其中 ， “蚂蚁集团隐私权政策”是10月31日发布、11月7日生效的最新版本 。 根据该版本 ， 为了方便用户对不希望接受“根据用户信息形成群体特征标签 ， 用于向用户提供其可能感兴趣的营销活动通知、商业性电子信息或广告”的关闭式操作 ， 直接附有跳转链接 ， 也即可在阅读时 ， 同步进行操作处理 。
此外 ， 根据个保法 ， 向第三方提供个人信息时 ， 应取得信息主体的单独同意 。 针对这一规定 ， 截至目前 ， 支付宝、微信、QQ等已在其隐私政策中进行了单列、加粗说明 ， 并附上了第三方信息共享清单 。
值得注意的是 ， 为进一步落实第三方处理个人信息时信息处理者的监督义务 ， 11月1日 ， 工信部发布《关于开展信息通信服务感知提升行动的通知》 ， 要求相关互联网企业建立个人信息保护“双清单”——“已收集个人信息清单”和“与第三方共享个人信息清单” ， 并在App中展示以便用户查询 。 首批设立“双清单”的企业 ， 包括腾讯、阿里巴巴、美团、快手、拼多多等39家 。
在吴沈括看来 ， 若想让隐私政策对用户个人信息保护的作用真正落到实处 ， 仍面临两个亟待解决的问题 。
“一是用户本身的数字素养和数字保护意识提升是一个循序渐进的过程；二是信息处理者在文本设计上 ， 仍存在为了规避合规风险进行虚假性陈述的现象 ， 换言之 ， 考虑到用户或不会完整地浏览隐私政策的具体内容 ， 相关声明主要起到自我承诺的作用 ， 在此背景下 ， 需要加强对于虚假说明的事后追责 。 ”吴沈括说 。
弹窗困境
但隐私政策并不是实现“告知”的唯一路径 。
中国信息通信研究院互联网法律研究中心高级研究员、个人信息保护立法研究团队负责人杨婕对第一财经表示 ， 匹配到具体场景时 ， 通过及时提示或者“弹窗”式增强告知的方式 ， 将该场景下的个人信息处理活动的核心要点进行浓缩 ， 再告知个人 ， 并附上完整版的隐私政策查询链接 ， 也是信息处理者实现或增强“告知”的可行路径 。
北京清律律师事务所首席合伙人、清华大学法学院互联网法律与政策研究中心秘书长熊定中也认为 ， “弹窗”是明示告知、增强个人信息保护的重要载体 。
他告诉第一财经 ， 对于信息处理者 ， 当前 ， 大致有三种途径 ， 对用户明示告知双方在权限或隐私方面的约定 。 第一 ， 写在隐私政策里 ， 但监管部门反对通过一个隐私政策“一揽子”告知；第二 ， 发站内信 ， 但前提是信息处理者事先收集到用户的信息 ， 操作上或存在合规风险；第三 ， 设置“弹窗” ， 即通过强迫用户通过做出如点击、关闭等一系列动作 ， 再将告知内容关闭的方式 ， 实现明确有效的告知 。
“针对个保法中需要单独同意的场景 ， ‘弹窗’已成为相关信息处理者的最佳方案 。 ”熊定中称 。
根据个保法第二十八条、第二十九条规定 ， 处理敏感个人信息应当取得个人的单独同意 。
敏感个人信息是指 ， 一旦泄露或者非法使用 ， 容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息 ， 包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息 ， 以及不满十四周岁未成年人的个人信息 。
伴随个保法的颁布和落地 ， 形式简洁且直接易察的“弹窗”已成为信息处理者实现增强式告知的共同选择 。 但对于用户而言 ， 越来越多的“弹窗” ， 在保障了选择权的同时 ， 却影响了体验感 。
在考虑到不同场景“弹窗”合理性、必要性的前提下 ， 中国电子技术标准化研究院网安中心测评实验室副主任何延哲对“弹窗”做出分类统计 。