个保法时代，如何起草一份合规的隐私政策

个保法时代，如何起草一份合规的隐私政策？

文/泰和泰律师事务所 陈福中、潘兴琦、刘若愚

引言

8月20日，十三届全国人大常委会第三十次会议审议通过了《中华人民共和国个人信息保护法》（下称“个保法”），该法定于2021年11月1日起正式施行。个保法的通过，标志着我国个人信息保护顶层制度设计的正式落地，同时也意味着我国对个人信息处理活动的监管将迎来新的时代。

根据个保法第六十六条的规定，违反该法规定处理个人信息，情节严重的，“由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人”。前述规定将违法处理个人信息的行政处罚在原有相关法律规定的基础上进行了大幅度的提高，涉及个人信息处理活动的企业因此面临的合规风险较之以往亦随之大幅升高。

个保法第七条规定：“处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。”这里的“个人信息处理规则”，就是平时常见的“隐私政策”（或称“个人信息保护政策”，为行文方便，本文将统称“隐私政策”）。可以说，隐私政策合规与否，已成为个人信息处理活动是否合规的关键考察维度之一。起草一份合规的隐私政策，是广大企业接下来在开展合规工作时需要列入较高优先级的事项。

在个保法正式通过之际，现结合我们为客户起草隐私政策的经验，就隐私政策起草工作十大方面的要点分享如下，供读者参考：

• 一、起草隐私政策的准备工作要点

通常情况下，在起草一份法律文书之前，起草人需要事先了解所涉及的交易主体、交易架构以及主要的商务条件等交易信息，起草隐私政策亦不例外，在正式开始起草工作之前，也需要进行适当的准备工作。

总结而言，我们认为，隐私政策起草的准备工作有如下要点：

1.需要搞清楚哪些产品或者场景需要隐私政策。

在实务工作中，有不少人认为隐私政策只是APP需要配置的文本，造成这一错误认识的主要原因可能在于此前见诸媒体的监管通报案例多数都是APP，较少涉及其他产品类型或者场景。实际上，个保法并未将公示个人信息处理规则的义务限定于APP，企业通过网站、小程序、公众号、H5页面、各类物联网应用等形式收集、使用个人信息的，都应当起草并公示隐私政策。

2.需要提前考虑制作几个版本的隐私政策。

对于一些规模较大的企业，不同产品可能使用不同的应用程序，所涉及的个人信息通常也有所不同，这种情况下，虽然法律上并未强制要求必须就每一个不同的产品都起草一份单独的隐私政策，但从我们的经验来看，如果不同产品或场景涉及的个人信息类型和处理方式差别较大，强行整合到一个文本中会存在较大的难度，最好还是使用不同的隐私政策文本（当然，共性的部分可以保持一致）。相较于所有产品和场景都使用同一份隐私政策，这样做可以在一定程度上增强用户体验，并减少误解。

3.需要找到合适的人员配合。