近日，全国信息安全标准化技术委员会发布了《信息安全技术 互联网平台及产品服务隐私协议要求》（征求意见稿）（以下简称《征求意见稿》）。

《征求意见稿》规定了互联网平台及产品服务隐私协议编制程序、具体内容、发布形式，增加隐私协议的可读性、透明性，以及处理隐私协议相关的争议纠纷等方面的要求；适用于规范个人信息处理者制定、发布隐私协议的过程，也适用于主管监管部门、第三方评估机构等对隐私协议进行监督、管理和评估。

《征求意见稿》强调，制定、发布隐私协议是个人信息处理者遵循公开透明原则的重要体现，是保证个人信息主体知情权的重要手段，也是约束自身行为和配合监督管理的重要机制。隐私协议应清晰、准确、完整地描述个人信息处理者的个人信息处理行为，并以便于用户阅读、理解的视角，向个人信息主体展现可能会对个人权益产生影响的重点内容。

个人信息处理者在编制隐私协议时，应遵循以下程序：

1、建立完善的个人信息安全管理体系，明确参与隐私协议编制的责任部门或责任人，以及人员职责分工，个人信息处理者的负责人应为体系建设和隐私协议编制提供足够的资源保障；

2、针对产品或服务收集使用的个人信息进行分析，明确实现各服务类型所需收集的必要信息的范围，以及非必要信息之外的所打算收集使用的个人信息的范围，确保满足合法、正当、必要的要求；

3、涉及到可能对个人信息主体权益产生重大影响的行为，事先进行个人信息安全影响评估，进一步明确对收集使用个人信息的目的、方式、范围以及权利保障措施，使其不会对个人信息主体权益产生高风险影响；

4、针对不同的服务类型，分别建立和维护个人信息处理情况描述表。描述表包括处理的个人信息类型、保存位置、流转需求、所涉及系统和责任主体等情况；

5、建立个人信息主体权利响应机制，确保向个人信息主体提供查询、更正、删除个人信息，及撤回同意和注销账号的渠道；

6、基于1和5的工作内容，梳理有关信息，作为编制隐私协议的基础，根据本标准第7章内容进行编制隐私协议内容；

7、编制隐私协议，应采用清晰易懂，符合通用的语言习惯，使用标准化的数字、图示等，避免使用有歧义、晦涩难懂、模棱两可的语言；

8、个人信息收集使用规则发生变化时，如涉及新服务类型上线，使用目的变化等，及时更新隐私协议，并向个人信息主体主动展示，并同时向个人信息主体说明更新的理由，保证历史版本可查。

附：《信息安全技术 互联网平台及产品服务隐私协议要求》（征求意见稿）全文