从Google隐私政策修订看企业应对GDPR的策略

互联网企业的隐私政策是其应对GDPR的一个风向标，2018年5月25日，全球互联网巨头Google在全球范围内用各个语种同时发布了其最新版的隐私政策，以应对当日正式生效实施的GDPR（欧洲通用数据保护条例）。本文将以Google 2018年5月25日出台的隐私政策（下文简称“新版隐私政策”）以及2017年12月18日出台的隐私政策（下文简称“旧版隐私政策”）为研究对象，在对比之中探寻Google应对GDPR所作出的调整及相应措施，并具体分析Google隐私政策中为符合GDPR而设计的内容，以及目前看来尚未合规的方面，以期从隐私政策变化的维度一窥Google在GDPR合规上所做的工作，为中国企业的GDPR合规提供一定的参考和指引。

为突出重点，本文共分为三大部分，第一部分将以GDPR的基本原则为中心进行讨论研究，第二部分将围绕GDPR赋予数据主体的权利进行探讨，最后一部分将就数据控制者的义务以及数据出境等问题展开。

一、GDPR基本原则的遵守

GDPR第5条规定了个人数据处理的基本原则，即合法、公平、透明原则、目的限定原则、最小范围原则、准确性原则、存储限制原则、完整性与保密性原则以及责任原则。这几项原则构成了欧盟个人数据处理的基础，是所有个人数据处理必须遵守的基本原则，对基本原则的理解与适用是企业进行GDPR合规的前提和基础。总体而言，Google新版隐私政策针对透明原则所作出的调整最为明显，并在个人数据处理的“限制原则”上大做文章，下文将详述之。

（一）透明原则贯穿始终

GDPR第5条第1款(a)项规定，应合法地、公平地并且以公开透明的方式对数据主体的个人数据进行处理。合法、公平原则具有高度的抽象性，Google新版隐私政策从整体上看基本体现了合法、公平原则，本文不进行详细展开；而对于透明原则，Google的新版隐私政策是一个很好例证。新版隐私政策汉语版共计十九页，图文并茂，措辞通俗易懂，每一条内容都尽可能得附上实例用以说明；而旧版隐私政策仅有六页，相对而言较为粗略，用语也较为生硬、专业，不够通俗。

其背后的原因在于，欧盟1995年《数据保护指令》仅规定了公平、合法原则，对企业隐私政策的透明度未做要求，因此，旧版隐私政策并未在“透明度”这一点上花费心思，其用语较为生涩，阐释及说明力度明显不足，更多依靠用户提升自己的专业知识来了解和掌握隐私政策的具体内容。而GDPR将“透明”上升为基本原则，提高了对企业的要求，可谓是一大突破，Google的新版隐私政策顺应法律的变化，较好地遵循了此原则。

比如，相较于旧版隐私政策，新版隐私政策在开篇便以一种十分友好的态度特意对Google的服务内容进行了一个简明扼要的介绍，如“我们致力于打造各种各样的服务，以便每天协助千百万用户以全新方式探索世界并与这个世界互动”，随后将其服务的类别采用举例说明的方式告知用户，如图一所示。

（图一：服务内容介绍页面）

 从整体上看，新版隐私政策使用了清晰简明的语言，将其个人数据收集的目的、个人数据处理方式、个人数据处理风险、数据主体权利行使方式等进行了详细的介绍，并且通过添加示例、介绍性视频和关键术语的定义等方式尽可能得解释隐私政策的中的内容。

透明原则要求，与处理个人数据有关的任何信息和交流都应易于访问和易于理解，在“易于访问”这一点上，新版隐私政策颇为用心，其专门在“管理、查看和更新用户信息”部分附上了相应的功能图表，点击进入后用户可直接进入操控界面，进行相应的操作，访问自己的信息，修改隐私设置。比如新版隐私政策中写道：“登录帐号后，您可以随时访问所使用的服务以便查看和更新信息……，我们还开设了一个专区以便您查看和控制保存在Google帐号名下的信息。”如图二所示。

（图二：管理、查看和更新信息页面）

在易于理解这一点上，新版隐私政策相较于旧版具有很大的进步，在数据处理的过程中，存在许多涉及信息技术的专业术语，旧版隐私政策对此的态度是“如果您不熟Cookie、IP地址、像素标签和浏览器等术语，请先了解有关这些关键术语的信息……请您花些时间了解一下我们的惯例。”而新版隐私政策采用较大篇幅分别对Cookie、IP地址、像素标签、服务器日志等专业术语一一进行解释说明，并分别举例。特别是对服务器日志的说明，更是将日志的每一条所表示的含义进行详细的分段解释，如图三所示。从要求用户自行了解到主动承担术语解释工作，是Google隐私政策在用户体验上的重大改进，由此可见Google为了遵守透明原则下足了功夫。

从逻辑关系上看，Google对透明原则的遵守，即是对用户“知情权”的尊重与保护，也是对其自身信息提供义务的履行，只有足够透明，用户采有可能充分了解进而理解关于其个人数据的处理，进而构成对数据处理的“知情”。因此，无论是从整体上观察，还是从细节上分析，透明原则贯穿了Google新版隐私政策的始终。

（图三：服务器日志解释页面）

 （二）“限制”无处不在

GDPR第5条(b)项规定了数据处理的“目的限定原则”，(c)项规定了“最小范围原则”，(e)项规定了“存储限制原则”。从总体上来看，这三项基本原则分别是从“目的”、“数量”以及“时间”三个维度对个人数据的处理进行了限制，其共同着力点皆在于“限制”。GDPR序言第39条很好地说了这三者之间的关系，即个人数据处理的具体目的应当明确、合法，并在个人数据收集时已经确定。个人数据应当充分且相关，并且仅限于为处理目的所必需，这尤其要求确保将个人数据的存储期限限定至一个精确的最短期间。只有当处理的目的不能通过其他方式合理地实现时，才应进行个人数据的处理。为了确保个人数据的存储不会超过必需的时间，数据控制者应当设定消除数据或者定期检查的时间限制。Google新版隐私政策为了遵循上述三项限制原则做出了尝试。

1.目的限定

首先来看“目的限定原则”。目的限定原则是最小范围原则、存储限制原则适用的前提，只有先确定个人数据处理的目的，才能明确所收集的数据是否相关，所收集的数据是否满足最小化的要求以及应确定多长的存储期限。因此，目的应于收集之初就应被确定。目的限定原则有两层内涵：一是数据控制者只能基于具体、明确、合法的目的收集个人数据；二是一旦数据基于特定目的被收集以后，则不能再基于与收集时所确定之目的不相兼容的其他目的被处理。Google新版隐私政策采用约两页的篇幅逐条解释了“Google为什么要收集数据”，力求将其收集个人数据的目的“具体、明确”地告知用户，Google将其收集个人数据的目的概括为“我们会利用数据打造更好的服务”，细分为“提供Google服务”、“维护和改进Google服务”、“开发新服务”、“提供个性化服务，包括内容和广告”、“评估效果”、“与您沟通”、“保护Google、我们的用户和公众”。并在最后声明：“在将您的信息用于本隐私政策未涵盖的用途时，我们会事先征求您的同意。”每一项都会附上相应的示例说明，如图四所示。

（图四：收集数据的目的及其例证页面）

相较之下，旧版隐私政策并未特地说明“Google为什么要收集数据”，而只是较为笼统地说“我们会利用从所有服务中收集到的信息来提供、维护、保护和完善这些服务，同时开发新的服务并保护Google和Google用户。”其他关于收集数据的目的，散见于旧版隐私政策的各个条文之中。鉴于旧版隐私政策仅有六页，其关于收集数据的目的的阐述与解释极为有限。因此，新版隐私政策在解释其所收集的信息的目的这一点上可以说是进步的，Google在收集用户信息之初，通过隐私政策尽可能地向用户详细解释其收集信息的目的，满足了基于“具体、明确、合法的目的收集个人数据”这一要件，并承诺如果将用户的信息用于隐私政策未涵盖的用途时，事先征求用户的同意，满足了“不得基于与收集时所确定之目的不相兼容的其他目的”处理数据的要求。

2.范围限制

正如前文所述，最小范围原则是从“量”的角度对个人数据的收集、处理进行限制。此原则要求在收集、处理个人数据时，必须适当、相关、必要。新版隐私政策用了约两页的篇幅详细介绍了“Google收集的信息”。并在开篇明确强调“Google收集哪些信息以及如何使用这些信息取决于您如何使用Google服务以及如何管理您的隐私控制项。”对于收集的信息种类，新版隐私政策总共分为两大类，一是用户自己提供的信息，如创建账号所需填写的姓名、密码；二是Google主动收集的信息，比如用户的设备信息、活动信息、位置信息等。以用户的活动信息为例，新版隐私政策现列出八类可能收集的用户活动信息，详情可见图五。而旧版隐私政策未就“活动信息”进行特别说明，其在整体上对于所收集的信息的介绍较为有限，且组织的较为混乱，在“我们收集的信息”板块，旧版隐私政策以“我们收集信息的方式”这一措辞介绍其收集信息的范围，一边介绍信息收集的种类，一边又在解释信息收集的方式，显得针对性不够。

通过对比来看，新版隐私政策在“范围限制”这一点上，对其收集的信息种类的解释力度是有所增强的，一方面，Google声明其所收集的信息是提供服务所必须，另一方面，用户可以通过更改隐私设置来限制Google对自身信息的收集，更为符合范围限制的要求。

（图五：收集数据的种类及其例证页面）

3.存储限制

关于“存储限制原则”，旧版隐私政策全文未见说明。而新版隐私政策则在这一点上具有很大的改善，如“在有些情况下，我们会出于法律目的或合法业务的需要将数据保留一段有限的时间，您可以了解Google的数据保留期限，包括多久我们才会删除您的信息”。这段话中，“数据保留期限”几个字可以直接点击进入，然后便会进入到另一界面，用户可以进一步了解数据保留期限的详情介绍，该介绍中包含六大部分，依据数据保留的不同期限而做出不同的解释说明。比如经过一段时间会失效的数据，Google保留浏览器宽度和高度数据的时间是九个月，Cookie数据会保留十八个月，到期会被删除，部分详情可见图六。

（图六：数据保留期限示例页面）

Google新版隐私政策按照数据的不同类别而分别确定数据的存储期限，并向用户做出了特别的说明，可见其为应对GDPR所作出的努力，这一点值得借鉴。

对于GDPR第5条所规定的其他原则，诸如准确性原则、完整性和保密性原则、责任原则等，Google的隐私政策未有特别的说明与体现，在此不做赘述。

二、数据主体权利的保护

在前述GDPR第5条所规定的基本原则的统摄下，GDPR赋予数据主体多项权利以强化自然人的个人数据保护力度，Google也必然对此也有所回应。在其新版隐私政策中，反复强调了用户可以“控制”自己的数据，这在旧版隐私政策中是看不见的。在数据主体的权利行使上，新版隐私政策对于用户的“知情权”、“访问权”、“删除权（被遗忘权）”“可携权”等权利做出了的回应，而对“拒绝权”、“限制处理权”等权利仅是一带而过，下文将择部分进行具体分析。

（一）数据主体权利保护上的三大亮点

1.知情权的实现

GDPR第12条规定了信息与通信的透明以及数据主体行使权利的形式，而Google新版隐私政策的一大亮点就是对“透明原则”的遵守，从另一方面来看，这便是对用户“知情权”的保护。通过对比可知，新版隐私政策不仅是在用语及措辞上具有很大的风格转变，而且还提供了视频、示例、注解、链接跳转等方式供用户更进一步了解其隐私政策。尤其值得一提的是新版隐私政策新增了四个小视频，分别从隐私政策的整体条款、Google所收集的用户信息、收集数据的目的、用户的隐私控制项等方面，对隐私政策进行了更加形象生动的诠释，在视频中，Google通过动画人物配以旁白解说，对其隐私政策进行较为活泼的介绍，这一点让用户在隐私政策的把握上有了较大的进步。对于视频介绍这种方式，有人认为，因各地的网络速度不同，在一些网速较慢的国家或者地区，当地的用户很难通过观看视频而对隐私政策进行了解，这有可能会造成新的歧视。这样的担忧也有一定的道理，但不应据此否定Google在保护用户知情权上所做出的努力，视频的确比单纯的文字介绍更加引人注目，更加容易理解。视频截图可见图七。对于知情权的保护，相关论述可以参见前文对于透明原则的论述。

（图七：隐私政策介绍视频）

2.访问权的优化

GDPR第15条赋予数据主体访问权（Right of access），根据该条，数据主体有权从数据控制者处获得有关其个人数据是否被处理的结果，个人数据被处理的，数据主体有权访问个人数据和相关信息。Google新旧两版隐私政策都赋予数据主体访问其个人数据的权利，并在隐私政策中提供了相应的链接，可供用户直接点击进行访问，有所不同的是，新版隐私政策对此进行了很大程度上的优化。从总体上看，新版隐私政策用了约两页的篇幅向用户介绍了查看个人信息的方法，并且分门别类地为不同的信息提供了不同的选项和不同的链接，用户若想要查看其活动记录，可以直接点击相应的图标进入，如图八所示，用户点击蓝色字体后会进入更加详细的介绍页面。旧版隐私政策仅用一句话向用户说明“我们会力求让您顺利访问自己的个人信息”，没有进一步释明访问的方法以及可访问的范围，对比可见Google在用户访问权的优化上成效显著。

（图八：访问个人信息界面）

3.被遗忘权的建立

GDPR第17条赋予数据主体以清除权（Right to erasure），也即被遗忘权（right to be forgotten），在法定情形下，数据主体有权有权要求数据控制者立刻永久性地清除与其有关的个人数据本身及其副本、备份或者相关的链接。Google新版隐私政策在这一点上明显优于旧版隐私政策。旧版隐私政策中，只有在用户信息有误的情况下，才允许用户删除其有误的个人信息，并且强调“当您从我们的服务中删除信息后，我们可能不会立即从在用的服务器中删除这些信息的残留副本，也可能不会从备份系统中删除相应的信息。”说明这种清除权是不彻底的。新版隐私政策在两处特别强调用户可以部分或者全部删除自己的信息，并为此专门设置了相应的链接，用户点击后即可进入选择删除其所欲删除的个人信息，详情可见图九。

（图九：被遗忘权相关界面）

用户在删除其某些个人数据后，Google还会继续在其系统中保留这些数据吗？新版隐私政策在“数据保留”页面对此进行了说明，答案就是数据会被彻底删除。图十介绍了当数据被用户删除后，Google内部会经过怎样的流程彻底删除数据。因此，无论是从删除程序上，还是从删除的效果上，新版隐私政策真正赋予了用户被遗忘权。

（图十：删除数据的效果说明）

（二）在数据可携权上小试牛刀

GDPR第20条赋予数据主体以数据可携权（Rightto data portability），无论是实务界还是理论界，对于此项权利的讨论十分激烈，至今仍不绝于耳，根据此项权利，当数据控制者基于数据主体的同意、或者为履行与数据主体间的合同内容所必要，且以自动化方式处理数据主体的个人数据时，数据主体有权从数据控制者处获得以结构化、通用化和机读形式呈现的上述个人数据；数据控制者还有权将该数据转移给其他数据控制者，原数据控制者的不得阻碍；数据主体有权在技术允许的情况下，要求数据控制者直接将这些数据转移给另一个数据控制者。现实中，在数据的权属尚未明确的情况下，赋予数据主体以数据可携权对于企业而言无疑是一种负担，企业是否愿意将其所处理的个人数据提供给数据主体，抑或是否愿意将这些数据直接提供给其他企业？若数据主体要求企业其将数据直接提供给竞争对手时，企业该怎么办？这些对于企业而言都是难以取舍的，一方面要遵守GDPR的规定，另一方面又需要维护自身的利益，其平衡点究竟在哪？

Google在此问题上做出了初步的尝试。新版隐私政策通篇不断强调用户对其个人数据的“控制”，而旧版隐私政策对此只字未提。这可以说是Google在数据可携权上所表明的新的立场，在此立场下，用户如何实现其数据可携权呢？新版隐私政策两处提到，用户可以导出其数据的副本用于非Google服务，如图十一所示。

（图十一：用户导出数据链接界面）

点击蓝色字体，用户可以进入一个更为详细的界面，该页面中可供用户选择的下载项共有三十八项之多，如Google Chrome、书签、联系人、支付信息等，十分全面。在此界面中用户可以自由选择自己想要下载的数据，且可以自定义下载格式，部分截图如图十二所示。

（图十二：用户可导出数据列表部分页面）

对于数据主体的限制处理权、拒绝权等，新版隐私政策未有较为突出的体现，有待后续的观察研究，在此不做赘述。

三、义务履行与数据出境

通过对数据控制者和数据处理者课以复杂的义务，以实现对数据主体基本权利和自由的保护，是GDPR的一大特色。从逻辑上讲，无论是对GDPR基本原则的遵守，还是对数据主体权利的保护，皆是数据控制者履行其义务的另一种体现。由于GDPR下狭义的义务（第四章）更多的体现为产品本身及企业内部的合规建设，在隐私政策中反映的内容有限，因此本部分将分别从Google隐私政策中对义务履行体现的不足和数据出境安排两个视角观察Google的新版隐私政策。

（一）数据保护专员身在何方？

GDPR第37条规定了指定数据保护专员的义务。根据该条规定，当数据控制者和数据处理者的核心业务由数据处理组成，该处理因其自身的性质、范围和目的等需要对数据主体进行定期的、系统化的大规模监控时，数据控制者和数据处理者应当指定一名数据保护专员。作为互联网巨头，Google有义务指定一名数据保护专员。根据GDPR第13条的规定，从数据主体处收集与之相关的个人数据时，数据控制者应当在获取数据的同时向数据主体提供数据保护专员的身份信息和联系方式。因此，Google应当在其隐私政策中或者以其他适当方式告知用户其数据保护专员的信息及联系方式，但新版隐私政策未能提供这一信息，这一点令人费解，还有待于实践中的进一步观察。

（二）数据如何出境？

GDPR第五章就“向第三国或国际组织转移个人数据”进行了相关规定，GDPR所规定的数据转移主要有四种，一是基于充分性决定(Adequacy Decision)的数据转移根据；二是基于标准条款合同的数据转移（Standard DataProtection Clauses）；三是基于公司约束规则(Binding Corporate Rules)的数据转移；四是基于数据主体同意的数据转移。根据GDPR第13条的规定，从数据主体处收集与之相关的个人数据时，数据控制者应当在获取数据的同时向数据主体提供关于数据控制者意欲向第三国或国际组织转移数据的事实，以及欧盟委员会是否作出数据保护充分性决定的情况，或在其他转移情形下获取个人数据或其副本的方式和相应的安全保障措施。

对于数据出境，Google针对GDPR的要求也进行了相应的说明，新版隐私政策承认Google有可能在欧盟境外处理数据，“我们维护着遍布世界各地的服务器，因此，我们处理您的信息时所在的服务器可能并不是位于您所在的国家/地区。”对于Google是基于何种方式将用户的数据传输至境外，新版隐私政策中并无具体的说明，但是其承诺会将隐私政策中所声明的保护措施使用在境外的任何地方，并向用户介绍了其所遵循的一些数据传输的法律框架，用户点击蓝色

（图十三：数据出境问题）

旧版隐私政策仅就Google可能在境外处理数据的事实进行了简单的说明，未就数据出境的依据以及数据的安全问题进行特别的承诺与描述。因此，新版隐私政策这一点上是进步的。

四、几点感想

从新旧两版隐私政策的对比上，我们可以清晰的看到在欧洲经历了诉讼、调查、处罚的Google面对GDPR时所作出的调整和应对。笔者在完成了比对后，有如下几点不成熟的感想，供各位批评：

1、尽管媒体、公众对于隐私政策过长颇多诟病，每个人全文阅读APP隐私政策的比例可谓“千里挑一”，但是GDPR的出台不可避免的使得各个大公司的隐私政策变得更长了，这无疑是略带讽刺色彩的。企业如何在透明性、易读性上做文章，以此抵消更长文本造成阅读率的进一步下降，是一项非常具有挑战性的工作。

2、隐私政策的合同属性（可以视为限于合同相对人的承诺）越来越被其“社会承诺”属性所取代。尽管用户极少全文阅读隐私政策，但是监管机构、媒体、隐私权利倡导人士等来自于社会公共领域的监督使得企业的隐私政策成为了随时可能被放在聚光灯下反复打量、剖析的对象，构成了企业社会形象的组成部分之一。

3、隐私政策与产品、场景的结合越来越紧密，隐私政策的保护水平与企业自身的合规能力密切相关。这意味着越是大型企业，越是行业领先企业，其隐私政策也将更加趋于个性化和定制化。过去中小互联网企业全盘照搬大型企业或者行业标杆企业隐私政策的做法将变得非常不可取，这不仅会使得隐私政策与自身业务完全无法契合，还有可能造成隐私政策的承诺与自身合规能力的明显可见差距，反而加大了企业风险。如何针对包括GDPR在内的法律规范，编写既符合自身业务和数据流情况，又符合自身合规能力建设水平的隐私政策，将成为头部以下互联网企业以及其他有必要制定隐私政策的企业的重要课题。

4、为保证用户能够便利地行使GDPR下的数据主体权利，实现对其个人数据的控制，大公司的隐私政策开始呈现从过往纯粹的阅读文本向功能文本转变的趋势，这体现为在隐私政策中设置更多的导航链接、功能按钮，隐私政策与要么根本不存在、要么深藏于多层页面之后的隐私设置功能的进一步打通和融合。当然，与在文本中设置联系方式来个案响应用户行使数据主体权利相比，功能文本是否更为监管所认可，更为市场所接受，还有待进一步的检验。

作者为竞天公诚律师事务所冯坚坚和袁立志律师。华东政法大学民商法专业硕士研究生曹怀顺、俞蔚对此文亦有贡献。

声明：本文来自网安寻路人，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。