人物简介：

门一帆，知乎法务工作人员，多年从事互联网公司法律事务工作，专注于互联网大平台视角下的法律治理，对互联网医疗、广告、产品合规等业务均有独到见解。

【演讲精华节选】

这是我第一次站在这么大的舞台上，可能一会儿有人想问我，你的梦想是什么？我的梦想是再也不要做隐私政策了。今天在这里，我想跟大家分享知乎隐私政策从“踩坑”到反转的两次修改经历，以及我个人的一些思考。

知乎隐私政策如何实现逆风翻盘？

从2016年欧盟通过GDPR开始，个人资讯保护的概念就已经在国内引发了一次比较广泛的思想启蒙，而且也逐渐进入了我们互联网法务圈子的视线。从2017年开始，可以看到很多大厂上线了隐私政策。随后我们也开始制定隐私政策，2018年年初定稿，2018年4月份进行了弹窗的设计。没想到上线后，瞬间引爆负面。

当天中午12点上线，到晚上12点的时候，知乎站内已经有将近100个问题，“如何看待知乎隐私政策？”“如何看待知乎隐私政策不同意就不让使用？”

为此，我们整个法务部一连两三天，天天盯着站内反馈，解答使用者提问。8月份，我们又进行了一次隐私政策调整，首先要做什么？第一考虑知乎的产品特性，我们是一个内容平台，实际上我们并不需要，而且也没有收集那么使用者资讯，所以我们开启一个仅浏览模式，让使用者在给我们提供最小资讯的情况下，可浏览知乎站内的内容，这些资讯我们又承诺30天内删除，实际上对使用者资讯做一个比较好的保护。

门一帆演讲。

修改上线后，当时我们很紧张。那天应该也是晚上8点左右释出的，这次我们专门把安卓的版本和iOS版本分开。安卓版发了发现没事，一天后我们发iOS版本，发了之后还没事，皆大欢喜。使用者对我们隐私政策第二次修改是非常认可的，在第一轮第一个界面里点选同意的使用者超过90%。

从产品设计的层面上，我们解决了使用者舆情的反馈。这是我们两次修改隐私政策的经历，也是一次逆风翻盘、力挽狂澜、实力挽尊的过程。

口头上说要让隐私政策更加通俗易懂，身体却很诚实越写越长

当法务圈在谈个人隐私保护的时候，我们在谈些什么？主要是以下几个问题：

首先，隐私政策是什么？第一轮知乎修改隐私政策时，有使用者说，你们一个互联网企业，凭什么释出政策？我们需不需要有一个名称来替换它，让它在一个更广阔的范围内，尤其是普通的使用者看到“隐私政策”四个字时有更好的理解，所以我们在第二次调整中，把“隐私政策”修改成为“知乎个人隐私保护指引”。

第二点，隐私政策到底写了些什么？我在之前的一次研讨会上提过，知乎第一版隐私政策不到6000字，第二版隐私政策是16000字，这还不包括Cookie指引。我们口头上说要让隐私政策更加通俗易懂，但身体却很诚实，条款越写越长。

最新一版的隐私政策，我们前后改了20稿，其实中间已经做了非常多的取舍，但是仍然保留了这么多内容。因为我们对个人资讯保护的要求提高了，想给予使用者的权利更多了，而且产品功能变复杂后，各功能之间相互交叉、与关联公司的资讯共享使用，要把这些内容说清楚讲明白需要这么多条款。

所以，现在看隐私政策越来越长的趋势是不对的，我们是不是可以通过其他的方式去改进它？实际上，如果我们能够更好地贯彻privacy by design（隐私设计）的理念，那么是否可以通过更透明的产品设计，更明确的功能展示，让使用者一目了然的看到并管理资料呢？这样的话我们的隐私政策是不是就不用写得这么长了？只需要描述一些使用者看不到的底层功能的资料情况，真正做到一目了然，通俗易懂。这是一个思路，下一步我们也要做相应的尝试。

个人资讯泄露案件像“高空抛物”，如何追责扔东西的人？

第三，关于个人资讯和资料资产的关系，现在大家都说个人资讯本身已经构成企业资产的一部分。现在我们对于个人资讯的管理仍大多停留在个人主体的层面。其实个人资讯的大量集合在一定意义上已经脱离了传统民法中的隐私权、人格权范畴。

如果站在资料产业发展的角度上，我们可能需要向资料资产带来的公共利益妥协，并由此构建新型的个人资讯公开化和可利用化的法律规范。但当然，这并不是说我们要用公共利益裹挟个人私法权利，而是我们要在法律的基础上，通过更完善的技术处理、使用个人资料，其最终目的是实现公利与私利的平衡。

最后，个人资讯泄露事件中的法律风险管理。近期，我们看到了几个关于个人资讯泄露的案件判决，法官都采用了“高度盖然性”的判断方式。我有个律师朋友评论说，这种案件变得有点像高空抛物。当楼上掉下的东西砸到了人，不知道是谁扔的，这个时候怎么追责呢？楼里的居民唯一的免责方式就是证明“那天我不在家”，或者“我家的窗户是封死的”。

这个比喻很恰当。当发生个人资讯泄露事件时，整个交易链条上的每一个接触到资料的机构都是有嫌疑的，都可能是那个在高楼上往下扔东西的人，这时如果我们身处嫌疑当中，免责或减轻责任的唯一方式就是证明自己的资料合规水平比其他公司高，整个交易链条中我们是无辜的，才能摆脱嫌疑。

不想做产品经理的法务不是好的DPO

现在使用者体验和资料合规已经不再是二选一的问题，相反资料合规已经成为使用者体验的一部分。我们希望资讯在技术上获得一个充分的保护，在法律上获得充分的救济。在过去的一年中，我发现，资料合规（可能）是法务第一次有机会真正站在业务的最前端，参与甚至主导产品设计。

之前南都的同学说，想让我讲讲在做隐私政策的过程中和产品经理、程序员斗智斗勇的故事。其实我想说没有，因为我们大家对话的基础是尊重技术和关注技术。我一直认为法务做资料合规，首先应当尊重技术，关注技术，一个有理有据的资料合规需求，应当是一个用产品视角表达的要求，也应当是一个在技术能实现，做过认真考量的要求。

所以总结一下，法务怎样做好资料合规工作？有两句话送给大家，法务懂技术，产品经理挡不住。猿，妙不可言。

采写：南都记者李玲

摄影：朱芳圆 张柳 海鑫

作者：李玲