在中央网信办、工信部、公安部、国家标准委等四部门开展“隐私条款专项工作”的同时，西班牙的个人信息保护机构似乎很有默契地锁定了Facebook的隐私政策，并于9月11日对Facebook正式开出120万欧元的罚单。

西班牙个人信息保护机构AEPD认为Facebook的隐私政策有部分“一般性且不清晰的描述”（“generic and unclear terms”），导致了以下三项具体违规：

1、Facebook收集了个人信息主体的政治观点和倾向、宗教信仰、性取向、个人兴趣等，但并没有告诉其用户会将上述信息用于何种用途。对该项违规，AEPD认定为“严重”（serious），罚款30万欧元。

2、Facebook在收集、使用上述信息前，并未获得用户的知情同意（informed consent）。对该项违规，AEPD认定为“非常严重”（very serious），罚款60万欧元。

3、Facebook在使用上述信息后，并没有及时删除上述信息。对该项违规，AEPD认定为“严重”（serious），罚款30万欧元。

在AEPD做出上述处罚决定后，Facebook回应并提出：处罚得以成立的前提是其使用了上述个人敏感信息来推送广告，但实际情况是Facebook是根据用户的“点赞”（liking）情况来推送广告的。

潜台词是，Facebook并不认为点赞情况属于个人信息。那么用户的点赞是否构成了个人信息？在这个问题上，AEPD显然持肯定的观点。毕竟，根据欧盟“95指令”的定义，个人信息是指“与已识别的自然人或可识别的自然人相关联的任何信息”（'personal data ' shall mean any information relating to an identified or identifiable natural person）。因此，用户对某些内容点赞，清晰地显示出其偏好、兴趣、取向，自然构成了其个人信息。

但本短文的目的不是分析个人信息的定义，也并非判断AEPD或Facebook谁更有理。更重要的是，这个处罚决定事实上对隐私政策文本提出了以下要求：

首先，应该详尽、完整地列出所收集的个人信息。

其次，清晰说明所收集的个人信息与特定用途之间的对应关系，就是要说清楚具体这项个人信息将做什么用。

要做到这点，显然对功能丰富的产品和应用来说很不容易，说明起来往往需要很长的篇幅。实践中，正是因为有了对个人信息处理规则和行为的详细、完整、清晰的说明，监管机构的很多执法才得以可能：

2012年3月，谷歌把涉及其旗下产品和服务的70余项隐私政策合并为一个文本。包括英国、荷兰、西班牙、法国、意大利等国在内的个人信息保护部门对此各自开展独立调查。这些部门得出的一致结论是：合并后的隐私政策文本没能清晰地告知谷歌出于哪些目的分别收集了哪些信息，将和谁共享上述信息。例如，荷兰个人信息保护官在命令中指出：谷歌在其隐私政策中“没能清晰、充分、具体地界定其收集个人信息的目的，因此违反了荷兰数据保护法第7条关于应出于具体、正当的目的而收集个人信息的要求”，谷歌应于2015年2月前修改隐私政策，否则将面临1500万欧元的罚款。英国个人信息保护官则认定，谷歌在其隐私政策中对其使用个人信息的规则描述过于“模糊”，因此要求其在2015年6月30日前整改完毕。意大利、法国、西班牙则直接处于罚款，并给出整改期限。

2010年，美国民间组织“电子隐私信息中心”（EPIC）将脸书公司个人信息收集、处理行为与其隐私政策描述不符一事，向美国联邦贸易委员会（FTC）投诉。EPIC声称，脸书公司未事先获得用户同意向其合作伙伴共享用户个人信息、共享了用户设置为限制访问的个人信息、公开了用户限定了只限朋友可见的个人信息等，违背了脸书在隐私政策上所做的承诺。FTC随后开展调查并最终要求脸书更正其隐私政策，并在接下来的20年里要定期聘请独立第三方对其个人信息处理行为开展评估。

试想，如果隐私政策文本很简短，仅仅是概述性为主，监管部门、学者、记者、消费者保护团体等何以掌握产品和服务个人信息处理规则的全貌？何以开展执法和监督？

与此同时，肯定会有朋友指出，隐私政策文本那么长，哪个用户会有耐心和时间去读呢？关于如何处理长文本和可读性之间的矛盾，本公号已经在以下两篇文章中做了分析，并试图提出解决方案。感兴趣的朋友可以点击阅读：【对四部委”隐私条款专项工作”的两点想法】、【隐私条款的多角色平衡和创新】。

在9月8日的新闻发布会上，中央网信办网络安全协调局局长赵泽良透露，四部门开展的“隐私条款专项工作”的评审结果，将在即将召开的全国网络安全宣传周上公布，让我们大家一起拭目以待吧。