一、案件事實

　　2018年4月28日，原告打開“知乎”應用，顯示《隱私政策-知乎》的推送。原告瀏覽全部頁面后，并不同意其收集用戶個人信息的隱私政策，遂選擇“不同意”，然而頁面彈出提示“我們將按業(yè)界成熟的安全標準，采取相應的安全保護措施來保護您的個人信息”，并附“知道了”點擊選項。原告點擊“知道了”后，被告繼續(xù)要求原告對“隱私政策-知乎”作出“同意”或是“不同意”的選擇。原告再次選擇“不同意”，則上述提示再次彈出。如此反復多次后，原告無奈只得點擊“同意”。2018年11月3日，原告打開“知乎”應用，被告再次強制原告同意《隱私保護指引概要》。

　　因此原告認為被告強制原告同意其發(fā)布的隱私政策，違法收集原告?zhèn)€人信息，侵害了原告的合法權(quán)益。遂將知乎起訴至法院。在訴訟中，原告明確在本案中僅主張其與被告之間隱私政策、指引相關(guān)的合同不成立，明確表示不主張合同無效等事由。在案件的性質(zhì)上屬于消極確認之訴。

　　二、法院觀點：隱私政策是一份合同

　　在案件中，法院將隱私政策認定為一種以數(shù)據(jù)電文形式訂立的合同。針對隱私政策的更新，法院依據(jù)合同法要約-承諾理論理論進行了分析：“故被告發(fā)布的隱私政策、指引屬于其向原告發(fā)出的變更合同條款的要約。”

　　這與《個人信息安全規(guī)范》（GB/T 35273-2020）中的規(guī)定截然不同，在《個人信息安全規(guī)范》（GB/T 35273-2020）中認為“個人信息保護政策（隱私政策）的主要功能為公開個人信息控制者收集、使用個人信息范圍和規(guī)則，不宜將其視為合同”（5.6g）。此種差異尤其值得關(guān)注。開展合規(guī)工作，應當面向訴訟，以期在發(fā)生糾紛時合規(guī)措施最終能夠得到法庭的支持，因此從合同的角度思考隱私政策尤為必要。

　　本案中，關(guān)鍵點在于判斷隱私政策、指引相關(guān)的合同是否成立：

　　……被告通過對相關(guān)條款設置彈窗、加黑等方式進行了提示，并對相關(guān)條款內(nèi)容進行了說明，應認定被告已履行了提示或者說明義務。同時，原告主張在瀏覽全部頁面后不同意有關(guān)個人信息的條款，曾多次選擇“不同意”，但未表明其不理解相關(guān)條款含義，故本案并不能適用民法典上述規(guī)定。……第三，原告主張因被告對選擇模式的設置，導致其被迫選擇“同意”，并要求被告提供其針對上述條款進行選擇的全過程信息。本院認為，平臺對用戶所有選擇操作軌跡（情形）進行收集、保存，涉及對用戶的個人信息搜集，應進行必要提示并取得用戶的同意；且即使能夠查實原告進行了多次否定的操作，因其最終選擇了“同意”，已經(jīng)符合了承諾的形式要件，并不能產(chǎn)生否認相關(guān)條款成立的法律效果。

　　案件中，因為原告在幾經(jīng)拒絕后仍然點擊了“同意”，法院因此認為已經(jīng)符合承諾的形式要件，從而認定合同成立。

　　三、合規(guī)啟示：更新隱私政策的風險

　　本案的性質(zhì)屬于消極確認之訴，而非請求權(quán)之訴，因此原告點擊“同意”的行為對案件定性、成敗十分重要。如果原告始終沒有點擊“同意”，且知乎對隱私政策的變更涉及用戶訪問、修改、刪除個人信息等權(quán)益的行使，那么對案件的裁判結(jié)果可能會有不同的走向。

　　本案中，法院雖然沒有支持原告的訴訟請求，但也明確指出：

　　被告在用戶拒絕同意涉案相關(guān)條款時，僅向用戶提供游客身份瀏覽相關(guān)網(wǎng)站內(nèi)容等服務，而未提供用戶以真實身份的接受上述服務的選項，未給用戶一定期限內(nèi)作出選擇的緩沖期，亦未說明此種設計的合理理由；在用戶拒絕同意涉案條款時，雖多次提示同意涉案條款的必要性，但未設置包括解除合同在內(nèi)的選項供用戶選擇，客觀上造成合同長期處于不穩(wěn)定狀態(tài)，可能損害用戶基于履行合同而享有的相應權(quán)利。被告作為平臺經(jīng)營者應進一步完善相應規(guī)則，提供優(yōu)質(zhì)的網(wǎng)絡服務，保障廣大網(wǎng)絡用戶權(quán)益，促進產(chǎn)業(yè)健康規(guī)范發(fā)展。

　　目前對隱私政策的關(guān)注更多是在新用戶注冊環(huán)節(jié)，關(guān)注首次使用如何告知獲取同意。但根據(jù)我對各大平臺隱私政策的跟蹤關(guān)注，發(fā)現(xiàn)隱私政策是動態(tài)的，會隨著產(chǎn)品的升級與外部監(jiān)管環(huán)境的變化而需要進行更新。

　　更新隱私政策的風險甚至是高于全新起草、部署一份隱私政策的風險。在更新時，隱私政策中的更新條款就顯得尤為重要，判斷是否會對已有權(quán)益造成影響，對更新進行說明，將更新告知用戶并獲取同意，緩沖期的設置，對歷史版本的隱私政策進行留存等因素都可能成為風險點。

　　隨著《個人信息保護法》的腳步越發(fā)臨近，個人對自己個人信息權(quán)益的主張也會更加理直氣壯，反過來對企業(yè)來說合規(guī)的壓力也會隨之成倍增加。當隱私政策的變更涉及到個人權(quán)利行使，在“告知-同意”層面所需要的工作會比新用戶注冊更加艱巨。