根据中国互联网络信息中心(CNNIC)发布的第52次《中国互联网络发展状况统计报告》显示,截至2023年6月,我国网民规模为10.79亿,较2022年12月增长1109万人,互联网普及率达76.4%。一方面,互联网和智能手机的普及使得大量APP(“application”的简写,一般指手机软件)涌现,互联网平台经济活动越来越普遍。实体经济中交易各方签订各类合同文件的方式已经无法与互联网平台经济方便快捷、开放共享的特征相适应,互联网平台方广泛在平台中采取用户协议、隐私政策、平台规则等文件。另一方面,APP各种违规违法现象层出不穷,其中,违法违规收集使用个人信息的问题尤为突出,国家网信办专项整治力度不断加大,数据合规问题越来越受到互联网企业的重视,相应地,制定一份合规、实用的用户协议及隐私政策也应当成为互联网企业的重要任务。因此,在用户协议及隐私政策的起草、审查乃至为互联网企业服务的整个过程中,律师越来越充当着重要角色,必须把握好合法合规的边界,用专业的法律技能结合互联网思维,为企业的发展保驾护航,从而促进互联网企业的规范运营与发展。
笔者结合近年来为新兴互联网企业服务过程中的实务经验,针对APP用户协议及隐私政策的法律审查总结了如下要点,以供广大年轻的互联网创业者作为参考或进行探讨。
一、何为用户协议、隐私政策
首先,自Web2.0时代发展以来,用户在互联网平台的参与度和交互度越来越高,用户协议和隐私政策已经成为各大互联网平台所必需的文件。但无论其内容如何复杂、表述如何专业、形式如何多样,简单来说,其本质上仍然是一份合同,是由平台制定,用户在使用平台相关服务和功能前通过线上方式同意、接受的合同。因此,我们基本可以将用户协议、隐私政策视为一份预先拟制的电子“格式合同”来加以审视。
实务中,用户协议和隐私政策通常在用户首次登录APP时,自动弹出并提示用户阅读,并且用户协议中涉及的个人信息保护条款/隐私政策通常通过内嵌的隐私政策条款而指向/跳转到平台单独制定的隐私政策,向用户告知收集使用个人信息的规则。因此,用户协议和隐私政策密不可分,但是二者的内容侧重有所不同,用户协议侧重于约定服务内容、交易步骤和平台各参与方以及各自的权利、义务;隐私政策则约定个人信息的收集、使用和公开等规则。两者相互结合,都是平台运营方、用户等主体明确其权利义务的具有约束力的约定。
二、用户协议及隐私政策审查思路
在了解了用户协议、隐私政策的基本概念之后,笔者认为,对APP用户协议及隐私政策的审查思路大致可以从如下方面出发:
1. 掌握用户协议和隐私政策合规的法律规定
互联网平台经济既涉及市场主体登记、特定行业许可、消费者权益保护等传统法律问题,也涉及移动支付、人工智能等新技术及网络化交互过程中产生的海量数据的管制等互联网环境下的特性法律问题。因此,互联网平台所涉的法律监管是极为丰富的,审核用户协议和隐私政策应当结合不同互联网平台的行业特征,熟悉和了解相关法律规定。具体到不同的行业下的互联网平台,笔者将需要了解和掌握的相关法律规定示例如下:
1)互联网电商平台:《电子商务法》《广告法》《产品质量法》《消费者权益保护法》等
2)互联网医疗平台:《互联网医院管理办法(试行)》《药品管理法》《药品广告审查办法》《医疗器械广告审查办法》等
3)互联网教育平台:《教育网站和网校暂行管理办法》《互联网文化管理暂行规定》《网络出版服务管理规定》《出版物市场管理规定》等
4)互联网金融平台:《非银行支付机构网络支付业务管理办法》《网络借贷信息中介机构业务活动管理暂行办法》《网络借贷信息中介机构业务活动信息披露指引》《商业银行互联网贷款管理暂行办法》等
除此之外,知识产权相关法律法规(《著作权法》《商标法》《专利法》等)、《个人信息保护法》、《数据安全法》《网络安全法》和《民法典》等相关法律也是绝大多数互联网平台都会涉及的重要法律规范,其中个人信息保护和网络安全问题可谓是用户协议和隐私政策审核的重中之重,熟悉和了解相关法律规定也应当作为此类文件审核的前置条件。例如,常用的个人信息保护和网络安全的法律规定包括《个人信息保护法》《网络安全法》》《电信条例》《儿童个人信息网络保护规定》《电信和互联网用户个人信息保护规定》《APP违法违规收集使用个人信息行为认定方法》《APP违法违规收集使用个人信息自评估指南》《常见类型移动互联网应用程序必要个人信息范围规定》《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》等。在研究和解决涉及个人信息保护法律问题时,这些法律法规和政策规定通常被视为可靠的上位指南。
2. 归集用户协议和隐私政策中常见违规风险点
以违规风险点,尤其是常见违规风险点为导向审查合同,才能更好达到风险控制的合同审核目的。了解用户协议和隐私政策中常见违规风险点既可以从法律规定中抽丝剥茧,也可以从相关部门的违规查处通告中直观获得,尤其是后者,对实务案例的研究能够帮助我们更加精准地把握用户协议和隐私政策的违规禁区,了解和掌握国家对于用户协议和隐私政策予以规范的政策导向。
笔者结合《个人信息保护法》等法规和工信部及各工信局关于侵害用户权益行为的APP通报或关于下架侵害用户权益的APP的通报,将用户协议和隐私政策审查过程中需要注意的常见违规风险点归集如下:
在APP中没有用户协议或者隐私政策,或者隐私政策没有收集使用个人信息的规则
在APP首次运行时未通过明显方式提醒用户阅读用户协议和隐私政策
APP收集的信息与其业务无关或者因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能,超范围收集个人信息
未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围
未提供有效更正、删除个人信息及注销用户账号功能或者提供的功能不符合响应时间要求
未建立并公布个人信息安全投诉、举报渠道或者提供的功能不符合响应时间要求
(注:上述案例均来自于关于侵害用户权益行为的APP通报或关于下架侵害用户权益的APP的通报内容)
信息共享中未告知用户共享的目的、共享单位、信息类型,未经同意向第三方提供个人信息,例如未经用户同意而向其不知情的第三方推送、共享用户的个人信息。
未将收集个人信息的业务功能逐项列举以及每个业务功能在说明其所收集的个人信息类型时,未逐项列举,使用“等、例如”等方式概括说明等。
3. 熟悉市场上类似功能APP及常见APP的用户协议、隐私政策
用户协议和隐私政策普遍存在于各个APP中,在审查用户协议和隐私政策前,可以了解类似功能的APP中用户协议、隐私政策的约定内容,同时对于初创型互联网企业,可以结合自身特点,事先对市面上一些常见的成熟APP(如京东、抖音等专业领域的头部企业)的用户协议和隐私政策进行学习、参考。此项工作的目的包括:
(1) 结合违规风险点分析该风险点下不同平台的规定方式;
(2) 观察不同平台的条款提示和协议同意方式;
(3) 观察不同平台用户协议和隐私政策的结构和共性规定;
(4) 识别自身企业的特点,总结出共性规定与个性特点的联系与差异。
基于此,再结合APP业务功能和行业特点完善和修改用户协议、隐私政策。
4. 把握形式审核和内容审核的双重要求
用户协议和隐私政策具有电子合同和格式合同特征,与实体经济中双方签字或者盖章的书面合同不同,其合同的效力必然受到电子签名的方式、格式条款的提示方式等形式要素的影响;同时用户协议和隐私政策必然涉及个人信息的收集使用等规则,以何种形式获得用户的授权同意也是必然要关注的。因此,相较于传统的合同审核,用户协议和隐私政策的审查中一定要高度关注其展现形式,注重形式审核和内容审核的并重,可以说,形式审核是APP用户协议和隐私政策审核的第一步。笔者也将在下文就形式审核和内容审核的要点作具体展开。
三、用户协议及隐私政策审核之要点
1. 用户协议及隐私政策之形式审核要点
用户协议及隐私政策形式审核的底层逻辑有二:一是用户同意的意思表示,二是格式条款的提示说明义务。
(1)用户是否同意签约?-用户同意意思表示的认定
用户协议及隐私政策的签订需要用户作出真实的意思表示,其通过互联网平台作出合同签订的行为仍受到法律的约束,这一点与实体经济中并无不同。以纸质为载体的书面合同的场合,签名或者盖章能够表明合同各方的身份以及接受合同法约束的意愿,与此不同,用户协议及隐私政策在互联网平台中,通过各种电子形式、数据电文形式作出要约、承诺或者签署。常见的方式有点击/勾选同意、在智能设备上手写签名、身份识别技术(如指纹信息、面部信息)等。
同时,用户协议及隐私政策(主要是隐私政策)中收集、使用用户个人信息必须取得用户的授权同意,授权同意的方式包括明示同意和默示同意,《APP违法违规收集使用个人信息行为认定办法》将默示同意认定为违规收集行为,因此,平台运营者收集、使用用户个人信息也应当取得用户的明确同意。法院认定收集、使用个人信息是否取得用户的明确同意时会将APP隐私政策的弹窗设计方式作为重要认定依据,如杭州互联网法院发布个人信息保护十大典型案例之八郭某某诉某网络有限公司个人信息保护纠纷案,案涉APP被打开时,会弹窗显示《隐私权政策》《用户协议》等,要求其选择“同意”或“拒绝”,若其选择“拒绝”,则不能继续使用该购物APP,法院认为案涉购物APP在《隐私权政策》中采取了首次运行时、用户注册时均提示用户是否同意隐私政策的事前概括同意机制,对用户基本知情同意权进行了保障。
因此,用户协议及隐私政策的审查应当从用户体验角度出发判断是否告知用户及获得同意等,对弹窗设计方式等形式要件进行风险提示。
(2)用户是否已经全面了解条款内容?-格式条款提示说明的方式
用户协议和隐私政策是平台方预先拟定的格式条款,《民法典》等法律法规对格式条款作了规定:不合理地免除或者减轻对方的责任、加重对方责任、限制对方的主要权利以及排除对方主要权利的格式条款无效;免除或者减轻其责任等与对方有重大利害关系的条款应履行提示和说明义务。因此,除了要避免平台方在条款中不合理地免除或者减轻自己的责任、加重用户责任、限制用户的主要权利以及排除用户主要权利,还要审查与用户有重大利害关系的条款是否尽到提示说明义务。以两则法院裁判为例:
可见,同样是对约定管辖条款采取加粗加黑的提醒方式,法院对是否能够引起消费者合理注意却有着不同的认定。因此,对于用户协议和隐私政策中免除或者减轻其责任等与对方有重大利害关系的条款,应当采取诸如加黑加粗、下划线、文字加大和独立弹窗、首页提醒等多重方式予以突出提示;审查此类条款时还要从用户体验角度出发,观察其呈现形式是否足以与一般条款作出区分,足以引起用户注意。从法律审查的角度而言,律师在审查此类提示时,甚至可以抱着“矫枉必须过正”的思维,力求明显、突出的效果和程度。
2. 用户协议及隐私政策之内容审核要点
(1)整体把握文件结构及基本内容
审核或者拟定一份用户协议及隐私政策,首先要了解用户协议及隐私政策的基本内容,把握一份完整的用户协议及隐私政策应当包含哪些内容,基于此,对于合同的完整性和全面性进行审核。经检索各大平台的用户协议和隐私政策,其主体结构并无太大差别,笔者将其包含的基本内容作如下归纳:
(2)重点关注互联网平台之个性条款
在整体把握合同的结构和基本内容的基础上,知识产权条款、第三方责任条款、虚拟财产的归属条款、个人信息处理的免责条款等条款均是互联网平台经济交易模式下不同于实体经济中的约定,在用户协议及隐私政策的审查中,应当结合平台自身的运营和服务模式对上述条款给予重点关注。例如:
① 由于用户使用APP必然需要在平台中操作甚至生产内容,用户协议及隐私政策中的知识产权条款会涉及用户发布内容涉及的知识产权的归属、知识产权许可使用等约定;
② 用户在平台方注册账号以及可能在平台中获取虚拟资产,账号获取的关注量及获得的平台虚拟资产能够以某种方式转化为现实的经济利益,因此用户协议通常会对账户及平台其他虚拟资产的归属加以约定;
③ APP运营中通常会允许第三方入驻以丰富服务类型,提高用户的使用体验,因此用户协议中通常会对第三方服务的相关情形及责任加以约定,但是因第三方服务与用户发生侵权或其他纠纷时,平台是否承担责任或承担多少责任仍需要结合平台自身的运营和服务模式,结合服务的实际提供者以及平台是否获利等因素判断。
(3)严守数据合规底线-对个人信息处理条款的合法合规性作重点审查
个人信息处理的合法合规性审查是用户协议及隐私政策审查重中之重,在重点关注互联网平台的特性条款的同时,要尤其进一步审查个人信息处理条款,以避免出现违法违规收集使用个人信息的问题。审查原则为个人信息处理应当遵循合法、正当、必要的原则,具有明确、合理的目的并与处理目的直接相关,采取对个人权益影响最小的方式,限于实现处理目的的最小范围。
审查个人信息处理条款是否违背上述原则时并不是一概而论的,必须结合APP业务功能及商业模式进行更为深入判断,从App具体业务功能种类、产品服务方式等分析收集个人信息的APP业务功能是否逐项列举且明示各项业务功能所收集的个人信息类型,业务功能中涉及的共享第三方是否逐项列举且明示共享的信息类型和共享目的,具体信息类型未取得同意的后果是否符合该项个人信息类型的使用目的(如仅为业务功能开展所需的个人信息未获得用户同意的,其后果应当是无法使用该业务功能而非无法使用APP)等。换言之,即便是仅做法律审核,也必须对客户的产品和服务、商业模式、业务功能有深刻的理解,否则就可能埋下隐患、滋生风险。
最后,互联网平台经济发展迅速,其合法合规运营还涉及诸多法律问题,本文分享了笔者在用户协议及隐私政策审查中的部分心得,更多实务经验待后续分享交流。
(特别感谢合伙人王德生律师对此文的指导。)
