重点解读

本条明确了明示个人信息处理规则的要求。

与《网络安全法》第四十一条以及《民法典》第一千零三十五条第一款第二项相类似，《个人信息保护法》要求个人信息处理者明示个人信息处理规则。这就意味着，个人信息处理者要让个人信息处理在阳光下进行，不得隐瞒个人信息处理规则。公开个人信息处理规则，本质上是在保障权利人的知情权。就处理规则的内容而言，至少应当包括处理个人信息的目的、方式、范围等。

实务要点

就公开个人信息处理规则而言，实践中常见的做法是将个人信息处理规则通过个人信息保护政策或用户协议等文本向用户进行展示。

关于展示时的具体标准，《App违法违规收集使用个人信息行为认定方法》对于App公开收集使用规则的方式进行了规定，或可以作为企业实务的参照。该规定列举了四类“未公开收集使用规则”的情形，包括“1.在App中没有隐私政策，或者隐私政策中没有收集使用个人信息规则；2.在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则；3.隐私政策等收集使用规则难以访问，如进入App主界面后，需多于4次点击等操作才能访问到；4.隐私政策等收集使用规则难以阅读，如文字过小过密、颜色过淡、模糊不清，或未提供简体中文版等”。对个人信息处理者而言，若相关业务渠道中无个人信息处理规则，或未采用弹窗等方式向个人明示，或个人信息处理规则难以访问、难以阅读，均可能被认定为“未明示个人信息处理规则”。

个人信息处理者在进行合规整改时，可以参照上述规定，逐项确认自身是否存在上述情形，并及时作出相应调整。

案例解析

*案情介绍

P公司运营的购物App将“已阅读并同意服务协议与隐私政策”以浅灰色字体标注于页面的最底端，未以明显方式提示消费者。同时，该模块未设置是否确认选项，用户未经阅读亦可直接进入App首页进行操作。后原告购买的货物与宣传的不符，原告于收货地起诉P公司，要求其承担侵权损害赔偿，P公司提起管辖权异议，主张服务协议约定的管辖地为上海市长宁区，应由上海市长宁区法院管辖。

*法律解析

法院经审理认为，此类服务协议与隐私政策关于用户权利的规定应当被视为一种“格式条款”。本案App中“已阅读并同意服务协议与隐私政策”的模块系浅灰色字体标注于页面底端，也没有设置确认选项，属于P公司未能采取合理方式提请消费者注意的情形，因此对于消费者认为该服务协议与隐私政策无效，其中的管辖权条款亦无效的主张，法院予以支持，并裁定驳回P公司的管辖权异议申请。

本案中当事人虽未要求法院针对隐私政策的整体效力作出认定，但法院认定服务协议中管辖权条款无效的过程或可作为认定此类条款效力的参考。如前所述，服务协议或个人信息保护政策通常是个人信息处理者处理信息的合法性基础。如果包含个人信息处理规则的协议或条款被认定为无效，可能直接影响个人信息处理行为的效力。因此，在设计展示个人信息处理规则的相关界面时，处理者应当确保其便于用于阅读，并且引导用户通过主动勾选、主动点击等方式确认相关个人信息处理规则，以降低被认定为未公开个人信息处理规则的风险。

关联法条

《民法典》第一千零三十五条；《网络安全法》第四十一条；《App违法违规收集使用个人信息行为认定方法》第一点、第二点。