《网数条例》下隐私政策的撰写要求——国标GB/T 44588-2024之问答式解读

2024-12-18

2024年9月29日，国家市场监督管理总局和国家标准化管理委员会发布了推荐性国家标准GB/T 44588-2024 《数据安全技术 互联网平台及产品服务个人信息处理规则》（以下简称“《隐私政策国标》”），自2025年4月1日起实施。

《隐私政策国标》鲜明地体现了《网络数据安全管理条例》（以下简称“《网数条例》”）的要求，我们建议相关企业深入研究学习该国标，并及时对照该国标，对自己的个人信息处理规则（以下简称“隐私政策”）进行全面修改。

为了便于相关企业快速了解《隐私政策国标》的突出亮点，把握该国标为提供互联网平台及产品服务的个人信息处理者提出的新要求，我们结合团队丰富的实务经验，通过问答的方式，对该国标的重点内容进行了解读。

第一部分 一般性问题

（一）问：为什么企业要关注《隐私政策国标》？

答： 一方面，随着《网数条例》的重磅出台，业内急需大量更为精细的配套文件，以规范个人信息处理工作，《隐私政策国标》的发布精准填补了这一空白，成为该条例出台后率先问世的、聚焦个人信息保护的国家标准。《网数条例》提出了“个人信息处理规则应当集中公开展示、易于访问并置于醒目位置”，《隐私政策国标》在此基础上进一步深化，将抽象的要求拆解细化，为其实践提供了明确指引。无论是通过双清单保障用户知情权，还是为用户畅通账号注销通道以保障其“数字退出权”，亦或是规范自动化决策流程以防范算法滥用，《隐私政策国标》均作出了详细的回应。《隐私政策国标》紧密贴合《网数条例》核心亮点，稳稳担当起重要配套国标的重任，为互联网企业合规运营筑牢根基。

另一方面，《隐私政策国标》并非闭门造车，起草团队深入研究国内外前沿经验成果，创新性地提出一套涵盖互联网平台及产品服务隐私政策全流程的准则框架。该国标涵盖了基本要求，明确隐私政策底线基准；梳理了编制程序，为企业实操提供清晰指引；敲定了规则内容，确保条款严谨合规；规范了发布形式，确保信息传达清晰易懂；同时还完善了争议解决机制，为后续纠纷处置备好预案。该国标内容详实全面，表述深入浅出，摒弃了晦涩术语，即便是初涉个人信息保护领域、专业储备有限的从业者，也能依据该国标迅速入门，掌握编制隐私政策的关键要点，从而大幅降低企业试错成本与合规风险，助力行业良性发展。

（二）问：哪些企业需要重点关注《隐私政策国标》？

答：根据《隐私政策国标》术语和定义条款，“互联网平台及产品服务”是指通过互联网直接向个人信息主体提供所需业务功能的平台、产品或服务。深入分析当下多元业态，无论是传统的企业官方网站，还是深度嵌入大众生活点滴的移动互联网应用程序，亦或是悄然走进千家万户的智能网联家电，乃至重塑出行模式的智能网联汽车，只要具有联网特性并面向个人用户，就符合《隐私政策国标》所规范的范围。对此，相关企业应当高度重视，以《隐私政策国标》为核心指导，确保个人信息保护工作的合规性与规范性。

（三）问：企业不遵守《隐私政策国标》要求的后果是什么？

答：第一，《隐私政策国标》仅为推荐性国家标准而非强制性国家标准。这意味着在法律框架层面，企业倘若未能契合该国标要求，并不会即刻面临严厉的法律追责。

其二，如上所述，《隐私政策国标》与《网数条例》密切相关，作为其关键配套国标，二者相辅相成。当监管部门对《网数条例》中较为原则性和概括性的规定进行解读或阐释时，《隐私政策国标》极有可能成为重要的参考依据。企业若能前瞻性地主动落实该国标要求，相当于在个人信息保护的复杂合规实践中提前布局，有效规避潜在的违规风险，从而显著降低法律合规成本。

其三，从更深层次分析，落实《隐私政策国标》对于企业有着诸多隐性好处。保障个人信息主体权利，是企业履行社会责任的重要表现。当个人信息主体切实感受到自身隐私被妥善保护时，投诉、举报和诉讼等对立性问题的发生率将大幅下降。企业无需将大量资源投入到复杂的争议解决中，而能够专注于核心业务的拓展，确保经营活动的有序推进。

（四）问：除了《隐私政策国标》，在编制隐私政策时还有哪些国标可供参考？

答：除了《隐私政策国标》，在编制隐私政策时还可以参考以下国标：

●GB/T 35273-2020《信息安全技术 个人信息安全规范》；

●GB/T 41391-2022《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》；

●GB/T 42574-2023《信息安全技术 个人信息处理中告知和同意的实施指南》。

第二部分 程序性问题

（五）问：法务合规人员在起草隐私政策时需要产品研发人员提供哪些信息？

答：《隐私政策国标》指出，应针对不同的业务功能，描述个人信息处理情况(如建立分别的个人信息处理情况描述表)。描述表内容包括：处理的个人信息种类、目的或必要性、方式（如用户填写、系统权限调用、第三方获取等）、保存方式（如本地保存、后台保存、使用云服务等）、保存期限、流转需求、所涉及系统和部门（或人员)、适配的安全措施等情况。

在实践中，很多企业已经将隐私政策起草工作模板化、自动化，产品研发人员填写描述表后，系统将自动生成对应的隐私政策，法务合规人员只需对隐私政策进行审核即可。

（六）问：隐私政策应放置于App的什么位置？ 

答：设置首页。《隐私政策国标》要求，应在App的设置首页提供隐私政策的一键访问功能。我们理解，这一要求并非取代了监管部门前期提出的“进入App主界面后不多于4次点击等操作”的要求，而是与之并存：如果隐私政策放置于App的设置首页，但是进入App主界面后需多于4次点击等操作才能到达此位置，也是违规的。

我们注意到，大量App将其隐私政策放置于“隐私管理”“关于我们”等设置的二级页面中，我们建议这些App的运营者及时对此进行调整。

▲合规示例一

（七）问：是否一定要开发隐私政策下载功能？

答：不一定。《隐私政策国标》要求，个人信息处理规则应提供机器可读的格式或链接（如可拷贝或下载的文本），以便于个人信息主体获取。

我们注意到，部分App的隐私政策既不能拷贝也不能下载，甚至也没有提供访问链接，给用户行使权利造成了极大的阻碍，我们建议这些App的运营者及时对此进行调整。

▲合规示例二

（八）隐私政策更新后，是否一定要通过弹窗方式通知用户？

答：不一定。《隐私政策国标》指出，通常情况下，通知个人信息主体的方式包括但不限于：

●在个人信息主体登录信息系统时或在更新信息系统版本后个人信息主体登录使用信息系统时弹出窗口；

●个人信息主体使用信息系统时直接向个人信息主体推送通知；

●向个人信息主体发送邮件、短信等。

在实践中，有些App的运营者并未保存向特定用户弹出隐私政策更新窗口的记录，导致在产生纠纷时无法证明自身已履行通知义务。因此，我们建议这些运营者保存相关记录，并考虑同时采取以上多种通知方式（例如弹窗+推送+站内信）以避免用户错过通知。

需要补充说明的是，并非只要隐私政策发生更新就一定要通知用户。GB/T 42574-2023《信息安全技术 个人信息处理中告知和同意的实施指南》指出，个人信息保护政策发生变化，但不涉及处理活动等发生变更的，可不进行再次告知，以免对个人带来打扰。

▲合规示例三

（九）问：隐私政策更新后，能否仅在通知中提供更新后的隐私政策链接？

答：不能。《隐私政策国标》指出，通知个人信息主体时应以显著方式向其主动展示更新的内容、更新的理由。

我们注意到，大量App在隐私政策更新后，仅在通知中提供更新后的隐私政策链接，面对动辄上万字的隐私政策，个人信息主体无法快速了解隐私政策有何更新。有的隐私政策既不能被拷贝也不能被下载，导致个人信息主体甚至无法自行对比新旧版本的隐私政策，基本架空了个人信息主体的知情权和决定权。我们建议这些App的运营者及时对此进行调整。

▲合规示例四

（十）问：应向个人信息主体提供多久前的隐私政策历史版本？

答：《隐私政策国标》要求，个人信息处理者应在个人信息处理规则中提供链接，以使个人信息主体能够查阅过去24个月内曾正式发布的个人信息处理规则的历史版本。

▲合规示例五

第三部分 内容性问题

（十一）问：隐私政策应至少包括哪些内容？

答：《隐私政策国标》指出，隐私政策的内容应至少包括：

●个人信息处理者和个人信息处理规则适用范围；

●摘要；

●个人信息的处理规则，具体包括个人信息的收集使用规则、安全保护规则和跨境流动规则（如涉及）；

●个人信息主体的权利保障规则；

●个人信息处理规则的更新规则；

●个人信息处理规则的反馈、投诉和争议解决规则。

（十二）问：隐私政策摘要应至少包括哪些内容？

答：《隐私政策国标》指出，隐私政策摘要的内容应至少包括：

●所提供的业务功能和所收集的个人信息的种类。如所收集的个人信息种类较多，可在摘要中通过个人点击链接的形式跳转至个人信息处理规则特定章节；

●个人选择或关闭特定业务功能的权利和操作方式；

●个人选择或拒绝提供非必要个人信息的权利和操作方式。

需要补充说明的是，《告知同意国标》指出，如仅以链接等方式展示个人信息保护政策等处理规则时，可通过增强告知方式主动向个人告知其中的关键规则，包括个人信息保护政策的章节结构（点击后可直接访问对应内容），基本业务功能所必需的个人信息种类，收集方式、目的等，以及处理个人询问、投诉的联系方式。我们建议，相关企业也可以将这些内容也纳入隐私政策摘要。

（十三）问：“个人信息收集清单”应至少包括哪些内容？

答：《隐私政策国标》指出，收集使用个人信息规则应包括：

●分别列出各业务功能所收集的必要个人信息种类和非必要个人信息种类、目的或必要性、方式（如用户填写、系统权限调用、第三方获取等），并以“个人信息收集清单”的形式统一集中展示；

●在“个人信息收集清单”中列明个人信息被处理的方式，以及拒绝对个人信息的处理可能对产品或服务使用的影响。

我们认为，《网数条例》中的“个人信息收集清单”与《工业和信息化部关于开展信息通信服务感知提升行动的通知》中要求相关企业建立的“已收集个人信息清单”并非同一概念，两者之间并不存在相互替代的关系。具体而言，“个人信息收集清单”是指企业根据条例要求，在收集个人信息前向用户告知相关情况的清单，属于静态管理工具；而“已收集个人信息清单”则是在实际业务中，动态记录企业已完成收集的个人信息及其具体情况，旨在反映实际收集状况和更新数据管理现状。

尽管两者存在差异，但并非完全孤立。为提高管理效率和保持信息一致性，企业完全可以基于相同的框架设计和管理这两类清单，在收集活动完成后，通过动态更新机制将实际收集的信息同步纳入“已收集个人信息清单”。这种框架设计不仅能满足法规的差异化要求，还能进一步增强个人信息管理的全面性和时效性。

（十四）问：“个人信息对外提供清单”应至少包括哪些内容？

答：《隐私政策国标》指出，“个人信息对外提供清单”应包括：

●对外提供的个人信息种类和原因；

●个人信息的接收方身份（作者注：包括名称或者姓名、联系方式）；

●接收方使用个人信息的目的；

●个人信息对外提供过程中的安全措施；

●对外提供个人信息是否对个人信息主体带来风险。

需要讨论的是，《个人信息保护法》第23条和《网数条例》第21条均要求在此场景下向个人信息主体告知提供个人信息的方式。我们认为，《隐私政策国标》中的“个人信息对外提供过程中的安全措施”并不能覆盖此要求，因此，我们建议，相关企业在“个人信息对外提供清单”说明采取何种方式对外提供个人信息。

（十五）问：在隐私政策中披露个人信息存储地域应精确到何种颗粒度？

答：《隐私政策国标》指出，对于境内存储地域，通常为省级行政区域；对于境外存储地域，通常为国家或地区，且需要单独列出或重点标识。

关于前者，我们理解，将境内存储地域精确到省级行政区域，将有助于监管部门开展监督管理工作：根据《网信部门行政执法程序规定》，违法行为人相关服务许可地或者备案地，主营业地、登记地，网站建立者、管理者、使用者所在地，网络接入地，服务器所在地，计算机等终端设备所在地等违法行为发生地的网信部门对违法行为均有管辖权。

关于后者，司法实践已经对未单独列出或重点标识境外存储地域的操作给予了负面评价：在（2022）粤0192民初6486号案中，广州互联网法院认为，某高公司对左某的个人信息的处理目的、处理方式等，呈现在近两万字的《客户个人数据保护章程》中，人员范围和地域范围均指示不清，即使左某阅读该章程也不能清晰获知自己的个人信息将被传输到何地做何种处理，此亦是本案争议焦点。该章程的上述内容，不符合《个人信息保护法》第七条和第十七条的相关规定，未能体现公开透明原则，未能使用户或者消费者通过清晰易懂的语言真实、准确、完整地获取告知内容。

（十六）问：关于自动化决策，《隐私政策国标》有何创新性内容？

答：《隐私政策国标》要求，隐私政策应说明个人信息主体在自动化决策方面的可选项，如可以选择的广告偏好、是否同意进行个性化推荐、是否允许进行跨平台的广告推荐等。

值得注意的是，“是否允许进行跨平台的广告推荐”的表述是首次出现在个人信息保护领域的国家标准中。在实际中，平台可以通过提供了禁止进行跨平台的广告推荐的按钮，来解决用户对自己“被窃听”的担忧，不过该做法对于广告和电商类企业的业务冲击也巨大。鉴于现在无论是在如《互联网信息服务算法推荐管理规定》的立法层面，还是如“清朗·网络平台算法典型问题治理”的执法层面，尚无类似的要求，我们建议企业持续关注该领域的监管动态。

本文作者：

声明：

本文由德恒律师事务所律师原创，仅代表作者本人观点，不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容，请注明出处。