新经济与法｜究竟是“谁”在通过《隐私政策》收集个人信息

《个人信息保护法》（下称“《个信法》”）即将于11月1日正式生效，高达5%营业额的史上最严罚则给不少互联网平台敲响了警钟，平台纷纷调整更新其平台《隐私政策》。如爱奇艺平台便于近期更新了各自《隐私政策》中关于个性化推荐的相关约定。

然而，当细细阅读平台《隐私政策》时，却发现不少平台在《隐私政策》使用主体上暗藏玄机：通过在《隐私政策》开头使用“我们”一词，笼统地将平台运营主体及其相关关联公司一并纳入进来。

各平台企业的《隐私政策》中的“我们”究竟是谁？又究竟是“谁”在通过《隐私政策》收集个人信息？

一、 各大平台《隐私政策》中关于“我们”的表述

(一) 各大平台《隐私政策》梳理总结

各大平台的《隐私政策》均为电子协议形式，在用户登录APP时其会与《用户注册协议》等其他协议文本一同自动弹出，需要用户选择同意后方能进一步注册登录使用。而在《隐私政策》中，平台往往会称呼己方为“我们”，关于“我们”一词的解释，则通常都会在《隐私政策》文本的导言部分加以说明或者设置适用范围条款予以阐述（如图1所示）。

图1  APP隐私信息搜集界面
注：图片仅用于案例展示参考使用，不代表本团队对图片内容的解读或评价。

为此，本团队梳理了目前各大平台《隐私政策》文本中关于“我们”的原文表述，并整理归纳出以下表格：

(二) “我们”是谁？

从上表可知，目前各大平台关于我们的定义，主要分为两大类：

第一类限定“我们”为单一主体，《隐私政策》适用范围亦为单一产品/服务。 即平台运营服务商，《隐私政策》的适用范围亦限定于单一平台（如微信、微博平台）。

第二类中“我们”为多主体，《隐私政策》服务范围包含平台下所有产品和服务。主要分为以下三种：

（1） 将“我们”定义为平台主体企业及关联公司，而对关联公司的定义则略过或者模糊化定义。如美团虽然说明了关联公司的定义，却将美团定义为美团旗下所有公司及其附属、关联公司，甚至其中包括未来成立的公司，主体的不确定性显而易见。

（2） 没有对“我们”进行定义，直接使用“我们”二字。比如滴滴虽然明确了滴滴旗下的各个平台及其运营公司，却丝毫没有提到“我们”的定义，“我们”二字在《隐私政策》中的突然出现不免显得有些突兀。

（3） 引入集团概念，将“我们”扩展至多主体，《隐私政策》适用范围扩大至集团项下所有服务/产品，集团内所有产品和服务中的个人信息会在集团旗下公司及关联公司内部的个人信息处理者之间共享，同时明确单独设立《隐私政策》的产品/服务的效力适用规则。《隐私政策》的主体既包括平台运营服务商，亦包括其关联公司；《隐私政策》的适用范围则扩大为集团项下的所有产品和服务，但若存在单独设置《隐私政策》的产品，则优先适用单独的《隐私政策》（如百度、拼多多、淘宝、饿了么、爱奇艺、云账户平台等）。

对于《隐私政策》中明确“我们”为单一主体，且覆盖范围也为单一产品的，其在适用主体及适用范围上并不存在歧义。

然而，针对集团项下所有产品及服务而制定的通用型《隐私政策》，“我们”被拓展至多主体，《隐私政策》适用范围也被拓展至多产品，则在这种情形下，该约定是否存在合规风险？

上述安排是否符合《个信法》的规定？对此，我们以《个信法》及《GDPR》的规定为指引，对其合规性进行论证，厘清《隐私政策》下的“我们”的应有之义。

二、《个信法》及《GDPR》视阈下的“我们”

关于主体身份明确问题，作为《个信法》制定蓝本的《GDPR》（欧盟出台的《通用数据保护条例》）已在第十三条及第十四条中明确：数据控制者在收集数据时，应当向数据主体告知其身份与详细联系方式及代表（如适用）、处理数据的目的及依据、数据的接收者或接收者的类型（如有）等信息。

与《GDPR》一脉相承，《个信法》亦于第十七条中明确：个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名和联系方式。

对此，我们系统梳理了《个信法》中规定的“个人信息处理者”主体身份相关的规定，总结出以下违规风险点：

由上表我们可以分析得出以下结论：

（1）《隐私政策》中应明确清晰界定“我们”是谁。

平台作为个人信息处理者，必须在隐私协议中清晰明确告知用户，“我们”是谁，个人信息处理者的名称必须清楚准确。

当平台在将“我们”的范围拓宽至包括关联公司时，若其对“关联公司”的定义及范围模糊处理，使得用户对此无法直接界定的，则显然违背《个信法》中关于“最小必要原则”、“公开透明原则”、“知情同意”、“主体明确”的规定。

（2）关联主体共同处理/共享不可“随意”。

即使对“关联公司”的定义及范围予以清晰界定，且明确集团内通用的《隐私政策》与某一产品/服务单独设立的《隐私政策》之间的效力适用规则，但未履行个人信息共享或共同处理义务，亦存在违反《个信法》的法律风险。

以爱奇艺为例，其集团通用型《隐私政策》中仅列出集团内两家主要运营主体，并未予以穷尽列举。如果在用户使用集团项下产品/服务过程中，涉及两个以上的个人信息处理者共同处理个人信息，则应当明确双方的权利义务，否则一旦造成用户个人信息权益受到侵害，在向用户承担连带责任后无法就内部责任予以明确划分。

而如果涉及集团内个人信息处理者之间的个人信息共享，但平台只是在《隐私政策》的格式条款中予以简单宽泛说明，未履行接收方的告知义务并取得用户的单独同意，亦存在违反《个信法》规定的“个人信息共享”义务的法律风险。

而对于用户而言，其并不清楚在使用爱奇艺集团旗下的产品/服务时，具体的个人信息处理者究竟是集团项下哪个主体，这将导致其在发生个人信息权益受损时难以申诉维权，无疑进一步违反了《个信法》中关于“明确个人行使权力机制”的规定。

（3）“我们”不清、“罚则”无边。

一旦存在违法处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务，且情节严重的，平台将面临“双罚制”下的严厉处罚：

针对平台企业而言，除有关部门责令改正、没收违法所得外，将并处5000万元以下或上一年度营业额5%以下的罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销业务许可或者营业执照。

而针对个人信息处理者的直接责任人，则将被处10万元以上100万元以下罚款，且可能被禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

然而，在“我们”不清的情况下，上述处罚应当落于集团内哪个主体之上？营业额是否直接在集团内各主体所创收的营业额上予以全额加总？如果是这样，则将导致法律风险责任在集团多主体之间穿透，不利于隔离划分集团内各方的自身安全边界，无异于搬起石头砸自己的脚。

三、结论：《隐私政策》中的“我们”应该是谁？

虽然各大平台《隐私政策》中关于“我们”的定义存在各种差异，但是根据《个信法》规定，个人信息处理者的信息必须明确具体，对于“我们”的模糊化处理或将模棱两可的关联公司纳入到“我们”的范畴，均不符合《个信法》的规定。

而由此将带来两个连锁反应：

（1） 用户“投诉无门”。由于个人信息处理者的身份不明确，导致用户无法确定维权主体，从而导致平台进一步违反《个信法》。

（2） 平台集团内风险穿透。对于平台自身而言，其本想通过混淆或模糊处理“我们”而实现个人信息自由融通的目的，但因为该个人信息处理的主体不明晰，一旦出现诸如个人信息泄露等个人信息权益受损事件，却导致“罚则无边”，将在很大程度上导致法律风险责任在集团多主体之间穿透，面临最高5000万元以下或上一年度营业额5%以下的罚款，极不利于隔离划分集团内各方的自身安全边界。

对此，各大平台应当重新审视《隐私政策》，审慎用词，明确边界，并根据不同情况按照《个信法》的规定履行以下义务：

（1） 各大平台企业在更新《隐私政策》时，应当明确“我们”的定义，清晰明确告知用户“我们”的名称和联系方式；若涉及相应的第三方关联公司，也应当予以明确，不应该只给出关联公司一词而绕开定义，或者给出无法清晰界定的模糊定义；

（2） 对于两个以上个人信息处理者共同处理个人信息的，各大平台应当约定清楚各自的权利和义务，在内部有效隔离风险；

（3） 针对集团内个人信息处理者之间的个人信息共享，各大平台则应当根据《个信法》的规定，明确各方共享规则，并向用户履行告知义务，向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得用户的单独同意。

《个信法》的达摩克利斯之剑高悬头顶，明确《隐私政策》中 “我们”的定义只是平台合规的一小步，在个人信息及数据监管和立法不断趋严的当下，平台合规之路依旧漫长。