Day 4 如何规划拟定隐私三宝

隐私三宝包含了隐私条款、服务条款、Cookie policy，其中隐私条款若要自己从无到有生出来，似乎是不太可能，若可行也是旷日废时，其实许多范畴标的是固定的，倒不如找一个合适的范本并针对需求做修改调整，又或者根据自家的产品服务找到相关的竞品benchmark做参考，今天跟大家分享过往拟订这些”角落生物”的经验。

拟定方式

(1) 参考范本

之前在拟定参考了国内及国外的范本依据个人资料与隐私保护的机关，国内是国家发展委员会所规范，在110年3月公告的《政府网站服务管理规范》提到隐私权保护政策范例，另外，国外的隐私保护专责机关参考了英国ICO(Information Commissioner's Office)提供的《Privacy notice template》，整理双方的大纲如下：

《政府网站服务管理规范》大纲列表：
a. 隐私权保护政策的适用范围
b. 个人资料的蒐集、处理及利用方式
c. 资料之保护
d. 网站对外的相关连结
e. 与第三人共用个人资料之政策
f. Cookie 之使用
g. 隐私权保护政策之修正

《Privacy notice template》大纲列表：
a. The type of personal information we collect
b. How we get the personal information and why we have it
c. How we store your personal information
d. Your data protection rights
e. Your right of access
f. Your right to rectification
g. Your right to erasure
h. Your right to restriction of processing
i. Your right to object to processing
j. Your right to data portability
k. How to complain

(2) 参考竞品

另一种方式就是将自己产品相关竞品的隐私条款逐项比对参考，并依自家产品的不同宣告做调整，透过excel展开所有的条款项目做比对，点击某项竞品後就可连结到该竞品页签的隐私政策内容。

拟定时需注意事项

(1) 将国外个资隐私法规纳入考量

在拟定时就需考量未来产品是否会进欧洲或美国市场，若是则就需将该地方的隐私规范纳入考量范围，欧洲GDPR个资保护法及美国加州消费者保护法CCPA，这两个法规会在未来的几天跟大家分享。当初我们在拟定时就考量到GDPR个资保护法的规范，依据GDPR的条款逐项再针对privacy与term of service做比对。

(2) 善用追踪修正

透过Word 的文件「追踪修订」功能，这样可以很清楚知道文件哪些内容被修改，且透过此方法不同单位的修正异动过程或是注解也能清楚被记录。

(3) 条款生效日期

在条款的前或後建议写上此条款的生效日期，表示此条款从这生效日期後具为有效力，以确保依时间点来厘清责任归属。

(4) 条款有修改通知使用者

主动告知使用者条款有哪些变更及调整，透过任何方式告知，通常是用mail的传达方式。

小结

拟定过程中首先需非常了解自家产品的所有服务机制，及使用者可能的状况，再与各相关单位不断沟通修正调整，且一定要跟法务单位讨论，法务会提供法律上的专业观点做修正调整，让整体条款再法律层面上是具有意义的，无论如何应密集与内部沟通及法务的背书规划拟定的隐私三宝，进而也能有效提升自家产品的价值。