一、何时、如何更新、修订隐私政策文件？

企业作为个人信息处理者，更新、修订隐私政策文件主要缘于三类情形：

1. 适用的法律法规要求更新或改变；
2. 监管细节有所变化；
3. 企业自身的基本信息、收集使用个人信息的目的、方式、范围等，发生变化[1]。

企业需要跟踪了解上述动态，对照已公示的隐私政策文件，及时予以必要的更新、修订，以避免迟滞性合规风险。同时，企业需要注意，所需更新、修订的内容是否对个人信息主体权益产生重大影响将决定企业不同的更新、修订程序与义务。

（一）更新、修订的基本要求

《隐私协议标准草案》要求在隐私政策文件中明示予以更新的通知方式[2]，基于对个人信息主体权益影响程度的差异分成三类更新情况，并分别制定了不同的程序要求。

1. 如未涉及重大影响用户权益的情况，应及时更新隐私政策文件，并通知个人信息主体；
2. 如涉及重大影响，需要在隐私政策文件中具体列明更新情况、更新程序；修订相关内容之前，应向社会公开征求意见并公布意见采纳及未采纳的情况；如为大型互联网平台运营者[3]，则还应征求独立机构的意见和建议；
3. 日活用户超过一亿的大型互联网平台运营者制定平台规则、隐私政策文件或进行对用户权益有重大影响的修订，须经国家网信部门认定的第三方机构评估，并报省级及以上网信部门和电信主管部门征得其同意。

（二）对个人信息主体权益产生重大影响的情形

《隐私协议标准草案》中“涉及对用户权益重大影响的内容”并未明确具体含义，而相似概念见于《个人信息保护法》第五十五条“个人信息保护影响评估”适用情形中的兜底条款，即“其他对个人权益有重大影响的个人信息处理活动”。因而，我们理解，“涉及对用户权益重大影响的内容”可以参考《个人信息保护法》及《信息安全技术 个人信息安全规范》（GB/T 35273-2020）中规定的需进行“个人信息保护影响评估”的情形，包括：（一）处理敏感个人信息；（二）汇聚融合基于不同业务目的所收集个人信息；（三）利用个人信息进行自动化决策；（四）委托处理个人信息；（五）向其他个人信息处理者提供个人信息（共享、转让）；（六）公开披露个人信息；（七）向境外提供个人信息；（八）其他对个人权益有重大影响的个人信息处理活动。

《隐私协议标准草案》中对上述“涉及对用户权益重大影响的隐私协议内容修订”相关要求则源于《个人信息保护法》第五十八条第（一）、（二）项与第六十一条第（一）项[4]，以及《网络数据安全管理条例（征求意见稿）》第四十三条[5]的相关规定。鉴于《网络数据安全管理条例（征求意见稿）》尚未生效，推荐性国家标准亦无法径行创设新的行政许可或审批事项，因此根据现行有效的法律法规，主管部门似乎并无对“日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订”之行为进行行政许可或审批的权力。但是，大型互联网平台运营企业需要密切关注后续监管趋势。

（三）企业更新、修订隐私政策文件需履行的相关义务梳理

如收集使用个人信息的目的、方式、范围发生变化，但未按前述义务告知个人信息主体，或者未以“更新隐私政策文件并提醒用户阅读”等适当方式通知个人信息主体，则可能会被认定为违法违规收集使用个人信息。

二、隐私政策可视化需要注意哪些合规问题？

企业发布隐私政策文件（包括初次发布以及更新、修订发布）时应注意可视化的基本合规要求。

• 从发布内容上，隐私政策文件的内容应明确、具体、全面且通俗易懂，以便于常人理解的表述对个人信息处理情况予以说明。其主要内容及合规要点，请参考我们此前发布的《隐私协议标准草案：要点解读与合规路径（中篇）—— 隐私政策文件如何合规编制》。

• 在发布形式上，除了应当公开发布外，为便于个人信息主体查阅、保存隐私政策文件，企业有必要将该等政策长期置于个人信息主体可便捷访问的页面，例如，在用户注册页面、登录页面、移动互联网应用程序启动页、社交媒体首页等显著位置设置链接并且个人信息主体为查阅文件所做的点击操作不应超过4次，尽可能直接链接至相关隐私政策内容页。此外，通过交互式选择界面体现隐私政策摘要内容，有助于提升可视化程度并保障个人信息主体自主选择的权利。

• 对于更新、修订发布，除需满足前文所述义务外，还需注意：告知需要逐一送达个人信息主体所提供的联系地址、联系方式等，如送达成本过高或确有显著困难，则可以采取公告的形式送达。

根据《信息安全技术 个人信息安全规范》（GB/T 35273-2020）的建议，企业在个人信息主体首次打开其产品或服务、注册账户等情形时，宜通过弹窗等形式主动向其展示隐私政策文件的主要或核心内容，帮助个人信息主体理解该产品或服务的个人信息处理范围和规则，以便其决定是否继续使用该产品或服务。需要注意的是，在发生隐私政策文件内容变更需要告知个人信息主体的情况下，我们建议此时的告知应至少采用与初次告知同等显著或更为显著的弹窗等形式予以展示。

结合目前监管要求，可视化交互界面设计存在下述雷区，企业如有类似情况，务必重新设计合规的交互界面和相关功能，以免触发违规风险。

编制和更新、修订隐私政策文件的过程是遵守数据监管逻辑的持续合规过程，涉及对于企业自身业务、技术、数据、管理及合规政策的系统梳理、建构与融合。随着个人信息保护相关法律法规及配套标准的不断更新以及网信办、工信部等主导的App违法违规收集使用个人信息专项治理工作的不断推进，企业需持续关注数据监管的最新要求与趋势，及时调整、更新和完善隐私政策文件，并确保隐私政策文件符合合规要求。

注释：

[1] 参见《信息安全技术 个人信息安全规范》（GB/T 35273-2020）第5.5条a)和f）。

[2] 通常情况下采取的通知方式如：个人信息主体登录信息系统时、更新信息系统版本并在个人信息主体使用时弹出窗口、个人信息主体使用信息系统时直接向个人信息主体推送通知、向个人信息主体发送邮件、短信等。

[3] 大型互联网平台运营者是指用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者。

[4] 《个人信息保护法》

第五十八条 提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当履行下列义务：（一）按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；（二）遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务；

第六十一条 履行个人信息保护职责的部门履行下列个人信息保护职责：（一）开展个人信息保护宣传教育，指导、监督个人信息处理者开展个人信息保护工作。

[5] 《网络数据安全管理条例（征求意见稿）》

第四十三条 平台规则、隐私政策制定或者对用户权益有重大影响的修订，互联网平台运营者应当在其官方网站、个人信息保护相关行业协会互联网平台面向社会公开征求意见，征求意见时长不得少于三十个工作日，确保用户能够便捷充分表达意见。互联网平台运营者应当充分采纳公众意见，修改完善平台规则、隐私政策，并以易于用户访问的方式公布意见采纳情况，说明未采纳的理由，接受社会监督。

日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的，应当经国家网信部门认定的第三方机构评估，并报省级及以上网信部门和电信主管部门同意。