《个人信息保护法》实施1.5年，再看平台隐私政策中 “我们”是谁？

2023-04-19

引言

因《隐私政策》不合规， 45家科技公司被责令停产停业！

我们以“隐私政策、个人信息、责令停产停业”^[1]在威科先行数据库中进行检索，发现有45家公司，因为App首次运行未经用户阅读同意《隐私政策》即收集个人信息、未在《隐私政策》等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围等原因，被公安机关处以警告、责令停产停业等处罚。

《个人信息保护法》（下称“《个信法》”）于2021年11月1日正式生效，距今已将近一年半的时间了。在这期间，相关政府主管部门及互联网用户愈加重视对个人信息的保护，工信部每月发布《关于侵害用户权益行为的APP通报》，对于个人信息权益的监管已进入“常态化”阶段；检察机关持续加大个人信息保护领域公益诉讼办案力度，个人信息保护检察公益诉讼典型案例频发；用户的个人信息保护意识也极大提升，个人信息侵权纠纷案件层出不穷。

那么，工信部通报谁？检察机关公诉谁？用户控告谁？

答案很简单，也很复杂。

简单的是，谁是个人信息处理者，就通报、公诉、控告谁；复杂的是，当细细阅读各大平台《隐私政策》时，却发现不少平台在《隐私政策》适用主体（即个人信息处理者）上做起了文章：通过使用“我们”一词，笼统地将平台运营主体及其相关关联公司一并纳入进来。

各平台企业的隐私政策中的“我们”究竟是谁？谁来负最终责任？

对此，我们梳理了十大头部平台的隐私政策中关于“我们”的表述，根据《个信法》及《通用数据保护条例》（下称“GDPR”）的规定，对前述表述的合规性进行论证，深入探究《隐私政策》下的“我们”的应有之义。

一、十大平台隐私政策中关于“我们”的表述

（一）十大平台隐私政策梳理总结

（二）“我们”是谁？

从上表可知，目前各大平台关于“我们”的定义，主要分为三大类：

第一类：限定“我们”为单一主体。

即《隐私政策》中，明确的个人信息处理者是平台运营服务商，如微信、微博、百度、拼多多平台。

第二类：明确“我们”适用多主体。

如淘宝和饿了么平台，均于《隐私政策》中明示其个人信息处理是2个确定的公司。因此这2个公司均为用户的个人信息处理者。

第三类：未直接明确“我们”的范围，予以模糊处理。

主要分为两种，一种是将“我们”定义为平台主体企业及关联公司（即扩展至集团公司），而对关联公司的定义则略过或者模糊化定义，如京东，虽然将关联公司纳入了“我们”的范畴，却没有说明关联公司的范围。而美团虽然说明了关联公司的定义，却将美团定义为美团旗下所有公司及其附属、关联公司，而其中包括未来成立的公司，主体的不确定性显而易见。

另一种，则是没有对我们进行定义，直接使用“我们”二字，比如滴滴虽然明确了滴滴旗下的各个平台及其运营公司，却丝毫没有提到“我们”的定义，“我们”二字在隐私政策中的突然出现不免显得有些突兀。

二、《个信法》及“GDPR”视域下的“我们”

对于《隐私政策》中明确“我们”为单一主体以及明确的多主体的，其在适用主体上并不存在歧义，但适用明确的多主体情况下，各个主体均需履行个人信息处理者主体责任，承担相应义务。

那么，针对第三类情况，将《隐私政策》中“我们”范围扩大至关联公司的，个人信息处理者究竟是谁？用户应当向谁主张权益？该约定是否符合《个信法》的规定？

对此，我们查阅了《个信法》中关于明确“个人信息处理者”的相关规定，发现其在第十七条规定：个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名和联系方式。

换言之，平台作为个人信息处理者，必须在隐私协议中清晰明确告知用户，“我们”是谁，个人信息处理者的名称必须清楚准确。

无独有偶，作为《个信法》的制定蓝本，“GDPR”第十三条及第十四条中亦明确，数据控制者在收集数据时，应当向数据主体告知其身份与详细联系方式及代表（如适用）、处理数据的目的及依据、数据的接收者或接收者的类型（如有）等信息。

由此可见，当平台在将“我们”的范围拓宽至包括关联公司时，若其对“关联公司”的定义及范围模糊处理，使得用户对此无法直接界定的，则显然违背《个信法》及“GDPR”的约定。

除此之外，对于隐私政策中“我们”的宽泛定义，也会导致个人信息共享时的边界模糊问题。

根据《个信法》第二十三条规定：个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。

因此，对于集团内的信息共享，若平台未履行接收方的告知义务并取得用户的单独同意，亦存在违反《个信法》的法律风险。

三、结论：隐私政策中的“我们”应该是谁？

《个信法》虽已实施近一年半了，经我们对十大互联网平台《隐私政策》的研读，仍有40%平台《隐私政策》并不符合《个信法》要求。

根据《个信法》的规定，个人信息处理者的信息必须明确具体，对于“我们”的模糊化处理、未明确指出个人信息处理者，或者将模棱两可的关联公司纳入到“我们”的范畴，均不符合《个信法》。

从个人信息保护的维度来看，各大平台企业在更新隐私政策时，应当明确“我们”的定义，清晰明确告知用户“我们”的名称和联系方式；若涉及相应的第三方关联公司，也应该明确指出共同处理个人信息的关联公司名称，不应该只给出关联公司一词而绕开定义，或者给出无法清晰界定的模糊定义。

针对集团的个人信息共享，各大平台则应当根据《个信法》的规定，明确各方共享规则，并向用户履行告知义务、取得用户的单独同意。

《个信法》的达摩克利斯之剑高悬头顶，明确《隐私政策》中“我们”的定义只是平台合规的一小步，在个人信息及数据监管和立法不断趋严的当下，平台合规之路依旧漫漫。

文中备注：

[1]检索周期为2021年11月1日至2023年4月11日

[2]微信APP端，2023年4月4日第一次访问。

[3]微博APP端，2023年4月4日第一次访问。

[4]百度APP端，2023年4月4日第一次访问。

[5]拼多多APP端，2023年4月4日第一次访问。

[6]我们依据《拼多多隐私政策》表述理解，拼多多是一个综合服务平台，聚合了多多买菜、拼多多平台等应用，如在使用拼多多平台，那么隐私政策中所指的个人信息处理者就是上海寻梦信息技术有限公司的单称，如果使用多多买菜，那么隐私政策中所指个人信息处理者是上海禹璨信息技术有限公司单称。

[7]淘宝APP端，2023年4月4日第一次访问。

[8]饿了么APP端，2023年4月4日第一次访问。

[9]京东APP端，2023年4月4日第一次访问。

[10]美团APP端，2023年4月4日第一次访问。

[11]爱奇艺APP端， 2023年4月4日第一次访问。

[12]滴滴出行APP端，2023年4月4日第一次访问。

本文作者：

声明：            

本文由德恒律师事务所律师原创，仅代表作者本人观点，不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容，请注明出处。