第一节　避坑点之产品端在线协议

业务一直是企业的核心竞争力，法务部门更多的是为产品的发展保驾护航，二者本应该是相互依存、相互扶助的关系，但实践中往往会出现“业务先行”的情况。以数据合规业务为例，在行业内尚未正式重视这个方向之前，许多公司的产品都是在没有个人信息保护政策或者将别处的个人信息保护政策东拼西凑变成自己的，然后上线的。这种情况在以前或许可以蒙混过关，但在相关立法趋于完善、执法趋于严格的今天，这无疑是企业合规的“雷区”之一，而且是最危险的“雷区”。

这并不是危言耸听，自2019年起，中华人民共和国工业和信息化部（以下简称工信部）、国家互联网信息办公室（简称网信办）等执法机关多次对上架的App产品进行筛查检测，对于不符合合规要求的，采取“通报、下架”等处罚措施，更严重的还可能会采取约谈公司负责人、罚款等处罚措施。这无疑会给公司带来非常恶劣的负面影响，特别是收集、处理用户敏感信息的公司（如金融、医疗、保险等行业）。用户可能会对公司保护其个人信息的能力和意愿产生怀疑，选择不使用该公司的产品而选用其他同类产品。

公司不会希望有客源流失、风评降低的情况出现，那么制定全面的、符合公司产品实际情况的在线协议就显得尤为重要。在线协议是外界对公司合规情况最直观的了解渠道，也是用户、第三方公司、监管机关最关注的内容，如果在线协议的描述存在纰漏，那么即使内部合规保护做得再好，也是不被外界认可，因为在线协议在一定程度上代表公司的合规脸面。

说了这么多，在线协议具体包括哪些呢？

首先，用户协议毋庸置疑是企业与用户之间最重要的协议，承担着明确双方权利义务及责任的重要使命，能够有效帮助企业应对纠纷、履行举证义务。用户协议涉及的维度较广，可能涉及广告法、知识产权法、民法等诸多法律领域，制定一份完备的用户协议，可能需要各方向的法务人员协同配合。

其次，便是与数据合规领域密切相关的隐私政策（或称为“个人信息保护政策”）。该政策旨在向用户阐释公司如何收集、使用、存储及保护用户个人信息，用户如何行权，企业的相应方式等内容。该协议本质上属于用户协议的一部分，但根据法律法规要求，应独立于用户协议单独成文。个人信息保护政策中还会涉及部分单行文本，如产品内嵌入第三方插件收集、使用个人信息的情况，App内调用设备权限的情况，产品内使用Cookie等追踪技术的情况等。此外，如涉及处理儿童（低于14周岁）用户个人信息的，还应当单独制定“儿童个人信息保护声明”。

最后，产品本身的隐私保护设计虽然不属于在线协议的范畴，但因其对在线协议的“展示—签署—落实”等方面起到的重要串联作用，在此处一并提及，并特别提示负责产品设计开发的同事，在产品开发阶段就应当做好将隐私保护融入产品设计中的计划，避免在后续迭代更新时，因原产品展示形态与法律要求脱节而被迫进行大幅度整改更新，影响用户体验，也不利于企业自身的合规举证。

在上述在线协议中，个人信息保护政策是与数据合规领域密切相关且优先级最高的，我们在起草个人信息保护政策时，应当特别注意如下要点，避免“踩雷”。

1）明确个人信息保护政策适用的产品类型。公司应当根据各业务线产品的实际情况选择个人信息保护政策的制定体系。例如，公司可以选择制定集团性的总个人信息保护政策+各产品的“总—分”式个人信息保护政策；亦可选择每个产品单独制定一份的“单对单”式个人信息保护政策。“总—分”式个人信息保护政策多适用于集团性企业、适用统一账号体系的企业及各产品间有较大共通之处的公司，当相同部分发生变化时，调整“总”政策，当单线部分发生变化时，调整“分”政策，有效避免“牵一发而动全身”的困境出现；而“单对单”式个人信息保护政策多适用于产品类型单一或产品类型彼此独立的情况，以便在产品更新时及时进行有针对性的调整。

2）明确产品适用对象的年龄。如涉及14周岁以下未成年人的，还应当单独制定儿童个人信息保护指引。涉及14～18周岁未成年人的，应以专章的形式对公司如何保护未成年的个人信息进行说明。

3）充分梳理产品中涉及个人信息处理的功能类型、每类功能对应处理个人信息的字段及目的、与第三方之间信息传输的情况（包括嵌入第三方插件的类型、第三方合作伙伴的身份、处理个人信息的类型及目的等内容）及App调用设备权限的情况等内容。这里往往是“爆雷”最频繁的地区，很多公司不愿意花费时间和精力进行全面且细致的梳理，往往应付了事。但依据“应付”出来的梳理材料写出的“以为真实”的个人信息保护政策，是无法“应付”监管机构的，后续被通报处罚，公司还要重新再梳理一遍进行整改，得不偿失。

4）明确公司的个人信息保护水平，应当符合业内的一般性标准，建议技术部门参考《信息安全技术　个人信息安全规范》（GB/T 35273—2020）附录D的模板内容，结合公司现有的实际情况进行补充。公司若已取得“网络安全等级保护认证”“ISO体系认证”等国内国际认可的安全认证证书的，应在个人信息保护政策中写明，尚未取得的，则建议尽早落实《网络安全法》要求的网络安全等级保护义务，并视实际需求准备其他安全认证证书（如ISO 27701）。

5）明确公司对个人信息的存储地域、时限要求以及是否涉及个人信息出境。涉及出境的，应在个人信息保护政策中详细列举出境的个人信息字段、对应目的、接收方身份、用户向境外接收方行使权利的方式和程序等内容（画外音：在以后的工作中，小白会帮助公司建立完善的个人信息出境安全体系）。这里还需要重点注意存储时限的要求，永久存储个人信息既会违反法律法规要求，也会加重公司的合规义务。

6）在个人信息保护政策中，应为个人信息主体提供“访问、更正、删除其个人信息，撤回授权，注销账号”等行权以及联系公司的途径，如符合国家网信部分规定条件的，还应当为个人信息主体提供获取其个人信息副本的行权途径。需要特别提示客服部门注意，如果接到用户关于个人信息方面的咨询或投诉，一定按照既定的话术回答，有解决不了的问题请转给法务部门处理，不要按自己的理解随意答复，你的答复在外界看来就是代表公司的答复。此外，还应切记避免消极响应，对于用户提出的请求，应在15个工作日内完成核查与处理。

7）明确更新机制，应当在个人信息保护政策中写明重大更新的场景及对应的通知方式等内容，与一般性的更新进行区分。