这年头老板的嘴巴都是管不住的，太恐怖了我跟你说！ | 法务实务大家谈-个人信息/隐私类话题（115）

【阅读说明】

《法务实务大家谈》是法务阶梯微信群的互动实录。常见的实务问题，不同的处理方式，不一定唯一，不一定深入，甚至不一定正确。但，深入交流、无私分享的氛围已然形成，且越来越浓。 ——在法务阶梯，用向上的力量相互影响！

【本期主题】隐私政策

【关键词】隐私政策/信息泄露/公关/黑客

1、【隐私政策】Q：请教下大家哦，我们有一款健身运动app，现在想做国际版，产品部给了我几个适用的国家，然后出隐私政策和用户协议。这种需要每一个国家出一种的吗，还是一份就可以了哦？大家有没有起草过哦？

A：我去了解了一下我们国际业务的做法，供参考：

请了律师做调研，根据律师的建议，隐私政策做了欧盟、美国和其他地区三个版本。

欧盟最严，需要披露很多东西，并且翻译成了欧盟各地区的语言；

美国的有加州和COPPA等要求；

其他国家通用“其他地区”版本。

2、【隐私政策】Q：请教各位小伙伴：隐私政策的放置位置有要求吗，是必须放在登录界面，还是可以放在APP里面的购买会员界面？我抽调了一些网站，发现大部分都放在登录界面。不是网站，是APP，但是也没有找到具体的规定，隐私政策必须放在哪的？

A：我司收集整理的典型隐私政策违规行为：

（1）仅在官网、应用商店中展示隐私政策而在App内无法找到隐私政策的，或隐私政策链接无效、文本不能正常显示的，或隐私政策中没有包含该App收集使用个人信息规则；

（2）App首次运行，未通过明显方式提示用户阅读个人信息收集使用规则；

（3）用户注册时，注册/登录界面无隐私政策链接；

（4）只在注册/登录界面展示隐私政策链接，进入App主界面后，无法找到隐私政策；

（5）刻意使用灰色字体、缩小字号、遮挡、置于边缘与背景颜色相近等方式未突出显示隐私政策链接；

（6）隐私政策访问路径设置过深，多于4次点击操作访问到；

（7）或路径设置过偏，要通过搜索、咨询客服等方式才能访问到。

主要依据：http://www.cac.gov.cn/2019-12/27/c_1578986455686625.htm

（Q：收到，学习了，谢谢小伙伴们！）

3、【隐私政策】 Q ：各位大佬，同一个公司的不同 app 产品（共享账户体系）想在不同 app 间同步好友关系，在主产品隐私政策中和子产品隐私政策中说明就可以吗？还是一定要在子产品中明确取得用户的同意…

A1：可以抄一下字节的作业

( Q ：打个比方…抖音和啥是胡同好友的？)

A1：抖音之前的隐私政策是有写一个账户可以关联多个旗下产品的，不过那会还是个保法生效之前，之后我就没关注了。

A2：根据个保法原则上是可以，但需要明确说明搜集信息所适用的产品名称，不能用概括式授权。

A3：看看腾讯的微信读书侵权案件，或许有启发。

( Q ：看了……，业务不同意微信读书的模式。那个案子是不是也是微信和微信读书可能运营主体不是一个公司的原因。)

A3：所以说启发。信息收集的目的与业务之间的关系 VS 信息收集的目的与收集主体之间的关系，哪个才更符合立法保护的本意塞？

A4：你先去做个竞品行研，看看其他共享账户体系的集团公司怎么处理自身 app 的好友关系的，研究下他们那个共享账户体系的隐私政策。

A5：京东就有类似的条款

( Q ：大佬，其实根据微信读书的案例，我从监管的角度考虑是不同产品的用户信息搜集要合理必要，而不是出于公司主体，既仅在隐私政策里写明可能还是不够全面。

就比如说微信读书搜集微信用户的好友关系，法院就认为是超出了必要性和用户的预期。所以我们最初的想法也是单独就这个事在子产品上取得用户同意，但从业务反馈目前难以行的通。

这个竞品做的有紧有松。主要也是个护法很多的表达太主观了。)

A6：赞同看下竞品的做法；结合自身，做个方案；我是觉得这个方案最好跟属地监管通个气儿。

A3：所以，不同产品的收集目的是基于不同产品的业务而发起，而不是基于主体收集。那么不同产品端（ App 端）对于信息的处理，就涉及同意处理与授权处理的权益区分。就业务可行性来说，隐私政策更新弹窗设置最初的时候也在叫客户体验不好， balabala ，现在呢？作为专业角度，你提出你的建议，业务决策人在法律允许范围内，评估业务风险的回报比自行决定即可。

( Q ：感谢大佬。个护法的条文和立法愿意真的要好好琢磨…………难）

A3：关于参照竞品的思路吧，说说个人的看法。法务在工作中经常会遇到业务说，以前就是这样的，人家也这样咋没事。法务参考的时候可能要避免这样的事情发生。从专业立场，还是建议先作专业角度的理解，理解的程度不限，然后再结合实操中的可执行程度选择适合的落地方案，涉及分工的，以项目决策人的意志为准，越界不利于解决问题，有时候合理利用 trouble 对不同意见的戳破未必是坏事。

立法本意的理解不一定很难，难在执法层的口径及尺寸把控。简单举例：个人信息及隐私保护在民法典中作为独立人格权益规范，就涉及人格权的对世权，但是在实务层面，我们要注意到克减，克减情况才是最复杂的，恰恰，这又是权益价值摩擦的点，必须要面对。

4、【信息泄露/黑客】Q：【有问题，求指教】我们公司自有的电商平台被黑客攻击，导致顾客订单泄露，诈骗团伙通过订单信息联系顾客，以退货等方式进行诈骗，如果有顾客上当受骗，公司需要因此承担赔偿责任嘛？

A1：要看合同约定黑客攻击属不属于不可抗力吧？另外你们是否采取了保障网络安全的措施，事后是否及时通知顾客？一种思路哈，不一定对。

A2：应该不属于啊，哪个公司把这个约定为不可抗力，公司还能赢的市场吗？公司肯定有维护系统安全的责任，负有相应的保护责任。

A1：我想起来了，之前跟银行签的合作协议，银行都会把黑客攻击约定为不可抗力。

A3：互联网公司都会约定的，一般约定为免责条款比较合理。

A4：这个要看公司的管理规定。

（Q：事后措施我们报警加公告加短信提示，都做到位了。）

A2：这个是不错的做法。

（Q：说到底公司也是受害者，如果没有约定为不可抗力或者免责条款，公司需要承担责任嘛？）

A5：提供一个思路，如果从经营者安全保障义务出发，顾客在平台购买产品然后受骗，平台应当承担侵权责任。只是理论上做一点判断，我记得京东平台好像有过被黑客攻击的情况，可以检索下案例看看判决。

（Q：侵权责任4要件中，主观过错和因果关系我感觉也没满足啊。）

A6：何以认定尽到了安全保障义务，也是个问题。

（Q：最主要的是因果关系我觉得没法构成啊，信息泄露的因无法直接导致被诈骗的果。）

A5：是的，实体经营者的安全保障义务如何延伸到互联网平台上还需要判断。

A1：你们怎么知道是黑客泄露的信息？

（Q：我们网站日志能查到被黑客攻击的节点，顾客订单信息也只有我们的后台能查到。查到了京东的一个类似案例，判决也是认为侵权要件不构成。）

A2：论个人持有现金，存折的必要性。

A5：有一定参考价值，不过这一案中京东平台已经尽到提醒义务了，我看到还有一份判决书还补充说“京东电子商务公司在提交订单、完成订单、付款确认、售后退换货等多个截点，以加黑加粗或者粗体红色字体提示消费者不要点击任何网址链接”，这也是一种免责方式。

（Q：我们应该没有做到这么细致，但是有一点，我们在发现信息泄露之后就第一时间以短信方式提示诈骗风险，另外也通过各种形式进行了公告申明，在这之后如果还是被诈骗成功的话，应该也是属于可以免责的吧。。。。在做这些措施之前，是没有出现被诈骗成功的案例的。）

A5：我理解是的，尽量向大公司看齐吧哈哈，这些提示应该也不难实现，让技术人员加班搞一搞。

（Q：小公司在做这种技术安全方面是很吃力的。）

5、【隐私/公关】Q：大家好，我有个事挺急的，顾客在我司小程序上下单买货，结果系统错乱，导致个别订单出错，A顾客的订单错发给了B顾客，B顾客的地址链接到了C顾客………现在有顾客找过来问…业务跑过来问法务要怎么处理？有没有官方语言可以回复顾客？我黔驴技穷了，要怎么处理啊？

A1：搜索一下，好像当年某宝双十一系统出现过问题，看用的什么理由。

A2：首先你要明确公司的态度，要不要赔偿损失给客户，这个口径我觉得应该由业务部门出。

（Q：嗯嗯）

A3：这不是应该找PR么？

（Q：对呀！我就想呢！是不是和法务没啥关系啊？）

A4：这个和法务有啥关系，不应该是危机公关么？

A3：“CEO给您的一封信”发起来！“您的隐私和信息安全，永远是我们最重视的问题！”

（Q：这封信的口吻也无非是：我们很抱歉，我们在调查，我们努力提升）

A3：A Message from CBS CEO XXX

At approximately 3:30 a.m. CDT on July 5, CBS learned that some of our user data had been illegally accessed and made available online. As soon as we became aware of this incident, our security team quickly took steps to start addressing the issue. Here’s what we know:

The stolen data contained customer names, email addresses, phone numbers, and mailing addresses.

Thankfully, the data did not contain credit card information or CBS account passwords, and we are confident that this information is safe. Further:

Your credit card information is not held by us, but instead with our payments partner.

Because you signed up with CBS via a social network, we have no password information stored for your account.

We take the security of your data seriously, and we will continue to seek and implement the best ways to identify and prevent any future vulnerability.

If you have any questions about the security of your account, please email us at security@CBS.com.

XXX

CEO & Co-founder

p.s. We appreciate how you have helped make CBS a thriving community built around a shared love for authentic Asian cuisine, and my team and I will do everything in our power to make it better every day. We also want to thank you for your understanding and thank those who have reached out offering support.

A3：看，甩锅，不是我的的问题，但是我们马上行动！感恩的心！一起帮助我们提高！连个coupon都不给我，这是个外卖app。就是信息泄漏，面积比你们这几个人这么的还大。

（Q：而且我感觉它很经典就是中间那段！虽然我们泄漏了你的这些那些，但是银行卡信息这么重要的可没有泄漏，所以你不要担心！这简直就是转移视线啊。）

A3：哈哈是的，而且是别人illegally access，我们的security team行动特别快，敢情我还要感谢他。

一般来说还要说your information security and privacy is our first priority ，基本上和明星说“抱歉占用大家公共资源”、“家人是我的底线”一样模版必备。

A4：典型的危机公关策略。

（Q：哎呀，我司也难道需要这么不要脸吗？你是哪里找到这么经典的模版？）

A3：哈哈我就是客户。

轻松一刻——这年头老板的嘴巴都是管不住的，太恐怖了我跟你说！

小王：考了注会和司考可以去做什么工作呢？

小赵：司法审计鉴定

小夏：有好出身的话可以去投行

小胡：很适合做尽调，一个人包揽财务尽调和法律尽调，投资公司风控欢迎你。当然也很适合做独董。

小王：外加董秘

小白：董秘千万不要，这年头老板的嘴巴都是管不住的，太恐怖了我跟你说！

小王：哈哈哈！

——来自微信群

【本期致谢】

@赵国华律师，@6iu2，@夏夏，@Brylee，@老帆帆，@佛兰西里，@小小酥小小，@宫城良田_田良，@韦华国，@李院飞，@张丽，@大章鱼，@妮妮，@愤怒的葡萄，@杭州周律师，@鑫~，＠钱四爷，@ law ,@络訫，＠爱丽斯，@ ChakWingLai ,@ Chamberlain ,＠刘信超，@ZY，@Alice Que，@小确幸

——在法务阶梯，与专业、规范、热心的小伙伴在一起，用向上的力量相互影响！