近日在使用手機App或打開電腦時，許可發現一些明顯變化。 有關「隱私政策」變更的「彈窗」頻繁出現，使用者只有點擊確認或同意後，才能繼續使用。 5天前收到蘋果公司寄出的”Apple已為《個人信息保護法》做好準備”的郵件; 4天前更新微信最新版本後，看到隱私指引條款和資訊共用披露變更了;再到昨天打開星巴克App後，發現其首頁出現”隱私權政策變更”的”彈窗”……

這一系列的改變，都和一部法律的實施有關。

11月1日，中國第一部個人信息保護方面的專門法律——《個人信息保護法》（下稱”個保法”）正式落地實施。 個保法以”告知-同意”作為核心處理規則，並針對現實生活中社會反映強烈的一攬子授權、強制同意等問題，規定個人信息處理者在處理敏感個人資訊、向他人提供或公開個人資訊等環節應取得個人的單獨同意。

為確保個人資訊處理過程的合法合規，”告知-同意”機制受到了信息處理者的重視。 但當在App、網站上，增強隱私保護成為「新常態」，一些新問題和舊頑疾也引起更多關注。 比如，如何在細化App隱私政策顆粒度的同時，增加用戶可讀性？ 在App向第三方提供個人資訊時，如何增強許可權調用的透明度？ “彈窗時代”如何讓使用者不累心、企業不鬧心？

“準確完整”和”清晰易懂”如何兩全

個保法的第二章第一節明確了個人信息處理規則的一般規定，其中，第十七條指出，個人信息處理者在處理個人資訊前，應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知相關規定事項。

“準確、完整”意味著告知文本需充分、詳盡，而”清晰易懂”則意味著告知文本需簡明、易懂。 這一旨在對於使用者知情權進行充分保護的規定，對於個人信息處理者而言，卻在實際操作中面臨著難以兩全的問題。

北京師範大學網路法治國際中心執行主任吳沈括在接受第一財經採訪時表示，當下，作為個人信息處理者用以”告知”的主要形式，隱私政策如何在文本完整和文本簡明之間取得平衡還是一個難題——模糊的告知會導致”同意”的不自由;冗長的告知又會增加知情的時間成本和專業門檻，如何去平衡仍有待資訊處理者進一步摸索。

不過，在探索階段，針對隱私政策宣示性效果大於實質性作用的問題，已有部分資訊處理者進行內容完善和形式創新。

其中包括，對「隱私功能設置」附有操作流程或跳轉連結;增加目錄但簡化文本內容，並在重點部分予以加粗;提供可視化流覽方式;明示第三方資訊共享名單等。

比如，在蘋果10月27日對其中國使用者更新的隱私政策中，採用「在Apple，個人數據是指什麼」”你在Apple的隱私權””Apple從你那裡收集的個人數據””Apple從其他來源收到的個人數據”等12條主目錄的形式，以減少因內容太多而”迷人眼”的難題。 同時，每一條主目錄后均設有”+”鍵，欲知詳細內容的用戶可繼續流覽。

在支付寶”我的”中的”用戶保護中心”，則對支付寶隱私權政策和螞蟻集團隱私權政策進行了分別說明。 在「支付寶隱私權政策」中，設有「簡要版+完整版」兩個版本，而在簡要版中，採取”視頻+文字+圖表”的告知方式。

其中，「螞蟻集團隱私權政策」是10月31日發佈、11月7日生效的最新版本。 根據該版本，為了方便使用者對不希望接受”根據使用者資訊形成群體特徵標籤，用於向使用者提供其可能感興趣的行銷活動通知、商業性電子資訊或廣告”的關閉式操作，直接附有跳轉連結，也即可在閱讀時，同步進行操作處理。

此外，根據個保法，向第三方提供個人資訊時，應取得資訊主體的單獨同意。 針對這一規定，截至目前，支付寶、微信、QQ等已在其隱私政策中進行了單列、加粗說明，並附上了第三方資訊共享清單。

值得注意的是，為進一步落實第三方處理個人資訊時信息處理者的監督義務，11月1日，工信部發佈《關於開展資訊通信服務感知提升行動的通知》，要求相關互聯網企業建立個人資訊保護「雙清單」——”已收集個人資訊清單」和”與第三方共用個人資訊清單”，並在App中展示以便用戶查詢。 首批設立「雙清單」的企業，包括騰訊、阿裡巴巴、美團、快手、拼多多等39家。

在吳沈括看來，若想讓隱私政策對用戶個人信息保護的作用真正落到實處，仍面臨兩個亟待解決的問題。

“一是使用者本身的數位素養和數位保護意識提升是一個循序漸進的過程;二是資訊處理者在文本設計上，仍存在為了規避合規風險進行虛假性陳述的現象，換言之，考慮到使用者或不會完整地瀏覽隱私政策的具體內容，相關聲明主要起到自我承諾的作用，在此背景下，需要加強對於虛假說明的事後追責。” 吳沈括說。

彈窗困境

但隱私政策並不是實現”告知”的唯一路徑。

中國資訊通信研究院互聯網法律研究中心高級研究員、個人信息保護立法研究團隊負責人楊婕對第一財經表示，匹配到具體場景時，通過及時提示或者”彈窗”式增強告知的方式，將該場景下的個人資訊處理活動的核心要點進行濃縮，再告知個人，並附上完整版的隱私政策查詢連結，也是資訊處理者實現或增強”告知”的可行路徑。

北京清律律師事務所首席合夥人、清華大學法學院互聯網法律與政策研究中心秘書長熊定中也認為，”彈窗”是明示告知、增強個人信息保護的重要載體。

他告訴第一財經，對於信息處理者，當前，大致有三種途徑，對使用者明示告知雙方在許可權或隱私方面的約定。 第一，寫在隱私政策里，但監管部門反對通過一個隱私政策”一攬子”告知;第二，發站內信，但前提是資訊處理者事先收集到使用者的資訊，操作上或存在合規風險;第三，設置”彈窗”，即通過強迫用戶通過做出如點擊、關閉等一系列動作，再將告知內容關閉的方式，實現明確有效的告知。

“針對個保法中需要單獨同意的場景，’彈窗’已成為相關信息處理者的最佳方案。” 熊定中稱。

根據個保法第二十八條、第二十九條規定，處理敏感個人信息應當取得個人的單獨同意。

敏感個人資訊是指，一旦洩露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人資訊，包括生物識別、宗教信仰、特定身份、醫療健康、金融帳戶、行蹤軌跡等資訊，以及不滿十四周歲未成年人的個人資訊。

伴隨個保法的頒布和落地，形式簡潔且直接易察的”彈窗”已成為信息處理者實現增強式告知的共同選擇。 但對於使用者而言，越來越多的”彈窗”，在保障了選擇權的同時，卻影響了體驗感。

在考慮到不同場景「彈窗」合理性、必要性的前提下，中國電子技術標準化研究院網安中心測評實驗室副主任何延哲對「彈窗」做出分類統計。

何延哲認為，與合規有關的「彈窗」可大致分為兩類：第一類是與個人信息保護有直接關聯的彈窗，包括首次開啟或註冊帳號時的隱私政策，隱私政策更新時，許可權申請前告知目的彈窗，刷臉、指紋等功能開通，嵌入的第三方SDK等超過15個場景;第二類是其他可能彈窗的場景，包括訪問網站類型、廣告或活動彈窗、青少年模式、個人操作業務時的提醒等數個場景。

而除了以上「彈窗」外，還存在拒絕後App再次詢問的場景（如許可權）。

何延哲舉例稱，以使用者平均安裝了30個App為例，假如都做了更新且都會在1個月內使用，按照第一類”彈窗”出現60次，第二類”彈窗”出現20次，當月30天來計算，則一個月”彈窗”出現2400次。

也就是說，用戶在將來的1個月內，保守估計有上千個「彈窗」要點擊。

何延哲告訴第一財經，「彈窗」不斷出現的背後，是信息處理者與用戶不斷博弈的結果，而之所以需要博弈，是為了找到更好的平衡點。 在此過程中，信息處理者或可通過減少低價值的「彈窗」、進一步給使用者「隱私偏好」的選擇權和對「彈窗」適度合併等方式，進行優化。

為避免用戶在開啟App時，同一時間彈出太多「彈窗」，並滿足個人資訊收集的必要性原則，楊婕建議，許可權申請應在App某項業務功能必須啟動該許可權時，再進行動態申請;對於使用者不同意開啟的許可權，不得頻繁彈出”彈窗”要求使用者同意。

但正是由於用戶體驗感會受到「彈窗」增多的影響，在熊定中看來，面對越來越多的「彈窗」，感到「鬧心」的反而該是相關的信息處理者。

“事實上，彈窗多不是企業追求的，彈窗少才是。 由於更多的彈窗往往伴隨著更高的使用者流失率，所以，以合規為目的的『彈窗』大多是企業為了履行法定的義務而不得已為之的做法。 “熊定中稱。

熊定中表示，在使用者看來越來越多的”彈窗”，已經是資訊處理者優化後最為精簡的內容。