隐私政策跟业务实践紧密契合

隐私政策的合规要求

隐私政策的开发路径-工作方法论，不止是写word

业务成熟化程度，同质化程度，隐私政策成本权衡，收集极度敏感……细化颗粒度

1.数据处理活动尽调

产品调研，摸排产品数据流，包括数据收集存储使用分享等数据全声明周期情况

基于前段业务的尽调披露

产品界面与流程设计方案

paper本身

律师可以做一部分工作

“在系统上获取了什么”

sdk第三方，委托处理？都是视为app服务方控制处理

机读语言变成法律语言尽调，业务披露

排除高风险

法务 业务 技术-多方交互过程

第三方接入列表

注销-属于合同终止？适合放在用户协议

cookie政策/说明，有的是单行链接，

出具产品端的设计方案，每个界面/环节，全流程文案都要有

更新后的生效，看更新了什么，保留历史版本？邮件短信重新授权？

详细还是简明，更符合透明度？

c端的数据收集，b端的数据流

工具 契机和视角 真正切入业务，过程中开展风险排查与合规治理

隐私政策公法性质和私法性

增强认知 单方同意 有同意不同意 

满足透明性原则

隐私政策必须与业务相结合

定义：明示其收集、使用信息的目的、方式和范围

目的：满足信息处理的透明度原则，获得数据处理的合法性基础

性质：公法和私法兼具；公法：to c 关于用户数据的数据处理陈述披露和说明书(产生用户投诉的诉讼时效的抗辩依据），履行数据控制者的合规义务（没有意思自治空间）私法：就用户信息使用和保护的承诺/披露，构成用户协议的一部分，有一定的自治空间

单独成文，逐项授权说明，动画视频展示落地弹窗告知，全面的隐私

以同意为正当性事由，确保获得有效“同意”的必要条件

b端：给友商看的权利边界书（对抗竞争对手数据滥用时的工具

g：应对监管和媒体监督的自证合规手段 写给监管看的披露保证书，最常见的审查入口

为什么不能抄：功能字段不一样（与技术代码契合）

合规要求：

场景一：产品入口环节的告知和同意，在基本业务功能告知前（读取信息前）推送，用户做出肯定性动作

场景二：产品内展示隐私政策/个人信息保护政策，进入产品后点击4次（含）以内，设置路径

场景三：文本页面（合适的字号、间距、当页链接、伸缩页面、单行静态页跳转）

场景四：集团多层级隐私政策 层级参引与展示

开发路径

覆盖的产品范围：单一产品或多款产品，是否可以共享？

可以参考的底稿

1-数据处理活动尽调（data Mapping)

进行产品调研，摸排产品数据流，包括数据收集、存储、使用、分享等数据全生命周期情况

主导：法务 相关方：产品经理 技术经理 箬方：信息安全管理员

2-高风险处理活动排查

排查整改不合规、非必要、高风险、敏感信息处理，必要时进行pia

3-隐私政策文本与界面与流程设计方案

提供产品个人信息保护政策的全套文件

提供产品页面pbd设计设计方案