛擬財產信息等）；其他信息（行蹤軌跡、通訊錄信息、住宿信息、精準定位信息等）；14周歲以下的未成年人信息?！痹谔詫氹[私政策中，并沒有列舉敏感個人信息的類別而是概括性的使用敏感一詞，并引用了個保法關于敏感個人信息的定義。在云閃付隱私政策中，指出“本隱私政策中涉及的個人敏感信息包括：您的個人身份信息（包括身份證、軍官證、護照、駕駛證等）；個人生物識別信息（面部識別特征、指紋、掌紋）；網絡身份標識信息（包括云閃付APP登錄賬號、IP地址、郵箱地址及與前述有關的密碼、口令、口令保護答案）；個人財產信息（銀行卡號、密碼、口令、交易和消費記錄、流水記錄、支付收款記錄）；通訊錄；網頁瀏覽記錄；精準定位信息?！?/p>

　　京東的隱私政策中，附上了《個人信息安全規范》之中的敏感個人信息示例。

　　2.單獨同意的實現機制（IOS系統為例）

　　在敏感個人信息與敏感權限的管理上，微信專設了權限管理功能，可以關閉或開啟特定權限，但位置信息存在概括授權的可能，即當用戶授權了位置信息的使用之后，微信的所有功能包括聊天中發送和共享位置、搖一搖、附近的人、視頻號、直播、搜一搜、看一看、公眾號和卡包等與位置相關的服務均無法使用。

　　淘寶在敏感權限的單獨同意上采取了彈窗的方式，對于位置、麥克風、相冊、相機、通訊錄、廣告標識符的權限單列并在點擊后出現彈窗。

　　京東將位置、相機、音頻、通訊錄、相冊權限與剪切版設置、廣告管理、推薦管理單列，在敏感權限上采取彈窗，在剪切版設置、廣告管理、推薦管理上采取單獨頁面，默認開啟前述三項功能，用戶可以選擇關閉。

　　云閃付并沒有采取彈窗方式，而是采取單獨頁面，授權需要鏈接到ios系統權限管理界面。美團、抖音的敏感權限管理同樣只能通過ios系統權限管理。

　　3

　　個人信息主體權利

　?。ㄒ唬?撤回同意實現路徑大相徑庭

　　本文分析的幾大網絡平臺對撤回同意的理解基本一致，在實現方式上略有不同。在進行機制設計時，仍然會提示撤回同意不影響此前已經處理的個人信息的效力。

　　微信的隱私政策并沒有單列撤回同意的條款，但提及隱私政策中有相關的指引，查閱隱私政策后發現，其有相關解除授權、更改授權、刪除相關信息、注銷賬戶等操作。

　　抖音未單列撤回同意條款，而是列出保護個人信息權利的概括性條文，并在系統權限設置中提及可以“在設備的設置功能中開啟或關閉地理位置、通訊錄、攝像頭、麥克風、相冊、日歷等權限，改變授權范圍或撤回你的授權。”

　　淘寶隱私政策列明的方式為權限管理，在注銷賬戶處并沒有相關撤回授權的描述。

　　美團隱私政策單列了撤回同意條款，撤回同意的路徑為刪除信息、更改隱私設置或者在系統中關閉設備權限功能。

　　云閃付隱私政策中列明的撤回同意方式為刪除授權和注銷賬戶。

　　京東隱私政策在撤回同意上的采取的路徑為“刪除信息、關閉設備功能、在京東網站或軟件中進行隱私設置等方式”，前述路徑依次改變授權繼續收集個人信息的范圍或撤回授權。此外，也可以通過注銷賬戶撤回繼續收集個人信息的全部授權。

　?。ǘ?刪除權實現路徑難分伯仲

　　刪除與撤回同意在具體實踐方法中的界限不清，整體上以刪除為主要方式。關于刪除權的實現機制，幾大平臺既有不同條款情況下的零散表述，也有專門對刪除權做單獨條款規定。

　　微信隱私政策中的刪除實現既有零散的表述，也有單獨列明的部分。與其他隱私政策不同，微信并沒有列明法定刪除以及請求的情形。

　　抖音隱私政策在個人信息主體權利下的查閱、更正、補充、刪除你的個人信息條款中僅列明刪除點贊信息、發布的音視頻信息，此外停止運營、注銷帳號、主動刪除個人信息或信息超出必要的保存期限后，抖音將進行刪除或者匿名化處理。與微信一樣，其沒有列明法定刪除以及請求的情形。

　　淘寶隱私政策在單列法定刪除及請求情形，分別為處理個人信息的行為違反法律法規；未經同意收集、使用個人信息、違反約定處理個人信息；處理目的已實現、無法實現或者為實現處理目的不再必要；停止提供產品或者服務，或者保存期限已屆滿。其列出的請求事由與法定刪除事由并不完全一致。此外，用戶注銷了之后淘寶會對其個人信息進行刪除或者匿名化處理。

　　美團、云閃付、京東在隱私政策里單列了關于刪除的條款，并散落在各處也提及可以刪除的情形，例如美團提出“在超出保留期間后，我們會根據適用法律的要求刪除您的個人信息，或使其匿名化處理。在您主動注銷賬號時，我們將根據法律法規的要求進行數據處理?！?/p>

　　云閃付和京東列明的刪除的請求情形為處理個人信息的行為違反法律法規、未經同意使用、處理行為違反約定、產品或服務終止、注銷賬號、停止運營。在其他地方提及刪除超過期限儲存的個人信息，“對于超期儲存的個人信息，我們將刪除您的個人信息。”

　?。ㄈ?可攜帶權的落地困境

　　可攜帶權落地仍以復制為基礎，各家暫未出臺具體政策。目前僅抖音提及了可攜帶權，具體表述為“如果你需要復制我們收集存儲的個人信息，你可以通過8.1條列出的聯系方式與我們聯系。如果你需要轉移我們收集存儲的個人信息，我們將根據法律法規的要求，為你提供轉移路徑。”

　　4

　　個性化功能管理

　　各家均對個性化推薦與個性化廣告管理進行加強處理，其中淘寶、京東在隱私政策里直接鏈接了個性化推薦的入口。微信、抖音、美團在各自隱私政策中均只是給出了關閉或開啟的具體指引。云閃付在隱私政策里并未給出指引，但在其手機app端-設置-個性化推薦設置給出了關閉選項。

　　5

　　去標識化/匿名化用途

　　微信、京東、淘寶都在隱私政策給出了匿名化的定義，其余并未給出。對于匿名化或者去標識化后的個人信息，幾大平臺都給予了更寬泛的使用范圍。例如，美團隱私政策中指出：“可能將業務中收集的個人信息用于統計分析和改進運營，將已經去標識化無法識別您身份且不能復原的信息用于建立數據庫并進行商業化利用。例如通過您所在的位置、偏好等進行統計分析，從而改進我們的產品、服務或營銷計劃；又如為改進我們系統而進行的技術改造、網絡維護、故障排除、內部政策與流程制定、生成內部報告等?！?/p>

　　6

　　個人信息共享對象與基礎

　　共享場景殊途同歸，大多為廣告與其他關聯公司。抖音隱私政策中指名其共享場景主要為廣告，另外還有因學術科研目的的共享使用。表述為“我們可能與廣告的服務商、供應商和其他合作伙伴（合稱”廣告合作方“）共享分析去標識化的設備信息或統計信息，這些信息難以或無法與你的真實身份相關聯。這些信息將幫助我們分析、衡量廣告和相關服務的有效性。廣告推送與投放：進行推送/推廣和廣告投放或提供相關服務的廣告合作方可能需要使用去標識化或匿名化后的設備、網絡、渠道信息以及標簽信息；與廣告主合作的廣告推送/推廣、投放/分析服務的廣告合作方可能需要使用前述信息，以實現廣告投放、優化與提升廣告有效觸達率?！薄皩W術科研：為提升相關領域的科研能力，促進科技發展水平，我們在確保數據安全與目的正當的前提下，可能會與合作的科研院所、高校等機構使用去標識化或匿名化的數據?！?/p>

　　微信的隱私政策表明，其會與廣告主及其代理商等第三方合作機構進行數據共享，對個人身份信息的共享會征求明確授權。即 “4.1 為了投放廣告，評估、優化廣告投放效果等目的，我們需要向廣告主及其代理商等第三方合作伙伴共享你的部分數據，要求其嚴格遵守我們關于數據隱私保護的措施與要求，包括但不限于根據數據保護協議、承諾書及相關數據處理政策進行處理，避免識別出個人身份，保障隱私安全。具體可見《廣告信息共享清單》。”“我們不會向合作伙伴分享可用于識別你個人身份的信息，除非你明確授權?！?/p>

　　淘寶隱私政策中列明共享的合法性基礎為法定義務、個人同意、為訂立、履行用戶作為一方當事人的合同所必需的情況下的、與關聯公司，并給出了詳細共享文檔。

　　美團在新版的隱私政策中，將個人信息共享去向的“主體”表述為了“功能”，也即基于不同的功能進行信息共享。例如，為了實現統一管理、提供必要的合作服務、提供平臺服務、保障安全和優化服務（其中包含廣告）、基于法定情形提供。

　　云閃付隱私政策的共享合法性基礎僅為同意，向第三方的貢獻與關聯公司的共享也是一樣。同時，云閃付在隱私政策中給出了共享的具體清單。

　　京東隱私政策中的共享合法性基礎為：事先獲得明確同意或授權；根據適用的法律法規、法律程序的要求、強制性的行政或司法要求所必須的情況下進行提供；在法律法規允許的范圍內，為維護京東、京東的關聯方或合作伙伴、用戶或其他京東用戶或社會公眾利益、財產或安全免遭損害而有必要提供；實現產品與/或服務的核心功能或服務所必須；應用戶需求為處理與他人的糾紛或爭議；其他協議；基于學術研究而使用；基于符合法律法規的社會公共利益而使用。

　　7

　　個人信息存儲地點與期限

　　（一） 儲存地點與數據跨境

　　在研究的幾家網絡平臺隱私協議中，儲存地點都為境內，特殊情況需要向境外提供的，幾大平臺都有遵守法律規定的表述，不同的是淘寶、美團、京東。以下是可以進行跨境提供的不同情形：

　　淘寶：您作為一方當事人的跨境電子商務交易及其他類型合同訂立和履行所必需的。

　　美團：您主動發起的跨境預定、下單、交易等個人行為（如購買國際機票、預訂國際酒店等）。

　　京東：如您使用跨境交易服務，且需要向境外傳輸您的個人信息完成交易的，我們會單獨征得您的授權同意并要求接收方按照我們的說明、本隱私政策以及其他任何相關的保密和安全措施來處理這些個人信息。

　?。ǘ﹥Υ嫫谙?/p>

　　幾大網絡平臺在儲存期限方面的規定幾乎一致，即：僅在為實現目的所必需的時間及法律、行政法規所規定的保存期限內保留個人信息。在發生停止運營、賬戶注銷、個人信息刪除的情形時做另外處理。不同的是，淘寶列出了儲存期限的評判標準：完成相關的交易目的、維護相應交易及業務記錄，以應對用戶可能的查詢或投訴；保證服務的安全和質量；個人同意；其他特別約定或法律法規規定。

　　8

　　個人信息保護負責人設立

　　根據《個人信息保護法》第52條的規定，處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人，負責對個人信息處理活動以及采取的保護措施等進行監督。在研究的幾家網絡平臺隱私協議中，幾大平臺均設立了個人信息保護負責人，這與《個人信息保護法》的要求一致。

　　9

　　外部獨立機構設立

　　根據《個人信息保護法》第58條的規定，提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者應當成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督。在研究的幾家網絡平臺隱私協議中，均暫未提及。